Na pewno słyszeliście o niedawnym ataku hakerskim na studio, będące jednym z wiodących producentów gier komputerowych na świecie, a więc wszystkim doskonale znany CD Project. Ataki na tak duże podmioty zawsze odbijają się echem w mediach, powodując konsternację na rynku oraz trudne do oszacowania straty, zarówno finansowe, jak i wizerunkowe. Na uwagę i aprobatę zasługuje przy tym stanowisko, przedstawione przez CD Project, zgodnie z którym, pomimo potencjalnych skutków ataku (doniesienia mówią o posiadaniu przez hakerów dostępu do znacznego zakresu danych spółki), spółka nie będzie rozmawiała ani negocjowała z przestępcami.

Z naszej praktyki i obserwacji rynku, wynika natomiast, że wielkość podmiotu w żadnym wypadku nie przesądza o jego atrakcyjności dla cyberprzestępców. Innymi słowy, również małe, rodzinne przedsiębiorstwa padają ofiarą cyberprzestępstw.

Doskonale zdajemy sobie sprawę, że technologiczne – informatyczne środki ochrony (jak chociażby wykonywanie kopii zapasowych danych, szyfrowanie, oprogramowanie antywirusowe) odgrywają w systemie bezpieczeństwa przedsiębiorstwa ogromną rolę. W tym wpisie, chcemy natomiast zwrócić uwagę na inne, niemniej ważne zagadnienia związane z ochroną: czy to danych osobowych przetwarzanych w przedsiębiorstwie, jak i innych danych, dokumentów, zgromadzonych w systemach teleinformatycznych przedsiębiorstwa.

Te, dodatkowe, poza ściśle technicznymi środkami ochrony możemy sklasyfikować jako organizacyjne, jak i prawne. Zastosowanie zarówno organizacyjnych, jak i prawnych środków zabezpieczenia naszych danych pozwala spojrzeć na cyberbezpieczeństwo z innej niż dotychczas perspektywy. Obserwacja przypadków cyberataków, czy nawet szerzej – incydentów bezpieczeństwa, pokazuje, że oprócz awarii sprzętowych, to właśnie czynnik ludzki jest tym najbardziej narażonym na błąd, mogący skutkować zagrożeniem bezpieczeństwa. Często zdarza się bowiem, że pracownik, oczywiście niecelowo, otwiera zainfekowany link zawarty w wiadomości mailowej, używa niesprawdzonego dysku zewnętrznego, czy pobiera niesprawdzony plik na dysk komputera. 

Wykorzystując właśnie takie zachowania, ogromną popularnością od przeszło dwóch lat „cieszą się” ataki typu ransomware, wykorzystujące dostęp do urządzenia będącego elementem sieci, do uniemożliwienia dostępu do danych w tej sieci zgromadzonych, m.in. przez ich zaszyfrowanie. Cyberprzestępcy za ponowne umożliwienie dostępu do danych żądają zwykle wysokiego okupu. Ilekroć podmiot nie posiada aktualnej kopii zapasowej danych, utrata dostępu do danych bywa często, nieodwracalna.  

Prawne i organizacyjne środki ochrony stanowią zatem próbę zapobieżenia incydentom opartym na błędach ludzkich, po krótce opisanych powyżej.  Z jednej strony opierają się ona na stworzeniu prawidłowych, pod kątem prawnym, procedur ochrony danych, szacowania i zarządzania ryzykiem, a z drugiej, na wdrożeniu skutecznych rozwiązań, pozwalających na wyegzekwowania ich przestrzegania w przedsiębiorstwie. O wadze tego typu środków bezpieczeństwa, świadczą, na kanwie ochrony danych osobowych, zapadłe decyzje Prezesa Urzędu Ochrony Danych Osobowych, które w dużej mierze opierają się właśnie na naruszeniu przez administratorów obowiązków o charakterze organizacyjnym i prawnym, a nie ściśle technicznym.

W ramach tej kategorii możemy zatem wyróżnić: dokumentację, jak chociażby: polityki ochrony danych, regulaminy, rejestry, oświadczenia, umowy NDA, umowy powierzenia przetwarzania danych oraz środki organizacyjne, jak przykładowo: szkolenia personelu, odpowiednie wdrożenie i rozpowszechnienie obowiązujących procedur, systematyczne podejście do ochrony stanowiska pracy i sprzętu. Uprzedzamy natomiast, że samo stworzenie dokumentacji, często dokonywane „dla świętego spokoju”, absolutnie nie wpływa na wzrost bezpieczeństwa firmy. Dlatego właśnie wyróżniliśmy odrębną kategorię środków organizacyjnych, żeby podkreślić wagę skutecznego przestrzegania powstałych procedur. Oczywiście, wdrożenie tego typu rozwiązań, musi być w każdym przypadku poprzedzone rozpoznaniem zarówno charakteru przedsiębiorstwa i rynku na którym funkcjonuje, organizacji wewnętrznej, wykorzystywanych zasobów sprzętowych, czy rodzaju i ilości danych przetwarzanych w takim przedsiębiorstwie.

r.pr. Paweł Skuza