Strona korzysta z plików cookies w celu realizacji usług i zgodnie z Polityką Plików Cookies.


20.12.2018

Większa moc

QNAP Mustang-200
20.12.2018

Nowa era Wi-Fi

NETGEAR Nighthawk AX8
20.12.2018

Szybkie skanowanie

Brother ADS-1700W i ADS-1200
06.12.2018

Niższe moce

UPS Eaton 9SX
03.12.2018

Monitory dla MŚP

AOC E1
29.11.2018

Wykrycie szkodliwego...

Sophos Intercept X Advanced
27.11.2018

Automatyzacja zabezpieczeń

Red Hat Ansible Automation
23.11.2018

Nieograniczona skalowalność

SUSE Enterprise Storage 5.5
20.11.2018

Dwa procesory Threadripper

AMD Ryzen Threadripper 2970WX i 2920X

Prawne aspekty reagowania na incydenty naruszenia cyberbezpieczeństwa

Data publikacji: 29-09-2017 Autor: Agnieszka Wachowska, Joanna Jastrząb

W odpowiedzi na doniesienia o przypadkach naruszenia cyberbezpieczeństwa wielu dostawców IT przeprowadza audyty i wdraża odpowiednie środki techniczne, mające zmniejszyć ryzyko powodzenia ataku bądź wyeliminować sytuacje prowadzące do wycieku informacji. Coraz więcej osób zwraca też uwagę na prawne aspekty z tym związane, a w szczególności na zakres obowiązków podmiotów wykorzystujących systemy IT oraz dostawców IT w przypadku wykrycia zagrożenia bądź naruszenia cyberbezpieczeństwa.

Już na wstępie trzeba zaznaczyć, że kwestie prawne związane z incydentami naruszenia cyberbezpieczeństwa są złożone. W pierwszej kolejności można wskazać, że incydenty mogą być związane nie tylko z działaniami z zewnątrz (atak hakerski), ale też z wewnątrz organizacji (działanie celowe pracowników bądź ich działanie nieumyślne, prowadzące np. do wycieku danych).


Ponadto różny może być też cel ataku bądź skutek nieumyślnych działań pracowników. Z jednej strony może chodzić bowiem o dostęp do chronionych danych, w tym danych osobowych czy też danych poufnych, które na skutek ataku mogą zostać upublicznione, sprzedane lub wykorzystane do szantażu w celu zapłaty okupu za ich nieujawnianie (incydenty dotyczące bezpieczeństwa informacji). Z drugiej strony celem ataku mogą być nie tyle same dane znajdujące się w systemie, co sposób jego działania. Niektórym cyberprzestępcom może bowiem zależeć na destabilizacji systemu i doprowadzeniu do przerw w jego działaniu, a w konsekwencji do paraliżu podmiotu, który został zaatakowany, bez uzyskiwania dostępu do jakichkolwiek danych (incydenty dotyczące bezpieczeństwa systemu).

Powyższe przekłada się na wniosek o różnych przyczynach incydentów cyberbezpieczeństwa (działania z zewnątrz i z wewnątrz), jak i o różnych przedmiotach ochrony, które powinny zostać zabezpieczone przez dostawcę (bezpieczeństwo danych przechowywanych w systemie i bezpieczeństwo działania samego systemu).

> Różnorodność regulacji prawnych

Sprawę komplikuje także fakt, że obecnie brak jest jednej ustawy regulującej kompleksowo tematykę związaną z cyberbezpieczeństwem. Z powyższych względów obowiązki administratorów IT oraz dostawców IT związane z cyberbezpieczeństwem trzeba interpretować na podstawie różnych aktów prawnych, w tym również właściwych regulacji sektorowych (np. prawo bankowe, prawo ubezpieczeniowe). Podobnie jest z kwestiami dotyczącymi odpowiedzialności za naruszenie cyberbezpieczeństwa, której zasady określone są w kilku aktach prawnych: m.in. w kodeksie karnym, kodeksie cywilnym, kodeksie pracy (jeśli za wyciek danych lub destabilizację systemu odpowiada pracownik) oraz ustawach szczegółowych (np. ustawa o ochronie danych osobowych).

Powoduje to, że w zależności od danej sytuacji oraz podmiotu, u którego dochodzi do incydentu naruszenia cyberbezpieczeństwa, możemy mieć do czynienia z różnymi obowiązkami i czynnościami, które powinny zostać podjęte.

> Naruszenie cyberbezpieczeństwa – reakcja pokrzywdzonego

Zidentyfikowanie incydentu naruszenia cyberbezpieczeństwa może wiązać się z obowiązkiem określonej reakcji dotkniętego tym incydentem. Obowiązek taki może polegać w szczególności na konieczności zawiadomienia o tym fakcie osób zainteresowanych oraz potencjalnie pokrzywdzonych przez incydent (np. pracowników, klientów), konieczności zidentyfikowania osób odpowiedzialnych, zabezpieczeniu systemu na potrzeby postępowania dowodowego, przeprowadzeniu oceny skutków naruszenia oraz wdrożeniu nowych rozwiązań technicznych i organizacyjnych, mających zabezpieczyć system na przyszłość w sposób minimalizujący ryzyko kolejnego ataku.

Obowiązek podjęcia niektórych z wyżej wymienionych działań wynikać będzie wprost z przepisów prawa. Nie jest jednak przy tym wykluczone, że sposób postępowania na wypadek incydentu może być też określony w wewnętrznych politykach, w szczególności jeśli zostały oparte na dobrych praktykach i normach ISO (np. ISO/IEC 27035:2011 – Information security incident management). Polityki te powinny zawierać konkretne procedury, wskazując kolejność działań koniecznych do wykonania, jak również osoby odpowiedzialne za ich koordynację.

[...]

Agnieszka Wachowska – partner odpowiedzialny za zespół IT-Telco w Kancelarii Traple Konarski Podrecki i Wspólnicy.
Joanna Jastrząb – aplikantka radcowska w zespole IT-Telco w Kancelarii Traple Konarski Podrecki i Wspólnicy
.

Artykuł pochodzi z miesięcznika: IT Professional

Pełna treść artykułu jest dostępna w papierowym wydaniu pisma.

.

Transmisje online zapewnia: StreamOnline

All rights reserved © 2013 Presscom / Miesięcznik "IT Professional"