Banking Tech & Security Odpowiedzialność banku za zapewnienie cyberbezpieczeństwa Arkadiusz Matusiak, adwokat, szef praktyki przestępczości gospodarczej Sławomir Szepietowski. radca prawny, szef praktyki bankowości i finansów Warszawa, 27 stycznia 2016
Cyberbezpieczeństwo to zapewnienie ciągłości działania systemów teleinformatycznych oraz bezpieczeństwa ich funkcji i informacji w nich przetwarzanych, rozumiane jako ciągłość funkcjonowania, brak nieautoryzowanego dostępu, wykorzystania, zmiany czy uszkodzenia bez względu na przyczynę *tak jak National Institute of Standards and Technology oraz Europejska Agencja ds. Bezpieczeństwa Sieci i Informacji Strona 2
Globalny wymiar ryzyk cyberprzestrzeni USA 40 mln Niemcy 16 mln Turcja 54 mln Korea 20 mln Chiny 20 mln Badania wykazały, że tylko w 2013 r. uzyskano dostęp do 800 milionów rekordów danych osobowych. McAfee podał, że roczne straty dla globalnej gospodarki związane z cyberprzestępczością to ponad 400 mld $, w samej Unii Europejskiej 16 mld $ (dane z czerwca 2014). Strona 3
Ryzyka Cyberprzestrzeni - Polska Co minutę w Polsce 15 osób pada ofiarą cyberataku, a straty związane z naruszeniem cyberbezpieczeństwa wyniosły ok. 13 mld PLN (dane z 2011 r.). Liczba wykrytych cyberataków na firmy (źródło: KGP) - 2013-26 945-2014 29 000-2015 r. wzrosła o 46 proc. w porównaniu do 2014 r. 4 proc. polskich firm w ich wyniku straciło ponad 1 mln zł, a 5 proc. odnotowało przestój w działalności przez 5 dni (źródło: raport PWC) Obecnie polskie firmy przeznaczają na ochronę przed cyberatakami 10 proc. budżetu IT (w 2014 r. było to 5,5 proc.). Na świecie udział wydatków na ten cel w ogólnym budżecie IT wynosi 19 proc. Strona 4
Podejście do cyberbezpieczeństwa Wykrywaj Broń Reaguj Identyfikuj Przywracaj funkcje Strona 5
Cyberbezpieczeństwo a ryzyko operacyjne Banku Ryzyko operacyjne Banku Cyberbezpieczeństwo Strona 6
Podejście do odpowiedzialności Analiza Obowiązujących przepisów prawa Porównanie rynku ustalenie standardy "dobrego bankowca" Rekomendacji, ISO soft law Standardów technologicznych Główny miernik oceny: STARANNOŚĆ Strona 7
Przepisy i wytyczne Przepisy Ustawa z 29 sierpnia 1997 - Prawo bankowe Ustawa z 29 sierpnia 1997 r. o ochronie danych osobowych Konwencja Rady Europy z 23 listopada 2001 r. o cyberprzestępczości. Ustawa z dnia 6 czerwca 1997 r - Kodeks karny Ustawa z 28 października 2002 r. o odpowiedzialności podmiotów zbiorowych za czyny zabronione pod groźbą kary Soft law Rekomendacje i wytyczne KNF (Rekomendacja D, Rekomendacja M, Rekomendacja ws. bezpieczeństwa transakcji płatniczych wykonywanych w internecie) Dobre praktyki spółek giełdowych (komunikacja z rynkiem, systemy wewnętrzne) Strona 8
Uznane standardy alias normy Standardy dziedziny ISO/IEC 27001:2014-2 - Technika informatyczna Techniki bezpieczeństwa Systemy zarządzania bezpieczeństwem informacji Wymagania ISO/IEC 27002:2014-12 Technika informatyczna Techniki bezpieczeństwa Praktyczne zasady zabezpieczania informacji ISO/IEC 27032: 2012 Informatyka - Techniki bezpieczeństwa Wytyczne dotyczące cyberbezpieczeństwa ISO/IEC 27018:2014 Technika informatyczna Techniki bezpieczeństwa Kodeks dobrych praktyk w zakresie ochrony danych osobowych (PII) w chmurach publicznych działających jako przetwarzający PII Strona 9
Rekomendacje KNF ZAKRES Rekomendacja M - dotycząca zarzadzania ryzykiem operacyjnym w bankach Rekomendacja D - dotycząca zarzadzania obszarami technologii informacyjnej i bezpieczeństwa środowiska teleinformatycznego w bankach Rekomendacja dotycząca bezpieczeństwa transakcji płatniczych wykonywanych w intrenecie przez banki, krajowe instytucje płatnicze, krajowe instytucje pieniądza elektronicznego i spółdzielcze kasy oszczędnościowo kredytowe Podstawa prawna wydawania rekomendacji: Art. 137 pkt 5 ustawy z dnia 29 sierpnia 1997 r. Prawo bankowe
