Statystyki zatrważają – CERT Polska jeszcze w 2020 r. odnotował 10 420 incydentów bezpieczeństwa, podczas gdy w 2023 r. tak kwalifikowanych zdarzeń było aż 80 267. Dotykają one nie tylko największe międzynarodowe korporacje, ale równie często mikroprzedsiębiorstwa, czy osoby prywatne. Po opanowaniu sytuacji kryzysowej pojawia się najczęściej pytanie: kto odpowiada za wyciek danych towarzyszący przełamaniu naszych zabezpieczeń?

Kosztowne niebezpieczeństwo

Cyberbezpieczeństwo definiowane jest zazwyczaj za pomocą czterech atrybutów: poufności, dostępności, integralności i autentyczności przetwarzanych danych. Wyciek oznacza utratę poufności, czyli sytuację, gdy do danych uzyskuje dostęp osoba nieuprawniona. Choć kojarzymy je zazwyczaj z danymi osobowymi, wycieki mogą dotyczyć także innych informacji, m.in. haseł, dokumentów księgowych, czy kontraktów handlowych.

Źródła wycieku danych mogą być zarówno zewnętrzne (np. cyberatak, kompromitacja łańcucha dostaw), jak i wewnętrzne (np. błąd lub świadome działanie pracownika). Niezależnie od tego, jak doszło do ujawnienia danych, jego koszty mogą być bardzo wysokie i rozciągnięte w czasie. Od bezpośrednich, jak kradzież środków z rachunku, czy koszty obsługi incydentu i przywrócenia ciągłości działania, po pośrednie, czyli utratę renomy i zaufania klientów, czy kary administracyjne. Zwłaszcza te ostatnie bywają bardzo dotkliwe i ujawniające się nawet po kilku latach. Dość wspomnieć o sprawie wycieku z Morele.net, do którego doszło blisko 6 lat temu, a decyzja prezesa Urzędu Ochrony danych Osobowych (PUODO) o nałożeniu kary nadal nie jest prawomocna. Nic dziwnego, że firmy próbują odzyskać chociaż część tych kosztów od osób i podmiotów, które doprowadziły do wycieku.

Nieuchwytny sprawca

Z tym zazwyczaj łatwo nie jest. Szukając odpowiedzialnego za utratę poufności informacji jako pierwszy do głowy przychodzi oczywiście faktyczny sprawca wycieku. Rzadko jednak zdarza się, że tę osobę lub grupę da się w ogóle ustalić, nie mówiąc już o pociągnięciu do jakiejkolwiek odpowiedzialności. Cyberprzestępcy stosują różne techniki maskujące ich działania, żeby utrudnić wykrycie. Przebicie się przez te zasłony zajmuje informatykom śledczym wiele dni, jeśli nie miesięcy, a efekt i tak nie zawsze jest satysfakcjonujący. W razie poważnego incydentu właściwie każda firma jest nastawiona na jak najszybsze przywrócenie normalnego funkcjonowania. Wiele danych, które miałyby szansę pomóc w ustaleniu sprawcy incydentu jest często bezpowrotnie traconych jeszcze zanim profesjonaliści przystąpią do analizy zdarzenia.

Ujęcie sprawcy jest niemożliwe bez zaangażowania organów ścigania, a z tym też bywa różnie. Choć powołane 2 lata temu Centralne Biuro Zwalczania Cyberprzestępczości działa prężnie i już może się pochwalić niemałymi sukcesami, nie jest w stanie obsłużyć wszystkich spraw z zakresu cyberprzestępczości w kraju. Na co dzień wiele z nich prowadzonych jest przez szeregowe jednostki policji i prokuratury niższego szczebla. Tam brakuje wykwalifikowanej kadry i narzędzi do skutecznego ścigania cyberprzestępców.

Sytuację komplikuje międzynarodowy charakter tego typu przestępstw.

