Prawne instrumenty zapobiegania cyberatakom i wyciekom informacji

r.pr. Agnieszka Wachowska

apl. radc. Joanna Jastrząb

Warszawa, dnia 6 kwietnia 2017r.

2

1. Podstawowe zagadnienia dot. cyberbezpieczeństwa

2. Dlaczego warto zapobiegać cyberatakom oraz przygotowaćsię na ewentualny atak?

▪ Kto odpowiada za naruszenie cyberbezpieczeństwa?

▪ Rodzaje odpowiedzialności

3. Jak przygotować się na cyberatak?

▪ określenie polityki compliance

▪ regulacja stosunków z pracownikami

▪ regulacja stosunków z dostawcami IT

Plan wystąpienia

3

Czy naruszeniem cyberbezpieczeństwa jest:

• Nieuprawnione korzystanie z danych?

• Brak odpowiedniego zabezpieczenia systemu?

• Naruszenie procedur bezpieczeństwa?

• Włamanie do systemu?

• Brak odpowiednich działań po włamaniu do systemu?

Na czym może polegać naruszenie cyberbezpieczeństwa?

naruszenie bezpieczeństwa systemów

naruszenie bezpieczeństwa informacji

4

1. Brak kompleksowej i jednolitej regulacji prawnej

2. Rozproszone przepisy i wymogi prawne dot. cyberbezpieczeństwa• Przepisy karne

• Przepisy dot. ochrony danych osobowych

• Przepisy dot. świadczenia usług drogą elektroniczną

• Przepisy dot. tajemnic prawnie chronionych (np. tajemnica bankowa, tajemnica ubezpieczeniowa, tajemnica medyczna itp.)

• Standardy/branżowe normy postępowania (dotyczące poziomu należytej profesjonalnej staranności)

• Regulacje umowne z dostawcą IT

• Regulacje wewnętrzne przedsiębiorcy – polityki, procedury, regulaminy

3. Przyszłość – normalizacja i certyfikacja bezpieczeństwa produktów i usług informatycznych

Jakie są regulacje związane z cyberbezpieczeństwem?

5

Skutki naruszenia cyberbezpieczeństwa

Nieautoryzowany dostęp / wyciek danych

Skutki na gruncie prawa prywatnego i możliwe skutki na

gruncie prawa publicznego

Zniszczenie / usunięcie / modyfikacja danych

Skutki na gruncie prawa prywatnego i możliwe skutki na

gruncie prawa publicznego

Przerwanie ciągłości świadczenia usługi

Głównie skutki na gruncie prawa prywatnego

6

Rodzaje odpowiedzialności za naruszenie cyberbezpieczeństwa

Karna

- Przepisy karne

Cywilna

- KC i regulacje umowne

Administracyjna

- np. odpowiedzialność wynikająca z naruszenia przepisów dot. ochrony

danych osobowych

Służbowa

- Odpowiedzialność pracowników i zawodowa

7

Odpowiedzialność karna

▪ Ustawa o ochronie danych osobowych także przewiduje odpowiedzialność karną, m.in. w art. 51 u.o.d.o.:„Art. 51. 1. Kto administrując zbiorem danych lub będąc obowiązany do ochrony danych osobowych udostępnia je lub umożliwia dostęp do nich osobom nieupoważnionym, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 2.”

▪ Za niewykonanie obowiązków techniczno-organizacyjnychzabezpieczenia danych odpowiada również procesor – często dostawcausług IT;

▪ Nie jest konieczne stwierdzenie elementu naruszenia – wystarczy samoumożliwienie.

8

Odpowiedzialność administracyjna

▪ Podstawa odpowiedzialności – art. 18 u.o.d.o.

