Firmy powinny wkalkulowywać w swoją działalność ryzyko ataków hakerskich

Autorem komentarza jest Valeria Jeleńska, prawnik i Prezes Zarządu w JP Business Law Firm

Wraz z dokonującą się coraz bardziej dynamicznie cyfryzacją biznesu rośnie liczba ataków hakerskich – firmy, niezależnie od wielkości, powinny już wkalkulowywać to ryzyko w swoją bieżąca działalność i przede wszystkim odpowiednio dopracować m.in. procedury i regulaminy wewnętrzne pod tym kątem, tak by każdy z pracowników miał świadomość, że jest to jeden z czynników mogących istotnie skomplikować działalność firmy. Już na tym gruncie można o tyle się przygotować, że wykradzenie lub zaszyfrowanie danych projektowych nie komplikuje nam bieżących prac, ponieważ mamy tzw. backup o którego konieczności przypomina np. wewnętrzny regulamin.

Tylko systemowe podejście do problemu zda w tym przypadku egzamin, bo alternatywy przed cyfryzacją nie ma. Na podstawie zapobiegawczych działań działów IT w firmie powinny być wdrożone odpowiednie procedury na poziomie działu HR (pracownicy muszą być dokładnie poinformowani o tym, jak ich zachowanie przekłada się na bezpieczeństwo firmy), te procedury muszą być zgodne z prawem oraz nadawać się do wyegzekwowania, w tym – zawierać kary porządkowe. Tylko takie podejście, to jest połączenie środków ochrony z odpowiednią pracą z pracownikami i ich edukacją pozwoli zmniejszyć ryzyka czynnika ludzkiego, który na pewno odgrywa kluczową rolę przy podobnych sytuacjach, jaka miała miejsce w CD Project.

Polskie prawo oczywiście przewiduje kary za rozmaite cybeprzestępstwa, w tym za hacking. Kara bezpośrednio zależy od skali szkód i może przybrać postać grzywny, kary ograniczenia wolności albo nawet kary pozbawienia wolności. Natomiast w tym kontekście ważna jest jeszcze jedna rzecz, która często ma miejsce podczas hackingu – wyciek danych osobowych. W tym przypadku za bezpieczeństwo danych odpowiada administrator, czyli firma. Odpowiedzialność nie jest bezwzględna, natomiast jeśli dane nie były chronione w sposób należyty, to firma może zostać obarczona odpowiedzialnością i karami, mimo że de facto jest ofiarą przestępstwa. Dlatego tak ważne jest przygotowanie organizacyjne na ewentualność takiego ataku i wdrożenie odpowiednich procedur na poziomie organizacji. Brak takich rozwiązań sprawia, że firma ryzykuje nie tylko bezpośrednimi konsekwencjami ataku hakerskiego, ale również np. przyszłymi pozwami ze strony klientów o niedopełnienie obowiązku ochrony danych. Jak widać skutki mogą być wieloaspektowe i bierne podejście do tematu lub wciąż dosyć częste nieuwzględnianie kwestii cyberbezpieczeństwa to w tym wypadku najgorsze możliwe rozwiązanie.