PRZYKŁAD

Ustalenie podmiotu, który w danym okresie korzystał z ustalonego w śledztwie adresu IP jest możliwe, ale wymaga zwrócenia się do dostawcy usług internetowych. Jeśli taka firma ma siedzibę w innym kraju UE, policja nie może po prostu wysłać do niej żądania udzielenia informacji. Konieczne jest uruchomienie formalnej procedury – europejskiego nakazu dochodzeniowego. W praktyce oznacza to, że sąd lub prokurator występują do swoich odpowiedników w innym kraju UE z prośbą o uzyskanie określonych dowodów – w tym przypadku o pomoc w identyfikacji potencjalnego cyberprzestępcy. Dopiero te organy kontaktują się z dostawcą usług i przekazują swoje ustalenia z powrotem do Polski. Dodajmy do tego konieczność przetłumaczenia wszystkich wymienianych dokumentów i okaże się, że na jakiekolwiek ustalenia śledczy muszą czekać przynajmniej kilka miesięcy. A jeśli dostawca działa poza UE (np. w USA lub Indiach), sprawa komplikuje się jeszcze bardziej.

Biorąc wszystko pod uwagę, odzyskanie choćby części kosztów wycieku danych od jego sprawcy jest bardzo mało prawdopodobne. Nie jest niemożliwe, ale opieranie strategii bezpieczeństwa firmy na tym założeniu nie jest zbyt rozsądne. Jeśli ktoś nadal ma jakieś wątpliwości może porównać dane statystyczne. W 2020 r. policja wszczęła 7 017 postępowań o czyn z art. 267 k.k. (bezprawne uzyskanie informacji), a wyroki skazujące zapadły w zaledwie 106 sprawach.

To może pracownik?

Badania pokazują, że niemal co trzeci wyciek danych spowodowany jest błędem ludzkim. Koszty takiego wycieku są zazwyczaj zbliżone do tych powodowanych przez ataki z zewnątrz organizacji. Jednak jego sprawca jest zazwyczaj znany i stosunkowo łatwy do namierzenia. Pojawia się wtedy pokusa do pociągnięcia pracownika do odpowiedzialności cywilnej (lub karnej) i w ten sposób odzyskania utraconych środków. Podstawy takiej odpowiedzialności można zbudować w oparciu o naruszenie polityk i procedur obowiązujących w firmie. Przykładowo, pracownik udostępnił bazę danych nieuprawnionej osobie, albo nienależycie zabezpieczył swoje dane uwierzytelniające. Jednak w większości przypadków firmie w dalszym ciągu nie uda się odzyskać wszystkich kosztów, ani nawet ich znaczącej części.

Odpowiedzialność cywilna pracownika jest bowiem ograniczona przepisami kodeksu pracy. Po pierwsze, pracownik nie odpowiada za szkodę w zakresie w jakim pracodawca lub inna osoba przyczyniły się do jej powstania (art. 117 § 1 Kodeksu pracy). Nie można zatem od podwładnego żądać kosztów, które wynikły np. z braku procedur obsługi incydentu czy planów ciągłości działania, co doprowadziło do dłuższego przestoju w funkcjonowaniu firmy. Odpowiedzialność pracownika ograniczona jest też co do wysokości. Podwładny może być zobowiązany do naprawienia szkody w maksymalnej wysokości trzykrotności jego miesięcznego wynagrodzenia (art. 119 Kodeksu pracy).

Biorąc pod uwagę, że koszty wycieku często sięgają kilku milionów złotych, ewentualne odszkodowanie uzyskane od pracownika raczej nie wystarczy nawet na zatrudnienie specjalistów od obsługi incydentu. Oczywiście, powyższe ograniczenia nie mają zastosowania, jeśli podwładny świadomie i celowo doprowadził do wycieku danych, np. ujawniając informacje konkurencji lub używając ich we własnej działalności. Takie działanie może też być uznane za przestępstwo.