GIODO w drodze decyzji nakazuje przywrócenie stanu zgodnego z prawem, a wszczególności, m.in. usunięcie uchybień; uzupełnienie, uaktualnienie,sprostowanie, udostępnienie lub nieudostępnienie danych osobowych;

▪ Za bezpieczeństwo danych osobowych odpowiada nie tylkoadministrator danych, ale również procesor

▪ Obecnie GIODO nie może nakładać kar administracyjnych – co zmienisię na gruncie rodo!

art. 83 ust. 5 r.o.d.o. - podstawowa kara – 20 mln EURO/4% rocznego obrotu

▪ Obowiązek powiadamiania o naruszeniu:• wewnętrzny (obowiązek powiadamiania ABI (art.36 i n. u.o.d.o.))

• zewnętrzny (GIODO, podmiot danych, administrator)

• zmiany na gruncie rodo!

9

Odpowiedzialność cywilna (1)

▪ Co wyznacza standard ochrony danych i zabezpieczenia systemu?• Regulacje dot. ochrony danych osobowych• Regulacje dot. świadczenia usług drogą elektroniczną• Regulacje i standardy sektorowe (np. regulacje z zakresu prawa

bankowego, prawa ubezpieczeniowe, itp.)• Normy i standardy branżowe

▪ art. 7 u.ś.u.d.e.Usługodawca zapewnia działanie systemu teleinformatycznego,którym się posługuje, umożliwiając nieodpłatnie usługobiorcy:1) w razie, gdy wymaga tego właściwość usługi:

a) korzystanie przez usługobiorcę z usługi świadczonej drogąelektroniczną, w sposób uniemożliwiający dostęp osóbnieuprawnionych do treści przekazu składającego się na tę usługę,w szczególności przy wykorzystaniu technik kryptograficznychodpowiednich dla właściwości świadczonej usługi,(…)

10

Odpowiedzialność cywilna (2)

Względem strony umowy

• Odpowiedzialność umowna (podstawa art. 471 KC)

• Odpowiedzialność deliktowa (art. 415 KC)

Względem osoby poszkodowanej naruszeniem

(np. której dane zostały ujawnione)

• Odpowiedzialność deliktowa (art. 415 KC)

11

Podmioty odpowiedzialne za naruszenie cyberbezpieczeństwa

▪ Bezpośredni sprawca incydentu bezpieczeństwa

• pracownik, współpracownik,

• osoba trzecia,

▪ Dostawca IT

• odpowiedzialność za zabezpieczenie systemu IT,

• odpowiedzialność za wyciek danych, w tym danych osobowych,

▪ Inne osoby

• np. ABI, pracownicy, członkowie zarządu…

12

Skąd może nadejść cyberatak?

z zewnątrz organizacji

np. nienależyte zabezpieczenie systemów

• zabezpieczenia techniczne• regulacje w umowie z

dostawcą

z wewnątrz organizacji

np. umyślne i nieumyślne działania pracowników

• wdrożenie polityk, procedur, regulaminów

• regulacja umowna odpowiedzialności pracowników i

współpracowników

Czy można zabezpieczyć się przed atakiem?

13

▪ compliance = zgodność

• przestrzeganie przepisów obowiązującego prawa

• przestrzeganie soft law

• normy (np. Polskie Normy, normy ISO)

• standardy

• dobre praktyki (soft law)

▪ polityka compliance

• zbiór zasad i procedur minimalizujących występowanie ryzykanaruszeń przepisów prawa oraz innych norm (prewencja) orazdziałań na wypadek wystąpienia zdarzenia, incydentu skutkującegonaruszeniem (działania reaktywne)

Polityki, procedury, regulaminy –

compliance i polityka compliance (1)

14

Rekomendacja lub obowiązek wdrożenia procedur i polityk możewynikać:

▪ z przepisów prawa

• u.o.d.o. – rozporządzenie MSWiA: polityka bezpieczeństwa iinstrukcja zarządzania systemem informatycznym służącym doprzetwarzania danych osobowych

