Kluczem do sukcesu jest opracowanie właściwego planu (składającego się z kilku wariantów postępowania) oraz zapewnienie, że plan ten zostanie wykonany (m.in. poprzez szkolenie pracowników). Choć obecnie dominują nowe technologie, które obdarzamy coraz większym zaufaniem, czasami jedynym właściwym rozwiązaniem będą środki analogowe. Przykładowo, w razie zablokowania usługi poczty elektronicznej może się okazać, że choć wiemy, komu należy zgłosić incydent, to nie możemy się z tą osobą skontaktować, gdyż utraciliśmy wszystkie kontakty służbowe. Przed takim impasem może nas skutecznie ochronić kartka papieru z odnotowanymi numerami kontaktowymi (także prywatnymi) umieszczona w kalendarzu czy portfelu.

O tym, jak ważne jest opracowanie strategii, oraz jakie elementy należy w tej strategii uwzględnić, można było się dowiedzieć 9 października 2018 r. podczas zorganizowanego przez nas szkolenia Navigating a cyber-attack - what do you need to know? Szkolenie poprowadzili: Michael Bahar, Partner, Co-Lead of Global Cybersecurity and Data Privacy, oraz Paweł Lipski, Partner, Head of IP and TMT. Uczestnicy szkolenia mogli sprawdzić, w jakim stopniu są przygotowani na ewentualne zagrożenia lub ataki, mierząc się z przypadkami takimi jak opisany powyżej. Była to nie tylko doskonała okazja, żeby zapoznać się z rozwiązaniami, które od niedawna obowiązują w polskim systemie prawnym, ale także, by czerpać z cennego doświadczenia kolegów zza oceanu. Doświadczenie to jest tym cenniejsze, że ustawa z 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa (pisaliśmy o niej tutaj) nie zawiera gotowej recepty ani rozwiązania. Zawiera ona jedynie zestaw wskazówek. Jedną z nich jest nakaz, aby środki stosowane przed, jak i po incydencie były adekwatne, czyli szyte na miarę danej organizacji przy uwzględnieniu rodzaju ataku, związanych z nim zagrożeń, wpływu na świadczenie usług i dostępnych środków mających na celu zminimalizowanie skutków.

Poniżej przedstawiamy kluczowe punkty szkolenia.

Po pierwsze, praca zespołowa. Wbrew pozorom podjęcie właściwej reakcji na cyberatak nie stanowi domeny informatyków (informatyków śledczych). Skuteczne działanie najczęściej wymaga współpracy informatyków śledczych, prawników oraz specjalistów w zakresie komunikacji. W ramach Cyber Forensics informatycy śledczy przeprowadzą analizę powłamaniową, zabezpieczą dowody i, w razie potrzeby, podejmą właściwe środki mające na celu przeciwdziałanie dalszym naruszeniom lub ograniczające skutki naruszenia. Prawnicy zapewnią zgodność regulacyjną, ale także ocenią planowany sposób reagowania na cyberatak pod kątem ewentualnych roszczeń. Specjalista ds. komunikacji natomiast zadba o odbudowanie zaufania wśród kontrahentów i konsumentów.

Po drugie, właściwe zabezpieczenie dowodów

W przypadku kontroli (np. na skutek zgłoszenia organowi ds. cyberbezpieczeństwa poważnego incydentu) niezwykle ważne będzie wykazanie, że działania podjęte wskutek cyberataku były adekwatne do ryzyka. Tu duże znaczenie będzie miało takie zabezpieczenie dowodów, aby organ nadzoru albo sąd uznały je za wiarygodne. W tym kontekście warto zwrócić uwagę na to, że w wyroku z 20 czerwca 2013 r., III KK 12/13, Sąd Najwyższy opowiedział się za ostrożną oceną dowodów elektronicznych (informatycznych) z uwagi na względnie prostą możliwość manipulacji ich treścią.

Po trzecie, zasada ograniczonego zaufania

Z uwagi na to, że w reagowaniu na cyberzagrożenia lub cyberataki udział biorą także informatycy śledczy, specjaliści ds. komunikacji lub inne osoby niebędące profesjonalnymi pełnomocnikami, pamiętać należy, że osób tych nie obowiązuje tajemnica zawodowa podobna do tajemnicy adwokackiej czy radcowskiej. Nierzadko zasięg terytorialny ataku sieciowego wykracza poza granice Polski czy nawet Unii Europejskiej. W takim przypadku warto pamiętać o różnicach między systemami prawnymi choćby w odniesieniu do attorney-client priviledge i o tym, że w prawie amerykańskim tajemnica ta rozumiana jest wąsko, obejmuje wyłącznie oświadczenia mocodawcy oraz tę część oświadczeń pełnomocnika profesjonalnego, która zawiera w sobie oświadczenia mocodawcy i zazwyczaj nie obejmuje informacji pozyskanych przez eksperta (informatyka, tłumacza) bezpośrednio od klienta, chyba że ekspert działa jako agent profesjonalnego pełnomocnika (tak m.in. Fin. Techs. Int’l, Inc. v. Smith, 49 Fed. R. Serv. 3d 961, 967 (S.D.N.Y. 2000). Także w tym ostatnim przypadku możliwość powoływania się na tajemnicę może być istotnie ograniczona do sytuacji, gdy obecność eksperta jest niezbędna dla prawidłowej komunikacji między pełnomocnikiem a mocodawcą (United States v. Kovel, 296 F.2d 918, 921–922 (2d Cir. 1961); In re Grand Jury Proceedings, 220 F.3d 568, 571 (7th Cir. 2000); United States v. Cote, 456 F.2d 142, 143 (8th Cir. 1972)).

Po czwarte, oko za oko nie ma tu zastosowania

Czasem może wydawać się, że jedyną właściwą odpowiedzią na atak jest atak zwrotny (hack back). Nic bardziej mylnego. Działanie takie najczęściej będzie skutkowało przypisaniem odpowiedzialności karnej (na podstawie art. 269b kodeksu karnego).

Po piąte, siła wyższa i wyłączenia odpowiedzialności w umowie ubezpieczenia

Niektóre wzorce umów ubezpieczenia odpowiedzialności cywilnej zawierają bardzo szeroką definicję siły wyższej lub okoliczności wyłączających odpowiedzialność ubezpieczyciela. Nierzadko pojawiają się w nich wskazane wprost cyberataki lub działania wojenne i zbliżone do działań wojennych.

Po szóste, pracownicy

Jednym z elementów zarządzania kryzysem jest zapewnienie właściwej komunikacji z pracownikami, tj. wyjaśnienie im zdarzenia oraz poinformowanie ich o tym, jakie informacje dotyczące zdarzenia mogą być udostępniane poza organizacją. Pozwoli to na ograniczenie zachowań podejmowanych przez pracowników z powodu dezorientacji, strachu czy poczucia niepewności, w tym komentowania zdarzenia w mediach społecznościowych. Jest to niezwykle istotny element ochrony, a następnie odbudowywania zaufania kontrahentów i użytkowników do organizacji.

Michael Bahar (od lewej) i Paweł Lipski - prowadzący warsztat "Navigating cyber-attack", 9.10.2018

Artykuł autorstwa dr Darii Gęsickiej.