Rośnie liczba spraw sądowych dotyczących cyberbezpieczeństwa a ich wpływ na finanse i biznes jest coraz większy.
fot. istock_DKosig_aweb
Mamy do czynienia z coraz większą liczbą przypadków instalowania złośliwego oprogramowania (ransomware) uniemożliwiającego dostęp do danych bez wcześniejszego uiszczenia okupu jako warunku sine qua non dla ponownego do nich dostępu. W 2019 r. narzędzia monitorujące złośliwe oprogramowania ID Ransomware zarejestrowały ponad 452 tysięcy przypadków potwierdzających tego rodzaju instalacje. Okazuje się jednak, że tylko jedna czwarta firm i organizacji zgłosiła zawiadomienie o cyberataku, dlatego faktyczna liczba tego rodzaju incydentów może być aż czterokrotnie większa.
Żądania okupu od firm w zamian za odblokowanie dostępu do swoich danych podwoiły się w ostatnim kwartale 2019 r. Średnia żądana kwota wyniosła 84 000 USD, ale w 2020 r. można było zaobserwować dalszą eskalację żądań; okup zażądany od nowojorskiej firmy prawniczej w wyniku instalacji złośliwego oprogramowania REvil (Sodinokibi) wynosił 42 mln funtów. Mówi się, że nawet jedna trzecia firm godzi się spełniać tak wygórowane żądania finansowe.
Okazuje się jednak, że koszt samego okupu bywa zdominowany przez inne koszty. Wypadki związane z cyberprzestępczością (brakiem dostępu do danych) skutkują średnio 16-dniowym przestojem przy koszcie 5600 USD za minutę - co daje globalną sumę strat z tytułu okupu i przymusowych przestojów, wynoszących od 42 do 169 miliardów USD.
Naruszenie reputacji, koszty wznowienia działalności, kary administracyjne i spory sądowe jeszcze dodatkowo zwiększają ogólny koszt: firma Norsk Hydro była ofiara ataku cyberprzestępczego ransomware, co kosztowało ją ponad 70 mln euro, z czego ubezpieczyciel pokrył jedynie 3,6 mln euro tj. tylko około 6% całkowitych kosztów. EasyJet ustanowił w Wielkiej Brytanii rekord jeśli chodzi o naruszenie poufności danych, które dotyczyło 9 milionów osób. Skutkiem tego były pozwy sądowe z roszczeniami o wartości 18 miliardów funtów: 10 tysięcy poszkodowanych złożyło pozwy w ciągu pierwszych trzech tygodni – było to największe i najszybciej rozszerzające zasięg roszczenie prywatne w historii sądownictwa Wielkiej Brytanii.
Celem cyberprzestępców są potencjalnie wszystkie organizacje różnej wielkości. Kwestią nie jest to, czy firma stanie się ofiarą, ale kiedy to nastąpi. Wykrycie przeciętnego naruszenia zajmuje ponad sześć miesięcy, dlatego firmy mogą przez wiele miesięcy tkwić w nieświadomości, że stały się obiektem ataku.
Cybernetyczne przerzucanie winy
Jest mało prawdopodobne, aby ubezpieczenie od ryzyka cybernetycznego mogło złagodzić na problemy spowodowane cyberprzestępczością wobec zbyt wielu wyjątków w polisach ubezpieczeniowych, na podstawie których ubezpieczyciel może odmówić wypłaty niemal każdego roszczenia z tytułu incydentu z obszaru cyberprzestępczości.
Przy tak dużym ryzyku i potencjalnych kosztach nieuchronne jest wzajemne obwinianie, które następuje przy każdym znaczącym cyberprzestępczym incydencie. W jego wyniku menedżerowie wyższego szczebla, akcjonariusze, organy regulacyjne, a czasem nawet strony wnoszące skargi, chcą przypisywać winę, nakładać grzywny, wyrównywać roszczenia i żądać rekompensat. A zatem kluczowe jest, kogo wskazać jako winnego i jaki będzie tego koszt.
Wielu śledziło sprawę supermarektu Morrisons, od którego poszkodowani zażądali odszkodowań po tym, gdy niezadowolony pracownik z zemsty ujawnił online dane osobowe (listę płac) 100 000 pracowników supermarektu. Początkowo supermarket był traktowany jako odpowiedzialny za to, że nie zapobiegł incydentowi masowego wycieku danych – było to precedensowe orzeczenie, w którym firma została pociągnięta do odpowiedzialności za przestępcze działania swojego pracownika. Chociaż orzeczenie to zostało częściowo uchylone w wyniku odwołania, ku uldze supermarketu, Sąd Najwyższy Wielkiej Brytanii utrzymał w mocy zasadę odpowiedzialności zastępczej, zgodnie z którą pracodawca może być prawnie odpowiedzialny za naruszenie danych spowodowane przez swojego pracownika.