• r.o.d.o. – branżowe kodeksy postępowania

▪ z norm

• m.in. norma ISO/IEC 27001, która wprowadza systemzarządzania bezpieczeństem informacji

Polityki, procedury, regulaminy –

compliance i polityka compliance (2)

15

Jakie obszary powinna regulować wewnętrzna polityka compliance? (1)

• klasyfikowanie informacji w przedsiębiorstwie

• ustalenie kontroli dostępu do systemów i informacji

• określenie ról i uprawnień oraz sposobów i kanałów komunikacji

• zapewnienie bezpieczeństwa fizycznego i środowiskowego

• uświadamianie: zapewnienie szkoleń, informacji o przyjętych procedurach i obowiązujących regulacjach

• aktualizacja i weryfikacja przyjętych regulacji

• przeprowadzanie audytów wewnętrznych

• …

przed incydentem

bezpieczeństwa

16

Jakie obszary powinna regulować wewnętrzna polityka compliance? (2)

• reagowanie i zarządzanie incydentami bezpieczeństwa

• określenie procedury ochrony przed utratą danych (kopie zapasowe)

• zarządzanie ciągłością działania systemu

• rejestrowanie incydentów oraz zdarzeń

• zabezpieczenia danych i materiału dowodowego

• …

w trakcie incydentu

bezpieczeństwa

17

Jakie obszary powinna regulować wewnętrzna polityka compliance? (3)

• przywrócenie ciągłości działania systemu

• ocena skutków incydentu bezpieczeństwa

• notyfikacja incydentu bezpieczeństwa (wewnętrzna i zewnętrzna)

• ustalenie osób odpowiedzialnych za incydent bezpieczeństwa

• analiza incydentu: identyfikacja i eliminacja luk oraz słabości w cyberbezpieczeństwie organizacji

• …

po incydencie bezpieczeństwa

18

▪ Nieumyślne spowodowanie incydentu bezpieczeństwa (np.ujawnienie osobie trzeciej hasła; brak ustawienia odpowiednichhaseł)

▪ Umyślne spowodowanie incydentu bezpieczeństwa (np.szpiegostwo, ujawnienie informacji poufnych)

▪ Niedopełnienie obowiązków służbowych (kiedy pracownik byłzobowiązany do zabezpieczenia systemów lub danych w nichprzechowywanych)

Relacje z pracownikami – za co może odpowiadać pracownik?

19

▪ Czym są informacje poufne?▪ Przepisy nie definiują pojęcia „informacji poufnych”

▪ Mogą obejmować know – how, informacje organizacyjne,finansowe, personalne, a w szczególności tajemnicęprzedsiębiorstwa

▪ Rekomendowane jest dookreślenie ich zakresu w umowach lubwewnętrznych regulacjach

▪ Podstawowe obowiązki pracownika w zakresie informacjipoufnych obejmują (100 par. 2 KP):

▪ zachowanie w tajemnicy informacji, których ujawnienie mogłobynarazić pracodawcę na szkodę;

▪ przestrzeganie tajemnicy określonej w odrębnych przepisach.

Relacje z pracownikami – zakaz ujawniania informacji poufnych

20

Rekomendowane działania dot. ochrony cyberbezpieczeństwa w relacjach zpracownikami:

▪ zawarcie pisemnej umowy zobowiązujacej pracownika do zachowaniapoufności określonych (kategorii) informacji,

▪ przekazanie kompetencji i środków do ich wykonywania wyznaczonympracownikom, odpowiedzialnym np. za przetwarzanie danych osobowych,

▪ wyraźne uregulowanie sposobu postępowania na wypadek incydentubezpieczeństwa

▪ zapewnienie kontroli nad działaniami pracownika na potrzebyewentualnego zabezpieczenia dowodów umyślnego wykorzystaniainformacji poufnych

▪ prowadzenie cyklicznych szkoleń w zakresie obowiązujących procedur idobrych praktyk dot. cyberbezpieczeństwa

