2018-10-17
Strategia i jeszcze raz strategia

24 grudnia o godzinie 17.00 dzwoni do Ciebie pracownik działu IT w Twoim przedsiębiorstwie. W trakcie krótkiej rozmowy telefonicznej informuje, że świadczone przez Twoje przedsiębiorstwo usługi padły ofiarą ataku DDoS i od kilku godzin są niedostępne dla żadnego użytkownika. Dowiadujesz się, że przywrócenie dostępności usług potrwa dłużej niż zazwyczaj z uwagi na okres świątecznych urlopów, i że być może w trakcie tego ataku dane osobowe użytkowników zostały udostępnione osobom trzecim. Kończąc rozmowę, pracownik działu IT dodaje, że w celu ograniczenia ewentualnych strat oraz udostępnienia osobom trzecim informacji poufnych do czasu odparcia ataku nie będą dostępne usługi poczty elektronicznej oraz innych komunikatorów stosowanych w organizacji a także, że zablokowany został dostęp do zawartości komputerów służbowych. Czy wiedziałbyś, co robić w takiej sytuacji?

Kluczem do sukcesu jest opracowanie właściwego planu (składającego się z kilku wariantów postępowania) oraz zapewnienie, że plan ten zostanie wykonany (m.in. poprzez szkolenie pracowników). Choć obecnie dominują nowe technologie, które obdarzamy coraz większym zaufaniem, czasami jedynym właściwym rozwiązaniem będą środki analogowe. Przykładowo, w razie zablokowania usługi poczty elektronicznej może się okazać, że choć wiemy, komu należy zgłosić incydent, to nie możemy się z tą osobą skontaktować, gdyż utraciliśmy wszystkie kontakty służbowe. Przed takim impasem może nas skutecznie ochronić kartka papieru z odnotowanymi numerami kontaktowymi (także prywatnymi) umieszczona w kalendarzu czy portfelu.

O tym, jak ważne jest opracowanie strategii, oraz jakie elementy należy w tej strategii uwzględnić, można było się dowiedzieć 9 października 2018 r. podczas zorganizowanego przez nas szkolenia Navigating a cyber-attack - what do you need to know? Szkolenie poprowadzili: Michael Bahar, Partner, Co-Lead of Global Cybersecurity and Data Privacy, oraz Paweł Lipski, Partner, Head of IP and TMT. Uczestnicy szkolenia mogli sprawdzić, w jakim stopniu są przygotowani na ewentualne zagrożenia lub ataki, mierząc się z przypadkami takimi jak opisany powyżej. Była to nie tylko doskonała okazja, żeby zapoznać się z rozwiązaniami, które od niedawna obowiązują w polskim systemie prawnym, ale także, by czerpać z cennego doświadczenia kolegów zza oceanu. Doświadczenie to jest tym cenniejsze, że ustawa z 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa (pisaliśmy o niej tutaj) nie zawiera gotowej recepty ani rozwiązania. Zawiera ona jedynie zestaw wskazówek. Jedną z nich jest nakaz, aby środki stosowane przed, jak i po incydencie były adekwatne, czyli szyte na miarę danej organizacji przy uwzględnieniu rodzaju ataku, związanych z nim zagrożeń, wpływu na świadczenie usług i dostępnych środków mających na celu zminimalizowanie skutków.

Poniżej przedstawiamy kluczowe punkty szkolenia.

Po pierwsze, praca zespołowa. Wbrew pozorom podjęcie właściwej reakcji na cyberatak nie stanowi domeny informatyków (informatyków śledczych). Skuteczne działanie najczęściej wymaga współpracy informatyków śledczych, prawników oraz specjalistów w zakresie komunikacji. W ramach Cyber Forensics informatycy śledczy przeprowadzą analizę powłamaniową, zabezpieczą dowody i, w razie potrzeby, podejmą właściwe środki mające na celu przeciwdziałanie dalszym naruszeniom lub ograniczające skutki naruszenia. Prawnicy zapewnią zgodność regulacyjną, ale także ocenią planowany sposób reagowania na cyberatak pod kątem ewentualnych roszczeń. Specjalista ds. komunikacji natomiast zadba o odbudowanie zaufania wśród kontrahentów i konsumentów.