Nadzieją kontrahenci

Nieco inaczej przedstawia się możliwość dochodzenia odszkodowania za wyciek danych od kontrahentów. Jego wysokość ograniczona jest zasadniczo jedynie rozmiarami szkody, o ile zawarta umowa o współpracy nie reguluje tej kwestii odmiennie (np. wprowadzając maksymalny pułap odszkodowania). Szukając odpowiedzialnego za wyciek danych wśród kontrahentów możemy podzielić ich na dwie grupy – firmy współpracujące w ramach łańcucha dostaw oraz podmioty świadczące usługi z zakresu cyberbezpieczeństwa.

Z pierwszym przypadkiem mamy do czynienia, gdy do wycieku danych jednej firmy dochodzi w wyniku incydentu u jej kontrahenta. Przykładem może być sprawa jednej z wrocławskich klinik, dane pacjentów której wyciekły w firmie świadczącej kilka lat wcześniej usługi IT dla tej placówki medycznej. Jeśli powierzając ważne dla organizacji dane innemu podmiotowi nie zadba się o odpowiednie zabezpieczenia umowne, dochodzenie odszkodowania w razie wystąpienia incydentu może być problematyczne i długotrwałe. Warto zatem pomyśleć o tym wcześniej i odpowiednio dostosować umowy o współpracy. Tym bardziej, że zabezpieczenie łańcucha dostaw staje się powoli wymogiem prawnym, zawartym chociażby w dyrektywie NIS2, czy rozporządzeniu DORA.

Rosnąca skala cyberzagrożeń i związanych z nimi nakładów finansowych potrzebnych na zapewnienie bezpieczeństwa informacji powodują, że firmy często decydują się na outsourcing usług z zakresu cyberbezpieczeństwa. W razie wystąpienia incydentu pojawić się może pytanie, czy można dochodzić odszkodowania od kontrahenta, któremu zleciliśmy np. funkcję SOC (Security Operations Center), czy CSIRT (Computer Security Incident Response Team). Tego typu umowy są jednak kontraktami starannego działania, a nie rezultatu. Firma świadcząca usługi cyberbezpieczeństwa co do zasady nie zobowiązuje się do całkowitego przeciwdziałania incydentom, a do wykonania zlecenia z najwyższą starannością. Jeśli mimo zawarcia takiej umowy dojdzie do wycieku danych, organizacja może żądać odszkodowania jedynie wtedy, gdy wykaże, że kontrahent nie dopełnił swoich zobowiązań kontraktowych. Zlecając bezpieczeństwo firmy na zewnątrz dobrze jest dokładnie określić w umowie wzajemne obowiązki stron, np. wskazując maksymalny czas reakcji na incydent.

Wyciek u kontrahenta to nie tylko odszkodowanie

Incydent bezpieczeństwa u kontrahenta może też wiązać się z ujawnieniem danych osobowych klientów organizacji. Wtedy oprócz kosztów obsługi samego wycieku pojawia się ryzyko odpowiedzialności firmy za naruszenie przepisów dotyczących ochrony tego rodzaju informacji. Na gruncie RODO i ustawy o ochronie danych osobowych wyróżnia się trzy reżimy odpowiedzialności: cywilną wobec osób, których dane były przetwarzane, administracyjną, związaną z karami nakładanymi przez Prezesa Urzędu Ochrony Danych Osobowych i karną za przetwarzanie bez podstawy prawnej.

W praktyce oznacza to, że organizacja może ponieść odpowiedzialność za cudzy wyciek. Jednym z podstawowych obowiązków administratora danych formułowanych przez przepisy RODO jest dopilnowanie, by przetwarzanie było powierzane wyłącznie podmiotom gwarantującym odpowiedni poziom bezpieczeństwa i jedynie na podstawie umowy lub innego dokumentu. To na administratorze w pierwszej kolejności ciąży obowiązek kontrolowania, czy przetwarzanie danych osobowych odbywa się zgodnie z przepisami. Z odpowiedzialności cywilnej wobec osób, których dane zostały ujawnione w wyniku wycieku, administrator może się zwolnić tylko, jeśli udowodni, że w żaden sposób nie ponosi winy za wystąpienie incydentu. Jeśli to się nie uda, poniesie solidarną odpowiedzialność z kontrahentem, u którego doszło do wycieku.

