Rośnie liczba spraw sądowych dotyczących cyberbezpieczeństwa a ich wpływ na finanse i biznes jest coraz większy.

fot.  istock_DKosig_aweb

 

Mamy do czynienia z coraz większą liczbą przypadków instalowania złośliwego oprogramowania (ransomware) uniemożliwiającego dostęp do danych bez wcześniejszego  uiszczenia okupu jako warunku sine qua non dla ponownego do nich dostępu. W 2019 r. narzędzia  monitorujące złośliwe oprogramowania ID Ransomware zarejestrowały  ponad 452 tysięcy przypadków potwierdzających  tego rodzaju instalacje. Okazuje się jednak, że tylko jedna czwarta firm i organizacji zgłosiła zawiadomienie o cyberataku, dlatego faktyczna liczba tego rodzaju incydentów może być aż czterokrotnie większa.

Żądania okupu od firm w zamian za odblokowanie dostępu do swoich danych podwoiły się w ostatnim kwartale 2019 r. Średnia żądana kwota wyniosła 84 000 USD, ale w 2020 r. można było zaobserwować  dalszą eskalację żądań; okup zażądany od nowojorskiej firmy prawniczej w wyniku  instalacji złośliwego oprogramowania  REvil (Sodinokibi) wynosił 42 mln funtów. Mówi się, że nawet  jedna trzecia firm godzi się spełniać tak wygórowane  żądania finansowe.

Okazuje się jednak, że  koszt samego okupu bywa zdominowany przez inne koszty. Wypadki związane z cyberprzestępczością (brakiem dostępu do danych) skutkują średnio 16-dniowym przestojem przy koszcie 5600 USD za minutę - co daje globalną sumę  strat z tytułu okupu i przymusowych  przestojów, wynoszących od 42 do 169 miliardów USD.

Naruszenie reputacji, koszty wznowienia działalności,  kary administracyjne i spory sądowe jeszcze dodatkowo  zwiększają ogólny koszt: firma Norsk Hydro była ofiara ataku  cyberprzestępczego  ransomware, co kosztowało ją ponad 70 mln euro, z czego  ubezpieczyciel pokrył jedynie 3,6 mln euro tj. tylko około 6% całkowitych kosztów. EasyJet ustanowił w Wielkiej Brytanii rekord jeśli chodzi o naruszenie poufności danych, które dotyczyło 9 milionów osób. Skutkiem tego były pozwy  sądowe z roszczeniami o wartości 18 miliardów funtów: 10 tysięcy poszkodowanych  złożyło pozwy  w ciągu pierwszych trzech tygodni – było to największe i najszybciej rozszerzające zasięg  roszczenie prywatne w historii sądownictwa Wielkiej Brytanii.

Celem cyberprzestępców są potencjalnie  wszystkie organizacje różnej wielkości. Kwestią nie jest to,  czy firma stanie się ofiarą, ale kiedy to nastąpi. Wykrycie przeciętnego naruszenia zajmuje ponad sześć miesięcy, dlatego firmy mogą przez wiele miesięcy tkwić w nieświadomości, że stały się obiektem ataku.

Cybernetyczne przerzucanie winy

Jest mało prawdopodobne, aby ubezpieczenie od ryzyka cybernetycznego mogło złagodzić na problemy spowodowane  cyberprzestępczością  wobec zbyt wielu wyjątków w polisach ubezpieczeniowych, na podstawie których ubezpieczyciel może  odmówić wypłaty niemal każdego roszczenia z tytułu incydentu z obszaru cyberprzestępczości.

Przy tak dużym ryzyku i potencjalnych kosztach nieuchronne jest  wzajemne obwinianie, które następuje przy  każdym znaczącym cyberprzestępczym incydencie. W jego wyniku  menedżerowie wyższego szczebla, akcjonariusze, organy regulacyjne, a czasem nawet strony wnoszące skargi, chcą przypisywać  winę, nakładać grzywny, wyrównywać  roszczenia i żądać rekompensat. A zatem kluczowe jest, kogo wskazać jako winnego i jaki będzie tego koszt.

Wielu śledziło sprawę supermarektu Morrisons, od  którego poszkodowani  zażądali  odszkodowań po tym, gdy niezadowolony pracownik z zemsty ujawnił online dane osobowe (listę płac) 100 000 pracowników supermarektu. Początkowo supermarket był traktowany jako odpowiedzialny za to, że nie zapobiegł incydentowi masowego wycieku danych – było to precedensowe orzeczenie, w którym  firma została  pociągnięta do odpowiedzialności za przestępcze działania swojego pracownika. Chociaż orzeczenie to zostało częściowo uchylone w wyniku odwołania, ku uldze supermarketu, Sąd Najwyższy Wielkiej Brytanii utrzymał w mocy zasadę odpowiedzialności zastępczej, zgodnie z którą pracodawca może być prawnie odpowiedzialny za naruszenie danych spowodowane przez swojego pracownika.

Potrzebne będą dalsze precedensy, aby móc ustalić, jak daleko rozciąga się  odpowiedzialność pracodawcy i jeśli sąd uzna, że pracodawca jest ostatecznie odpowiedzialny nawet za nieostrożne działania swego pracownika, a nie tylko złośliwą wendetę, wówczas ryzyko i implikacje kosztowe takiego precedensu  będą  ogromne.