Co robić wg Rekomendacji KNF Ochrona danych osobowych Weryfikowanie strategii i sytemu zarządzania ryzykiem operacyjnym - wprowadzanie poprawek Ochrona środowiska informatycznego przed szkodliwym oprogramowaniem Posiadanie odpowiedniej struktury, procesów i zasobów Informacja zarządcza Wdrożenie polityki bezpieczeństwa w zakresie płatności internetowych, monitorowanie jej Wdrożenie planu ciągłości działania, planów awaryjnych Monitorowane przestrzegania przepisów wewnętrznych Zasady zarządzania danymi, infrastrukturą informatyczna Wdrożenie strategii w zakresie obszarów technologii informacyjnej oraz bezpieczeństwa tego środowiska Ocena i prawidłowe zdefiniowanie ryzyka operacyjnego Edukacja klienta oraz komunikacja z nim Legenda Rekomendacja M Rekomendacja D Rekomendacja TP Opracowanie i wdrożenie strategii i sytemu zarządzania ryzykiem operacyjnym Powołanie komitetu ds. zarządzania ryzykiem operacyjnym Sformalizowane zasady dostępu do informacji oraz kontrola dostępu
Charakter rekomendacji KNF, konsekwencje ich nieprzestrzegania Charakter rekomendacji KNF Pomoc przy wykładni przepisów bezwzględnie obowiązujących Miernik staranności przy przestępstwach nieumyślnych Zasada comply or explain Konsekwencje nieprzestrzegania rekomendacji KNF Samo w sobie nie stanowi naruszenia przepisów prawa Indywidulane wytyczne Soft law hard law? Niespełnienie celów rekomendacji może skutkować naruszeniem przepisów prawa powszechnie obowiązującego Strona 12
Kto odpowiada? ORGANIZACJA CEO POSZKODOWANY CIO CSO ABI Departament bezpieczeństwa informatycznego Strona 13
Odpowiedzialność Karna Cywilna kontraktowa, deliktowa Administracyjna/regulacyjna (UKE, GIODO, KNF) Pracownicza/dyscyplinarna Strona 14
Jakie zarzuty można postawić osobie odpowiedzialnej za cyberbezpieczeństwo? Art. 51 ustawy o ochronie danych osobowych niezabezpieczenie danych osobowych Art. 52 ustawy o ochronie danych osobowych ujawnienie danych osobowych Art. 23 ustawy o zwalczaniu nieuczciwej konkurencji ujawnienie tajemnicy przedsiębiorstwa Art. 171 ust. 5 ustawy Prawo bankowe ujawnienie tajemnicy bankowej Strona 15
Przykładowy zarzut art. 52 uodo w zbiegu z art. 23 ust. 1 uznk w zbiegu z art. 171 ust. 5 p. b. w zbiegu z art. 296 1 i 2 kk w związku z art. 11 2 kk w związku z art. 12 kk Zagrożenie kara pozbawienia wolności od 6 miesięcy do 8 lat Strona 16
Odpowiedzialność karna za przestępstwa komputerowe hacking - nieuprawnione uzyskanie informacji (art. 267 1 kk) sniffing - podsłuch komputerowy (art. 267 2 kk) usuwanie, niszczenie danych informatycznych (art. 268a kk) sabotaż komputerowy (art. 269 1 i 2 kk) rozpowszechnianie złośliwych programów oraz cracking (art. 269a kk) Pracownik zarządzający systemem informatycznym może także ponosić odpowiedzialność karną za pomocnictwo, jeżeli w zamiarze dokonania czynu przez kogoś innego swoim zachowaniem ułatwia popełnienie tego czynu albo przez zaniechanie, pod warunkiem, że ciąży na nim szczególny prawny obowiązek zapobiegnięcia skutkowi Strona 17
Strona podmiotowa odpowiedzialności Umyślnie w zamiarze bezpośrednim w zamiarze ewentualnym Nieumyślnie lekkomyślność niedbalstwo Strona 18
Odpowiedzialność karna kto może ponosić odpowiedzialność karną? Przestępstwo niezabezpieczenie danych osobowych ujawnienie danych osobowych ujawnienie tajemnicy przedsiębiorstwa ujawnienie tajemnicy bankowej Hacking -nieuprawnione uzyskanie informacji (art. 267 1 kk) sniffing - podsłuch komputerowy (art. 267 2 kk) usuwanie, niszczenie danych informatycznych (art. 268a kk) Zarząd Um/nieum. Pracownik Um/nieum. Osoba odpow. za cyberbezp. Um/nieum. X/X X/X X/X - X/X X/X X/X - X/- X/- X/- X X/- X/- X/- X X/- X/- X/- X X/- X/- X/- X X/- X/- X/- X Podmiot zbiorowy
Odpowiedzialność cywilna Kto odpowiada: tylko jednostka organizacyjna ponosi odpowiedzialność (brak bezpośredniej odpowiedzialności pracownika i osoby odpowiedzialnej za cyberbezpieczeństwo w organizacji wobec poszkodowanego) Odpowiedzialność: deliktowa (art. 415 KC) szkoda kontraktowa (art. 471 KC) Strona 20
Odpowiedzialność administracyjna Ustawa o ochronie danych osobowych Kto odpowiada: Administrator Danych Osobowych lub przetwarzający dane osobowe brak odpowiedzialności pracownika lub Administratora Bezpieczeństwa Informacji, ale GIODO może wykreślić ABI z rejestru Sankcje administracyjne nakładane przez KNF na podstawie art. 138 Prawa bankowego w przypadku niezastosowania się do indywidualnych wytycznych to m. in.: Wniosek o odwołanie członka zarządu; Zawieszenie członka zarządu; Ograniczenie zakresu działalności Banku; Nałożenie kary pieniężnej. Strona 21
Dziękujemy Arkadiusz Matusiak Senior Associate Sławomir Szepietowski Partner