Potrzebne będą dalsze precedensy, aby móc ustalić, jak daleko rozciąga się odpowiedzialność pracodawcy i jeśli sąd uzna, że pracodawca jest ostatecznie odpowiedzialny nawet za nieostrożne działania swego pracownika, a nie tylko złośliwą wendetę, wówczas ryzyko i implikacje kosztowe takiego precedensu będą ogromne.
Indywidualna odpowiedzialność kierownictwa
Próby zwalczania przestępstw finansowych były nieskuteczne, dopóki nie wprowadzono w Wielkiej Brytanii przepisów, takich jak Senior Managers and Certification Regime (SMCR) [dosł. starsi menedżerowie i system certyfikacji] które m.in. wymagają spełniania określonych standardów postępowania przez wszystkich pracowników świadczących usługi finansowe oraz pracowników pełniących tzw. certyfikowane funkcje, tj. których nieodpowiednie działania mogą wyrządzić znaczną szkodę firmie, jej klientom lub ogólnie rynkowi.
Chociaż wielu już postrzega RODO jako drakońskie rozwiązania, jest kwestią czasu, gdy sankcje za naruszenie zasad prywatności danych zostaną rozszerzone na dyrektorów firm, co już ma miejsce w Ameryce, gdzie w sprawie przed sądem ds. incydentów cybernetycznych w Nowym Jorku ustanowiono nowy precedens, w którym zostali oskarżeni członkowie zarządu i administrator ochrony danych osobowych .
Firma analityczno- badawcza Gartner w swoim raporcie przywiduje, że finansowe skutki ataków cyber fizycznych, powodujących nawet ofiary śmiertelne wśród ludzi, będą sięgać ponad 50 miliardów do 2023 roku. Jednak nawet nie uwzględniając rzeczywistej wartości ludzkiego życia, koszty dla organizacji w postaci odszkodowań, sporów sądowych, ubezpieczeń, kar ustawowych i utraty reputacji będą znaczące.
Zapobieganie i przygotowanie
Coraz większa liczba spraw sądowych dotyczących ataków cybernetycznych sprawia, że zapobieganie tym atakom i przygotowanie się na potencjalne ich pojawienie się staje się ważniejsze niż kiedykolwiek wcześniej. Środki zapobiegawcze muszą obejmować regularne aktualizacje programów i tworzenie kopii zapasowych. Przygotowanie musi obejmować realistyczne ćwiczenia symulacyjne, które powinny zakładać aktywny udział kierownictwa wyższego szczebla, ponieważ to oni mogą ponosić indywidualną odpowiedzialność, jeśli coś pójdzie nie tak.
Pomimo, że do „regularnego testowania i oceny” procesów cyberbezpieczeństwa obliguje RODO, kierownictwo wyższego szczebla albo nie zapewnia przeprowadzania ćwiczeń reagowania na incydenty cybernetyczne, albo nie bierze w nich udziału, co oznacza, że osoby zaangażowane w rzeczywisty kryzys nie są obecny na szkoleniach.
Jedno z badań wykazało, że jedna czwarta organizacji przeprowadziła ćwiczenia kryzysowe bez obecności wyższego kierownictwa ds. cyberbezpieczeństwa, a tylko 20% ćwiczeń obejmowało członków zespołu ds. komunikacji.
Wsparcie ekspertów w czasie kryzysu
W obliczu incydentu cybernetycznego zespoły IT często podejmują próby samodzielnego rozwiązania problemu, zanim stwierdzą, że on ich przerasta i trzeba wezwać pomoc. Zanim to się stanie upływa jednak sporo czasu i bywa, że jest już za późno. Wpływ sytuacji kryzysowej i poziom ryzyka są wtedy tak duże, że nie ma czasu na przemyślany wybór odpowiednich ekspertów, co w konsekwencji prowadzi do wezwania niewłaściwych ludzi.
Biorąc pod uwagę ryzyko finansowe, warto mieć w notesie kontakty do sprawdzonych ekspertów ds. technicznych, prawnych i finansowych aspektów cyberbezpieczeństwa.
Cyberbezpieczeństwo to nie tylko problem informatyczny. Biorąc pod uwagę, jak wysokie są stawki i wysokość potencjalnych zobowiązań, równa się ono znacznemu ryzyku finansowemu. Bycie przygotowanym i posiadanie fachowego wsparcia nigdy nie było tak istotne jak teraz.
Prognozowanie jest tańsze niż reagowania post factum
Zarządzanie tak znaczącym ryzykiem finansowym jest łatwiejsze dzięki działaniom zapobiegawczym, przygotowaniu się na najgorszy scenariusz i korzystaniu ze wsparcia ekspertów. Budżet na takie działania powinien być łatwiejszy do uzyskania, jeśli członkowie zarządu będą świadomi, że mogą ponieść indywidualną odpowiedzialność, jeśli nastąpi cyberatak. Ale z drugiej strony, czy zarząd rzeczywiście rozumie ryzyko cybernetyczne?
Bil Mew,
dyrektor i założyciel Crisis Team Columnist
_81c4033867dc881c0cfa9305d2f0ecc8&utm_source=internal_cm&utm_term=Read%20more