W postępowaniu administracyjnym PUODO będzie natomiast indywidualnie oceniał naruszenie przepisów przez administratora danych i podmiot przetwarzający. Wbrew spotykanej jeszcze czasem opinii, ujawnienie wycieku danych nie oznacza automatycznie, że organ nadzorczy sięgnie po kary administracyjne. Choć te mogą być wysokie (nawet do 20 mln euro lub 4 proc. rocznego obrotu), z 2030 decyzji wydanych w 2022 r. zaledwie w 19 PUODO sięgnął po konsekwencje finansowe. Znacznie częściej wykorzystywane są uprawnienia naprawcze, jak udzielenie upomnienia, nakazanie zawiadomienia osoby, której dane dotyczą o naruszeniu, czy spełnienie jej żądania usunięcia lub sprostowania danych.

Krajowy system cyberbezpieczeństwa

Dla podmiotów podlegających ustawie o krajowym systemie cyberbezpieczeństwa wyciek danych może wiązać się też z innym rodzajem kar. Choć wspomniany akt prawny nie przewiduje sankcji za samo wystąpienie tego rodzaju incydentu, to odpowiedzialność może być związana np. z brakiem zarządzania ryzykiem wycieku, niewdrożeniem odpowiednich środków bezpieczeństwa, brakiem obsługi incydentu, czy jego niezgłoszeniem właściwemu organowi w terminie 24h. Obecnie kary te są stosunkowo niskie (od kilku do kilkuset tysięcy złotych), ale w Ministerstwie Cyfryzacji trwają prace nad nowelizacją ustawy, implementującą wspomnianą już unijną dyrektywę NIS2. Ich efektem będzie z jednej strony znaczne zwiększenie liczby podmiotów podlegających krajowemu systemowi cyberbezpieczeństwa i uszczegółowienie wymogów im stawianym, a z drugiej – podwyższenie górnego poziomu kar finansowych nawet do 10 mln euro lub 2 proc. rocznego obrotu. Czas na implementację upływa 17 października 2024 r., a Ministerstwo szacuje, że nowe regulacje mogą objąć ponad 30 tys. organizacji. Jak widać, cyberbezpieczeństwo to już nie tylko dobre praktyki nowoczesnego biznesu, ale coraz częściej konkretne wymogi prawne.

Podstawa prawna:

- Dyrektywa Parlamentu Europejskiego i Rady (UE) 2022/2555 z dnia 14 grudnia 2022 r. w sprawie środków na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa na terytorium Unii, zmieniająca rozporządzenie (UE) nr 910/2014 i dyrektywę (UE) 2018/1972 oraz uchylająca dyrektywę (UE) 2016/1148 - dyrektywa NIS2

- Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2022/2554 z dnia 14 grudnia 2022 r. w sprawie operacyjnej odporności cyfrowej sektora finansowego i zmieniające rozporządzenia (WE) nr 1060/2009, (UE) nr 648/2012, (UE) nr 600/2014, (UE) nr 909/2014 oraz (UE) 2016/1011 – rozporządzenie DORA

- Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) - RODO

- Ustawa z 10 maja 2018 r. o ochronie danych osobowych (tekst jedn. Dz.U z 2019, poz.1781.

- Ustawa z 6 czerwca 1997 r. – Kodeks karny (tekst jedn. DzU. z 2024 r. poz. 17)

- Ustawa z 26 czerwca 1974 r. – Kodeks pracy (tekst jedn. DzU. z 2023 r. poz. 1465)