Indywidualna odpowiedzialność kierownictwa

Próby zwalczania przestępstw finansowych były nieskuteczne, dopóki nie wprowadzono w Wielkiej Brytanii przepisów, takich jak Senior Managers and Certification Regime (SMCR)  [dosł. starsi menedżerowie i system certyfikacji]  które  m.in. wymagają  spełniania określonych standardów  postępowania przez wszystkich pracowników świadczących  usługi finansowe oraz pracowników pełniących tzw.  certyfikowane funkcje, tj. których nieodpowiednie działania mogą  wyrządzić znaczną szkodę firmie, jej klientom lub ogólnie rynkowi.

Chociaż wielu już postrzega RODO jako drakońskie rozwiązania, jest kwestią czasu, gdy  sankcje za naruszenie zasad prywatności danych zostaną rozszerzone na dyrektorów firm, co już ma miejsce  w Ameryce, gdzie w sprawie przed sądem ds. incydentów cybernetycznych w Nowym Jorku ustanowiono nowy precedens, w którym zostali oskarżeni członkowie zarządu i administrator ochrony danych osobowych .

Firma analityczno- badawcza Gartner w swoim raporcie przywiduje, że finansowe skutki ataków  cyber fizycznych, powodujących nawet ofiary śmiertelne wśród ludzi,  będą sięgać ponad 50 miliardów do 2023 roku.  Jednak nawet nie uwzględniając rzeczywistej wartości ludzkiego życia, koszty dla organizacji w postaci odszkodowań, sporów sądowych, ubezpieczeń, kar ustawowych i utraty reputacji będą znaczące.

Zapobieganie i przygotowanie

Coraz większa liczba spraw sądowych  dotyczących ataków cybernetycznych sprawia, że zapobieganie tym atakom  i przygotowanie się na potencjalne ich pojawienie się  staje się ważniejsze niż kiedykolwiek wcześniej. Środki zapobiegawcze muszą obejmować regularne aktualizacje programów  i tworzenie kopii zapasowych. Przygotowanie musi obejmować realistyczne ćwiczenia symulacyjne, które powinny zakładać aktywny udział kierownictwa wyższego szczebla, ponieważ to oni  mogą ponosić indywidualną odpowiedzialność, jeśli coś pójdzie nie tak.

Pomimo, że do „regularnego testowania i  oceny” procesów cyberbezpieczeństwa obliguje RODO, kierownictwo wyższego szczebla albo nie zapewnia przeprowadzania ćwiczeń reagowania na incydenty cybernetyczne, albo nie bierze w nich udziału, co oznacza, że osoby zaangażowane w rzeczywisty kryzys nie są obecny na szkoleniach.

Jedno z badań wykazało, że jedna czwarta organizacji przeprowadziła ćwiczenia kryzysowe bez obecności wyższego kierownictwa ds. cyberbezpieczeństwa, a tylko 20% ćwiczeń obejmowało członków zespołu ds. komunikacji.

Wsparcie ekspertów w czasie kryzysu

W obliczu incydentu cybernetycznego zespoły IT często podejmują próby samodzielnego rozwiązania problemu, zanim stwierdzą, że on ich przerasta i trzeba wezwać pomoc. Zanim to się stanie upływa jednak sporo czasu i bywa, że jest już za późno. Wpływ sytuacji kryzysowej i poziom ryzyka  są wtedy tak duże, że  nie ma  czasu na przemyślany wybór  odpowiednich ekspertów, co w konsekwencji prowadzi do wezwania niewłaściwych ludzi.

Biorąc pod uwagę ryzyko finansowe, warto mieć w notesie kontakty do sprawdzonych  ekspertów ds. technicznych, prawnych i finansowych aspektów cyberbezpieczeństwa.

Cyberbezpieczeństwo to nie tylko problem informatyczny. Biorąc pod uwagę, jak wysokie są stawki i wysokość potencjalnych  zobowiązań, równa się ono znacznemu ryzyku finansowemu. Bycie przygotowanym i posiadanie fachowego wsparcia nigdy nie było tak istotne jak teraz.

Prognozowanie jest tańsze niż reagowania post factum

Zarządzanie tak znaczącym ryzykiem finansowym jest łatwiejsze dzięki działaniom zapobiegawczym,  przygotowaniu się na najgorszy scenariusz i korzystaniu ze wsparcia ekspertów. Budżet na takie działania  powinien  być łatwiejszy do uzyskania, jeśli członkowie zarządu będą świadomi, że mogą ponieść indywidualną odpowiedzialność, jeśli nastąpi cyberatak.  Ale z drugiej strony, czy zarząd rzeczywiście rozumie ryzyko cybernetyczne?

 

Bil Mew,

dyrektor i założyciel  Crisis Team Columnist

https://www.accountingweb.co.uk/tech/tech-pulse/rise-in-data-breaches-provokes-cyber-blame-game?utm_medium=email&utm_campaign=AWUKITP100920&utm_content=AWUKITP100920+CID

_81c4033867dc881c0cfa9305d2f0ecc8&utm_source=internal_cm&utm_term=Read%20more