Po drugie, właściwe zabezpieczenie dowodów

W przypadku kontroli (np. na skutek zgłoszenia organowi ds. cyberbezpieczeństwa poważnego incydentu) niezwykle ważne będzie wykazanie, że działania podjęte wskutek cyberataku były adekwatne do ryzyka. Tu duże znaczenie będzie miało takie zabezpieczenie dowodów, aby organ nadzoru albo sąd uznały je za wiarygodne. W tym kontekście warto zwrócić uwagę na to, że w wyroku z 20 czerwca 2013 r., III KK 12/13, Sąd Najwyższy opowiedział się za ostrożną oceną dowodów elektronicznych (informatycznych) z uwagi na względnie prostą możliwość manipulacji ich treścią.

Po trzecie, zasada ograniczonego zaufania

Z uwagi na to, że w reagowaniu na cyberzagrożenia lub cyberataki udział biorą także informatycy śledczy, specjaliści ds. komunikacji lub inne osoby niebędące profesjonalnymi pełnomocnikami, pamiętać należy, że osób tych nie obowiązuje tajemnica zawodowa podobna do tajemnicy adwokackiej czy radcowskiej. Nierzadko zasięg terytorialny ataku sieciowego wykracza poza granice Polski czy nawet Unii Europejskiej. W takim przypadku warto pamiętać o różnicach między systemami prawnymi choćby w odniesieniu do attorney-client priviledge i o tym, że w prawie amerykańskim tajemnica ta rozumiana jest wąsko, obejmuje wyłącznie oświadczenia mocodawcy oraz tę część oświadczeń pełnomocnika profesjonalnego, która zawiera w sobie oświadczenia mocodawcy i zazwyczaj nie obejmuje informacji pozyskanych przez eksperta (informatyka, tłumacza) bezpośrednio od klienta, chyba że ekspert działa jako agent profesjonalnego pełnomocnika (tak m.in. Fin. Techs. Int’l, Inc. v. Smith, 49 Fed. R. Serv. 3d 961, 967 (S.D.N.Y. 2000). Także w tym ostatnim przypadku możliwość powoływania się na tajemnicę może być istotnie ograniczona do sytuacji, gdy obecność eksperta jest niezbędna dla prawidłowej komunikacji między pełnomocnikiem a mocodawcą (United States v. Kovel, 296 F.2d 918, 921–922 (2d Cir. 1961); In re Grand Jury Proceedings, 220 F.3d 568, 571 (7th Cir. 2000); United States v. Cote, 456 F.2d 142, 143 (8th Cir. 1972)).

Po czwarte, oko za oko nie ma tu zastosowania

Czasem może wydawać się, że jedyną właściwą odpowiedzią na atak jest atak zwrotny (hack back). Nic bardziej mylnego. Działanie takie najczęściej będzie skutkowało przypisaniem odpowiedzialności karnej (na podstawie art. 269b kodeksu karnego).

Po piąte, siła wyższa i wyłączenia odpowiedzialności w umowie ubezpieczenia

Niektóre wzorce umów ubezpieczenia odpowiedzialności cywilnej zawierają bardzo szeroką definicję siły wyższej lub okoliczności wyłączających odpowiedzialność ubezpieczyciela. Nierzadko pojawiają się w nich wskazane wprost cyberataki lub działania wojenne i zbliżone do działań wojennych.

Po szóste, pracownicy

Jednym z elementów zarządzania kryzysem jest zapewnienie właściwej komunikacji z pracownikami, tj. wyjaśnienie im zdarzenia oraz poinformowanie ich o tym, jakie informacje dotyczące zdarzenia mogą być udostępniane poza organizacją. Pozwoli to na ograniczenie zachowań podejmowanych przez pracowników z powodu dezorientacji, strachu czy poczucia niepewności, w tym komentowania zdarzenia w mediach społecznościowych. Jest to niezwykle istotny element ochrony, a następnie odbudowywania zaufania kontrahentów i użytkowników do organizacji.

Michael Bahar (od lewej) i Paweł Lipski - prowadzący warsztat "Navigating cyber-attack", 9.10.2018


Komentarze
Parts Store: Bardzo przydatny poradnik. Warto się dobrze zabezpieczyć przed takimi nieprzyjemnymi niespodziankami.
2018-10-23

Mat: Dzięki za świetny artykuł zarządzanie kryzysowe jest troszkę tematem tabu a to bardzo problematyczne zwłaszcza dla większych przedsiębiorstw.
2018-11-15




Dodaj komentarz
Nick/Pseudonim
WWW
Treść
Subskrybuj

Powiadamiaj mnie o nowych komentarzach do tego artykułu
E-mail (ukryty)


Bądź na bieżąco

Możesz zaprenumerować ten blog. Wpisz adres e-mail, a powiadomienie o nowym wpisie dostaniesz na swoją skrzynkę. 