Relacje z pracownikami – rekomendowane działania

21

▪ Odpowiedzialność pracownika za wyrządzenie szkody pracodawcy jestograniczona do maksymalnej kwoty 3-miesięcznego wynagrodzeniaprzysługującego pracownikowi w dniu wyrządzenia szkody (art. 119 KP)

▪ Wyjątek – szkoda wyrządzona umyślnie musi zostać naprawiona przezpracownika w pełnej wysokości (art. 122 KP)

▪ Ciężar dowodu spoczywa na pracodawcy – to pracodawca obowiązanywykazać okoliczności uzasadniające odpowiedzialność pracownika orazwysokość powstałej szkody (art. 116 KP)

▪ Kary umowne za wyciek informacji poufnych – niedopuszczalne!

Odpowiedzialność pracowników

22

▪ Weryfikacja stosowanych norm i kodeksów branżowych przezdostawcę

▪ Zobowiązanie dostawcy do stosowania środków technicznych iorganizacyjnych na poziomie odpowiednim do świadczonej usługi▪ wyznaczenie poziomu jego nalezytej staranności, który może być inny w

zalezności od dostarczanego systemu i przetwarzanych w nim danych

▪ Wprowadzenie do umowy kar umownych▪ dot. w szczególności wycieku informacji, braku zapewnienia

odpowiednich środków technicznych czy organizacyjnych dlazabezpieczenia systemu

Odpowiedzialność dostawcy IT – co zapewnić w umowie?

23

▪ Roszczenia odszkodowawcze▪ kary umowne▪ zasady ogólne▪ konieczność wykazania szkody i jej wysokości, jak również

adekwatnego związku przyczynowego▪ przyczynienie się usługobiorcy▪ np. brak stosowania odpowiednich środków zabezpieczeń,

nieodpowiednie przechowywanie haseł

▪ Umowne wyłączenie/ograniczenie odpowiedzialności▪ czy będzie skuteczne?

Odpowiedzialność dostawcy IT - roszczenia

24

▪ Brak orzecznictwa z wyjątkiem dotyczącego systemów bankowych

▪ Sąd Apelacyjny w Warszawie VI Wydział Cywilny z dnia 23 października 2012 r. (Sygn. VI A Ca) 552/12

„Prawidłowo Sąd Okręgowy uznał, że zakwestionowana przez powoda w niniejszejsprawie klauzula stanowi niedozwolone postanowienie umowne w rozumieniu art.385 1 § 1 k.c. Mocą zakwestionowanej klauzuli pozwany Bank wyłącza swojąodpowiedzialność wobec konsumentów za skutki operacji w ramach systemubankowości elektronicznej przez osoby trzecie niezależnie od okoliczności – tego w jakisposób osoby te weszły w posiadanie identyfikatora oraz haseł dostępuumożliwiających dostęp do środków finansowych klienta banku. Tymczasem bankodpowiada zarówno za działania swoich pracowników oraz za skutki działańhakerów, gdyż świadcząc usługi musi zapewnić bezpieczeństwo operacji przedosobami nieuprawnionymi, albowiem zgodnie z art. 31 pkt 1 ustawy z dnia 12września 2002 r. o elektronicznych instrumentach płatniczych (Dz. U. Nr 169, poz. 1385ze zm.) bank świadcząc usługi na podstawie umowy o usługi bankowościelektronicznej obowiązany jest do zapewnienia posiadaczowi bezpieczeństwadokonywanych operacji z zachowaniem należytej staranności oraz przy wykorzystaniuwłaściwych rozwiązań technicznych.”

Odpowiedzialność dostawcy IT – dopuszczalność jej wyłączenia?

foto

Dziękujemy za uwagę

Agnieszka Wachowska Radca prawny, Partner e-mail: agnieszka.wachowska@traple.pl

Joanna JastrząbAplikantka radcowskae-mail: joanna.jastrzab@traple.pl