Ciężko dziś wyobrazić sobie prowadzenie biznesu bez dobrodziejstw nowoczesnych technologii. Z popularnością internetu i usług świadczonych za jego pośrednictwem rośnie liczba zagrożeń, na które narażeni są przedsiębiorcy. Do powszechniejszych form ataku cybernetycznego należy blokowanie dostępu do usług.

Niedawno głośno było o ataku na portal podatki.gov.pl, wskutek czego przez pewien czas nie mieliśmy dostępu do platformy. Nawet instytucje państwowe nie są całkiem odporne na czyhające w sieci zagrożenia. Mając świadomość istniejącego ryzyka, wiedzę i zasoby gotowe reagować na zagrożenia, przedsiębiorcy mogą minimalizować prawdopodobieństwo wystąpienia ataku i skutecznie zwalczać jego negatywne skutki.

Czytaj więcej

Start-upy nie godzą się na nowy pomysł UE i płacenie za internet

Masa zapytań

Metodyka działania sprawców może polegać przede wszystkim na skierowaniu za pomocą oprogramowania masowych zapytań na serwer ofiary, by wyczerpać jego zasoby, blokując dostęp. Przykład: strajk właścicieli stacji kontroli pojazdów, którzy w ramach protestu planowali w jednym momencie wprowadzić do systemu dane o przeglądach, by przeciążyć serwery Centralnej Ewidencji Pojazdów i Kierowców.

Bywa, że taki atak przeprowadzany jest z poziomu urządzeń zwykłych, nieświadomych użytkowników, które uprzednio zainfekowano wirusem. W momencie wydania komendy przez sprawcę następuje rozproszony atak na serwer, który ulega przeciążeniu. Obrona przed takimi działaniami jest utrudniona, podobnie jak ustalenie tożsamości sprawcy.

Znamy ataki tzw. bomb pocztowych – masowego wysyłania wiadomości e-mail na konkretny adres lub grupę adresów w danym systemie. Skutek: blokada infrastruktury poczty e-mail, przekroczenie pojemności skrzynki, a czasem awaria całej infrastruktury informatycznej.

Blokada dostępu do usług to przejściowa niesprawność systemu informatycznego. Ta niedogodność generuje straty: brak sprzedaży usług. Generuje oczywiście koszty związane z przywróceniem sprawności wszystkich funkcjonalności. Im dłużej to potrwa, tym potencjalnie większe są negatywne następstwa ataku. Przedłużające się problemy z działaniem infrastruktury informatycznej mogą być też powodem strat wizerunkowych w oczach klientów i kontrahentów. Jeśli atak spowoduje dodatkowo naruszenia w zakresie ochrony danych osobowych, przedsiębiorca stanie się obiektem zainteresowania organów zajmujących się tym zagadnieniem. Ilość i rozmiar negatywnych następstw ataku sprawia, że zagrożenia nie powinno się lekceważyć.

Ataki polegające na blokowaniu dostępu do usług można rozpatrywać zarówno w kontekście prawa karnego, jak i cywilnego. Przedsiębiorcy mają możliwość dochodzenia swoich praw, korzystając z obu wskazanych reżimów prawnych.

Utrudnianie dostępu do danych informatycznych lub zakłócanie pracy systemu informatycznego mogą być zagrożone nawet karą pozbawienia wolności. Odpowiedzialność karna grozi też za wytwarzanie, pozyskiwanie lub udostępnianie innym osobom urządzeń lub programów komputerowych przystosowanych do popełnienia przestępstw związanych z atakami cybernetycznymi.

Prawo cywilne wskazuje jasno: kto z winy swej wyrządził drugiemu szkodę, obowiązany jest ją naprawić. Odszkodowanie obejmie przede wszystkim rzeczywiste straty poniesione w związku z atakiem. W tych granicach poszkodowany może ubiegać się o zwrot kosztów przywrócenia działania systemu. Ale też na korzyści, które mógłby osiągnąć, gdyby mu szkody nie wyrządzono. Prowadzący platformę sprzedażową może żądać od sprawcy zapłaty kwoty odpowiadającej wysokości zysków, jakich nie osiągnął wskutek niedostępności platformy.

Ustalić sprawcę

Jeżeli za atak odpowiada inny przedsiębiorca, poszkodowany dysponuje szerszym katalogiem środków przewidzianych przez ustawę o zwalczaniu nieuczciwej konkurencji. Podmiot, którego interes został zagrożony lub naruszony atakiem, może żądać nie tylko naprawienia szkody na zasadach ogólnych, ale też zaniechania niedozwolonych działań, usunięcia ich skutków, złożenia jednokrotnego lub wielokrotnego oświadczenia w odpowiedniej formie.

Możemy dysponować nawet najostrzejszymi środkami reakcji prawnej na cyberataki, jednak nie skorzystamy z nich skutecznie, jeżeli nie ustalimy tożsamości sprawcy. To właśnie zlokalizowanie źródła ataku może stanowić największe wyzwanie dla poszkodowanych. Choć organy ścigania w związku z rosnącą liczbą spraw związanych z cyberprzestępczością z roku na rok coraz lepiej rozumieją to zjawisko, jednak często ustalenie sprawcy nadal stanowi dla nich nie lada wyzwanie. Należy zdawać sobie sprawę, że za tego typu przestępstwami zazwyczaj stoją osoby, które dobrze znają się na swojej „pracy”. I doskonale wiedzą, jak zamaskować swą tożsamość lub skierować podejrzenia na osoby trzecie.

Wewnętrzne procedury

Przedsiębiorcy działający choćby częściowo w internecie powinni zatem kierować się hasłem: „lepiej zapobiegać, niż leczyć”. To właśnie działania prewencyjne mogą przynieść najwięcej pożytku dla bezpieczeństwa firmy. Podstawową formą obrony przed atakami powinno być zatem wdrożenie odpowiednich zabezpieczeń informatycznych, które w adekwatny sposób reagowałyby na podejrzane ruchy sieciowe. Regularne aktualizacje oprogramowania również przyczyniają się do zwiększenia bezpieczeństwa. Nie bez znaczenia jest także posiadanie wewnętrznych procedur na wypadek zaistnienia zagrożenia oraz właściwe przeszkolenie personelu w tym zakresie.

Biznes powinien być przygotowany na każdy możliwy scenariusz. Jeżeli zatem sprawcom ataku uda się przełamać zabezpieczenia i skutecznie zablokować działanie systemu informatycznego, warto posiadać gotowe procedury reagowania w tego typu sytuacjach. Na pierwszą linię frontu walki z atakiem wychodzą specjaliści do spraw IT, działający w celu przywrócenia prawidłowego funkcjonowania systemu. Już na tym etapie powinno się podjąć próbę ustalenia źródła zagrożenia i zabezpieczenia dowodów działań sprzecznych z prawem.

Jeżeli istnieje uzasadnione podejrzenie popełnienia przestępstwa, zalecane jest niezwłoczne zawiadomienie o tym fakcie organów ścigania. W każdym jednak przypadku nie można obok takich działań przejść obojętnie, a kluczowe znaczenie dla minimalizowania szkód może mieć czas reakcji na zagrożenia. Przedsiębiorcy powinni przy tym pamiętać o konieczności opracowania zawczasu odpowiednich regulacji, które w precyzyjny sposób określą metodykę postępowania w sytuacji ataku.

Autor jest prawnikiem w kancelarii Grube