O serwisie

Zwięźle i praktycznie o nowych technologiach oraz prawie własności intelektualnej i jego zastosowaniu w sieci.

O autorach
Prawo konsumenckie
Ostatnie komentarze
Parts Store komentuje Strategia i jeszcze raz strategia
Archiwum
2018
Tagi
prawo autorskie (33)e-commerce (20)Internet (18)artykuły prasowe (18)Nowe prawo konsumenckie (17)
naruszenie prawa w internecie (14)orzecznictwo TSUE (13)konsumenci (13)dane osobowe (12)cloud computing (12)znaki towarowe (11)regulaminy (11)e-handel (11)opłaty reprograficzne (11)sklep internetowy (11)e-sklep (11)licencje (10)Trybunał Sprawiedliwości Unii Europejskiej (10)orzecznictwo sądów polskich (10)numer IP (10)e-sprzedaż (9)własność intelektualna (8)webinarium (8)klauzule abuzywne (8)sprzedaż w internecie (8)handel elektroniczny (8)bezpieczeństwo danych (7)identyfikacja po numerze IP (7)linkowanie (7)opłaty od urządzeń i czystych nośników (7)copyright levies (7)prawo europejskie (7)udostępnianie danych osobowych (7)informatyka śledcza (7)hosting provider (6)sprawy sądowe (6)nowe technologie (6)dyrektywy (6)utwory (6)licencja (6)TSUE (6)oprogramowanie (6)odpowiedzialność host provider'ów (6)Znalezione Polubione (6)identyfikacja sprawcy w internecie (6)platforma ODR (5)kopia (5)embeding (5)prawo konsumenckie (5)prawnicy (5)umowy prawnoautorskie (5)forum internetowe (5)service provider (5)dowody (5)poufność (5)orzeczenia (5)technologie (5)spory konsumenckie (5)embedding (5)dozwolony użytek (5)retencja danych (4)wyszukiwarka (4)użytek prywatny (4)prawa pokrewne (4)rozpowszechnianie (4)ustawa o świadczeniu usług drogą elektroniczną (4)chmura (4)reklama (4)dane (4)copyrights (4)telekomunikacja (4)program komputerowy (4)embedowanie (4)ADR (4)dokumenty elektroniczne (4)bazy danych (4)zamówienia publiczne (4)sprzedaż (4)utwór (4)blockchain (4)embed (4)usługi świadczone drogą elektroniczną (4)umowy prawno-autorskie (4)linking (4)autorskie prawa majątkowe (4)wyczerpanie prawa (4)treści (3)RODO (3)bitcoin (3)ochrona baz danych (3)utwory przyszłe (3)EuroZamowienia.pl (3)monitorowanie treści (3)hosting (3)Oracle (3)umowy o przeniesienie praw autorskich (3)domeny (3)art. 14 uśude (3)baza danych (3)monitorowanie użytkowników (3)ryzyka cloud computing (3)inwigilacja w sieci (3)Usedsoft (3)sprzedaż programu (3)link (3)sklepy internetowe (2)cyberbezpieczeństwo (2)dyrektywa o handlu elektronicznym (2)przeniesienie autorskich praw majątkowych (2)NDA (2)naruszenia praw autorskich (2)Uber (2)Chambers & Partners (2)tajemnica przedsiębiorstwa (2)zakupy internetowe (2)prawa autorskie do strony (2)Google (2)legalny użytkownik (2)strona internetowa (2)kancelaria prawna (2)LegalTech (2)wiarygodna wiadomość (2)koszt retencji danych (2)ukierunkowana (2)promocja (2)Facebook (2)metawyszukiwarki (2)prawa producentów fonogramów (2)licencja pudełkowa (2)varia (2)GIODO (2)ankiety online (2)SaaS (2)UOKiK (2)internet rzeczy (2)Platformy internetowe (2)SABAM. Scarlet Extended (2)umowa o zachowaniu poufności (2)aplikacje mobilne (2)spory transgraniczne (2)dyrektywa 2001/29 (2)Svensson (2)organizacje zbiorowego zarządzania prawami autorskimi (2)usługi prawne (2)cookies (2)FinTech (2)nadania (2)dyrektywa w sprawie ochrony programów komputerowych (2)sztuczna inteligencja (2)prawo angielskie (2)dystrybucja (2)audyt oprogramowania (2)administrator forum internetowego (2)cloud computing dla prawników (2)ukierunkowane (2)udostępnianie utworu (2)ustawa o krajowym systemie cyberbezpieczeństwa (2)metawyszukiwarka (2)reklamacje (2)właściwości pliku (2)blog (2)e-discovery (1)partnerstwo innowacyjne (1)korzystanie z dzieła w domenie publicznej (1)Pinckney C-170/12 (1)Urząd Unii Europejskiej ds. Własności Intelektualnej (1)QC Leisure (1)zmowy przetargowe (1)mechanizm opt-out (1)ochrona dóbr osobistych (1)Google Reader (1)konkurs w internecie (1)trade secrets (1)rozporządzenia Rady (WE) nr 44/2001 (1)OHIM (1)public viewing (1)dyrektywa 2009/24 (1)Aula Polska (1)odtwarzanie muzyki w miejscach publicznych (1)ochrona wizerunku (1)odpowiedzialność pośredników (1)rejestracja domen (1)prawo do nadań (1)kwalifikowany certyfikat (1)nadawcy radiowi i telewizyjni (1)ograniczenia przeniesienia praw (1)plagiat ukryty (1)WIPO (1)trwały nośnik (1)ICANN (1)wprowadzenie do obrotu (1)BSA (1)ustawa z dnia 18 września 2001 r. o podpisie elektronicznym (1)Europejski Trybunał Praw Człowieka (1)plagiat (1)wspólnotowy znak towarowy (1)operatorzy witryn indeksujących (1)aplikacja mobilna (1)podpis elektroniczny (1)umowy na odległość (1)druk 3D (1)smart contracts (1)gry hazardowe (1)patent (1)serwis społecznościowy (1)RODO w ubezpieczeniach (1)adaptacje filmowe utworów (1)ustawa inwigilacyjna (1)Jednolity rynek cyfrowy (1)koszty cloud computing (1)BYOD (1)patenty (1)dostawcy usług cyfrowych (1)właściwość sądu (1)odpowiedzialność za szkody (1)geoblokowanie (1)pobranie (1)screening (1)klasyfikacja nicejska (1)operator usług kluczowych (1)dyrektywa 2011/77/UE (1)jurysdykcja (1)baza EBD (1)Coditel no. 1. (1)stosowne wynagrodzenie (1)non disclosure agreement (1)startup (1)Royal Wedding (1)sprzedaż serwisu (1)usługi dotyczące opakowań z cudzym znakiem (1)ambush marketing (1)domena publiczna (1)Coty Germany C-360/12 (1)EUIPO (1)Murphy (1)Creative Commons (1)odbiorniki RTV w pokojach hotelowych (1)ochrona prywatności (1)prawo właściwe (1)prawa do fotografii produktów (1)czytnik (1)Pez Hejduk (C-441/13) (1)YouTube (1)monitoring internetu (1)transmisja (1)kwalifikowany podpis elektroniczny (1)alternatywne metody rozstrzygania sporów (1)ochrona opisów produktów (1)statystyka (1)Unijne rozporządzenie nr 2015/2424 (1)sunrise period (1)podatki (1)certyfikat (1)social media (1)zasady etyki (1)synchronizacja (1)korzystanie z utworów w postępowaniach sądowych (1)plagiat jawny (1)unijny znak towarowy (1)usługi płatnicze (1)podpis elektroniczny weryfikowany kwalifikowanym certyfikatem (1)wiarygodne zawiadomienie (1)ethereum (1)loterie (1)sieci peer-to-peer (1)atak hakerski (1)UKE (1)egzemplarz (1)Procurement Explorer (1)prawo odstąpienia (1)Dostawcy treści online (1)fan page (1)bring your own device (1)ACTA (1)artystyczne wykonanie (1)nowa ustawa (1)samochody autonomiczne (1)cross-border portability (1)MS Word (1)tłumaczenie (1)Proseed (1)usługi cyfrowe (1)prawa artystów wykonawców (1)domena krajowa (1)artificial intelligence (1)eksport danych (1)Deutsche Grammophon (1)
więcej...
Poznaj inne nasze serwisy

Blog EuroZamowienia.pl
Blog kodeksWpracy.pl
Blog PrawoMówni.pl
Blog PrzepisNaEnergetyke.pl
Blog LepszaTaktyka.pl

Ta strona internetowa używa plików cookies (tzw. ciasteczka) w celach statystycznych oraz dla prawidłowego funkcjonowania strony. Każdy może zaakceptować pliki cookies albo poprzez ustawienia przeglądarki lub wyrażenie zgody poniżej. Możliwe jest także wyłączenie cookies poprzez ustawienia przeglądarki, dzięki czemu nie będą zbierane żadne informacje. Dowiedz się więcej w naszej polityce prywatności.



Akceptuję