Strona korzysta z plików cookies w celu realizacji usług i zgodnie z Polityką Plików Cookies.


17.09.2019

PLNOG23 czyli sieci 5G,...

Największa polska konferencja telekomunikacyjna powraca do Krakowa! Wśród nowości ścieżka...
05.09.2019

Cloudya – nowa usługa NFON

Po ponad dekadzie ciągłego rozwoju technologii Cloudya, swobodna i niczym nie ograniczona...
02.09.2019

Na dużą skalę

Kaspersky Hybrid Cloud Security
02.09.2019

Bezpieczny brzeg sieci

Fortinet Secure SD-Branch
02.09.2019

Nowoczesne centra danych

AMD EPYC
30.08.2019

Dostęp do AI i ML

VMware Cloud Foundation
30.08.2019

Lekkość i moc

Toshiba Portégé A30-E
30.08.2019

Bez przestojów

APC Easy UPS On-Line
29.08.2019

Duże moce

Lenovo ThinkSystem SR635 i SR655

Prawne aspekty reagowania na incydenty naruszenia cyberbezpieczeństwa

Data publikacji: 29-09-2017 Autor: Agnieszka Wachowska, Joanna Jastrząb

W odpowiedzi na doniesienia o przypadkach naruszenia cyberbezpieczeństwa wielu dostawców IT przeprowadza audyty i wdraża odpowiednie środki techniczne, mające zmniejszyć ryzyko powodzenia ataku bądź wyeliminować sytuacje prowadzące do wycieku informacji. Coraz więcej osób zwraca też uwagę na prawne aspekty z tym związane, a w szczególności na zakres obowiązków podmiotów wykorzystujących systemy IT oraz dostawców IT w przypadku wykrycia zagrożenia bądź naruszenia cyberbezpieczeństwa.

Już na wstępie trzeba zaznaczyć, że kwestie prawne związane z incydentami naruszenia cyberbezpieczeństwa są złożone. W pierwszej kolejności można wskazać, że incydenty mogą być związane nie tylko z działaniami z zewnątrz (atak hakerski), ale też z wewnątrz organizacji (działanie celowe pracowników bądź ich działanie nieumyślne, prowadzące np. do wycieku danych).


Ponadto różny może być też cel ataku bądź skutek nieumyślnych działań pracowników. Z jednej strony może chodzić bowiem o dostęp do chronionych danych, w tym danych osobowych czy też danych poufnych, które na skutek ataku mogą zostać upublicznione, sprzedane lub wykorzystane do szantażu w celu zapłaty okupu za ich nieujawnianie (incydenty dotyczące bezpieczeństwa informacji). Z drugiej strony celem ataku mogą być nie tyle same dane znajdujące się w systemie, co sposób jego działania. Niektórym cyberprzestępcom może bowiem zależeć na destabilizacji systemu i doprowadzeniu do przerw w jego działaniu, a w konsekwencji do paraliżu podmiotu, który został zaatakowany, bez uzyskiwania dostępu do jakichkolwiek danych (incydenty dotyczące bezpieczeństwa systemu).

Powyższe przekłada się na wniosek o różnych przyczynach incydentów cyberbezpieczeństwa (działania z zewnątrz i z wewnątrz), jak i o różnych przedmiotach ochrony, które powinny zostać zabezpieczone przez dostawcę (bezpieczeństwo danych przechowywanych w systemie i bezpieczeństwo działania samego systemu).

> Różnorodność regulacji prawnych

Sprawę komplikuje także fakt, że obecnie brak jest jednej ustawy regulującej kompleksowo tematykę związaną z cyberbezpieczeństwem. Z powyższych względów obowiązki administratorów IT oraz dostawców IT związane z cyberbezpieczeństwem trzeba interpretować na podstawie różnych aktów prawnych, w tym również właściwych regulacji sektorowych (np. prawo bankowe, prawo ubezpieczeniowe). Podobnie jest z kwestiami dotyczącymi odpowiedzialności za naruszenie cyberbezpieczeństwa, której zasady określone są w kilku aktach prawnych: m.in. w kodeksie karnym, kodeksie cywilnym, kodeksie pracy (jeśli za wyciek danych lub destabilizację systemu odpowiada pracownik) oraz ustawach szczegółowych (np. ustawa o ochronie danych osobowych).

Powoduje to, że w zależności od danej sytuacji oraz podmiotu, u którego dochodzi do incydentu naruszenia cyberbezpieczeństwa, możemy mieć do czynienia z różnymi obowiązkami i czynnościami, które powinny zostać podjęte.

> Naruszenie cyberbezpieczeństwa – reakcja pokrzywdzonego

Zidentyfikowanie incydentu naruszenia cyberbezpieczeństwa może wiązać się z obowiązkiem określonej reakcji dotkniętego tym incydentem. Obowiązek taki może polegać w szczególności na konieczności zawiadomienia o tym fakcie osób zainteresowanych oraz potencjalnie pokrzywdzonych przez incydent (np. pracowników, klientów), konieczności zidentyfikowania osób odpowiedzialnych, zabezpieczeniu systemu na potrzeby postępowania dowodowego, przeprowadzeniu oceny skutków naruszenia oraz wdrożeniu nowych rozwiązań technicznych i organizacyjnych, mających zabezpieczyć system na przyszłość w sposób minimalizujący ryzyko kolejnego ataku.

Obowiązek podjęcia niektórych z wyżej wymienionych działań wynikać będzie wprost z przepisów prawa. Nie jest jednak przy tym wykluczone, że sposób postępowania na wypadek incydentu może być też określony w wewnętrznych politykach, w szczególności jeśli zostały oparte na dobrych praktykach i normach ISO (np. ISO/IEC 27035:2011 – Information security incident management). Polityki te powinny zawierać konkretne procedury, wskazując kolejność działań koniecznych do wykonania, jak również osoby odpowiedzialne za ich koordynację.

[...]

Agnieszka Wachowska – partner odpowiedzialny za zespół IT-Telco w Kancelarii Traple Konarski Podrecki i Wspólnicy.
Joanna Jastrząb – aplikantka radcowska w zespole IT-Telco w Kancelarii Traple Konarski Podrecki i Wspólnicy
.

Artykuł pochodzi z miesięcznika: IT Professional

Pełna treść artykułu jest dostępna w papierowym wydaniu pisma.

.

Transmisje online zapewnia: StreamOnline

All rights reserved © 2019 Presscom / Miesięcznik "IT Professional"