Prawne instrumenty zapobiegania cyberatakom i wyciekom informacji r.pr. Agnieszka Wachowska apl. radc. Joanna Jastrząb Warszawa, dnia 6 kwietnia 2017r.
Plan wystąpienia 1. Podstawowe zagadnienia dot. cyberbezpieczeństwa 2. Dlaczego warto zapobiegać cyberatakom oraz przygotować się na ewentualny atak? Kto odpowiada za naruszenie cyberbezpieczeństwa? Rodzaje odpowiedzialności 3. Jak przygotować się na cyberatak? określenie polityki compliance regulacja stosunków z pracownikami regulacja stosunków z dostawcami IT 2
Na czym może polegać naruszenie cyberbezpieczeństwa? naruszenie bezpieczeństwa systemów naruszenie bezpieczeństwa informacji Czy naruszeniem cyberbezpieczeństwa jest: Nieuprawnione korzystanie z danych? Brak odpowiedniego zabezpieczenia systemu? Naruszenie procedur bezpieczeństwa? Włamanie do systemu? Brak odpowiednich działań po włamaniu do systemu? 3
Jakie są regulacje związane z cyberbezpieczeństwem? 1. Brak kompleksowej i jednolitej regulacji prawnej 2. Rozproszone przepisy i wymogi prawne dot. cyberbezpieczeństwa Przepisy karne Przepisy dot. ochrony danych osobowych Przepisy dot. świadczenia usług drogą elektroniczną Przepisy dot. tajemnic prawnie chronionych (np. tajemnica bankowa, tajemnica ubezpieczeniowa, tajemnica medyczna itp.) Standardy/branżowe normy postępowania (dotyczące poziomu należytej profesjonalnej staranności) Regulacje umowne z dostawcą IT Regulacje wewnętrzne przedsiębiorcy polityki, procedury, regulaminy 3. Przyszłość normalizacja i certyfikacja bezpieczeństwa produktów i usług informatycznych 4
Skutki naruszenia cyberbezpieczeństwa Nieautoryzowany dostęp / wyciek danych Skutki na gruncie prawa prywatnego i możliwe skutki na gruncie prawa publicznego Zniszczenie / usunięcie / modyfikacja danych Skutki na gruncie prawa prywatnego i możliwe skutki na gruncie prawa publicznego Przerwanie ciągłości świadczenia usługi Głównie skutki na gruncie prawa prywatnego 5
Rodzaje odpowiedzialności za naruszenie cyberbezpieczeństwa Karna - Przepisy karne Cywilna - KC i regulacje umowne Administracyjna - np. odpowiedzialność wynikająca z naruszenia przepisów dot. ochrony danych osobowych Służbowa - Odpowiedzialność pracowników i zawodowa 6
Odpowiedzialność karna Ustawa o ochronie danych osobowych także przewiduje odpowiedzialność karną, m.in. w art. 51 u.o.d.o.: Art. 51. 1. Kto administrując zbiorem danych lub będąc obowiązany do ochrony danych osobowych udostępnia je lub umożliwia dostęp do nich osobom nieupoważnionym, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 2. Za niewykonanie obowiązków techniczno-organizacyjnych zabezpieczenia danych odpowiada również procesor często dostawca usług IT; Nie jest konieczne stwierdzenie elementu naruszenia wystarczy samo umożliwienie. 7
Odpowiedzialność administracyjna Podstawa odpowiedzialności art. 18 u.o.d.o. GIODO w drodze decyzji nakazuje przywrócenie stanu zgodnego z prawem, a w szczególności, m.in. usunięcie uchybień; uzupełnienie, uaktualnienie, sprostowanie, udostępnienie lub nieudostępnienie danych osobowych; Za bezpieczeństwo danych osobowych odpowiada nie tylko administrator danych, ale również procesor Obecnie GIODO nie może nakładać kar administracyjnych co zmieni się na gruncie rodo! art. 83 ust. 5 r.o.d.o. - podstawowa kara 20 mln EURO/4% rocznego obrotu Obowiązek powiadamiania o naruszeniu: wewnętrzny (obowiązek powiadamiania ABI (art.36 i n. u.o.d.o.)) zewnętrzny (GIODO, podmiot danych, administrator) zmiany na gruncie rodo! 8
Odpowiedzialność cywilna (1) Co wyznacza standard ochrony danych i zabezpieczenia systemu? Regulacje dot. ochrony danych osobowych Regulacje dot. świadczenia usług drogą elektroniczną Regulacje i standardy sektorowe (np. regulacje z zakresu prawa bankowego, prawa ubezpieczeniowe, itp.) Normy i standardy branżowe art. 7 u.ś.u.d.e. Usługodawca zapewnia działanie systemu teleinformatycznego, którym się posługuje, umożliwiając nieodpłatnie usługobiorcy: 1) w razie, gdy wymaga tego właściwość usługi: a) korzystanie przez usługobiorcę z usługi świadczonej drogą elektroniczną, w sposób uniemożliwiający dostęp osób nieuprawnionych do treści przekazu składającego się na tę usługę, w szczególności przy wykorzystaniu technik kryptograficznych odpowiednich dla właściwości świadczonej usługi, ( ) 9
Odpowiedzialność cywilna (2) Względem strony umowy Odpowiedzialność umowna (podstawa art. 471 KC) Odpowiedzialność deliktowa (art. 415 KC) Względem osoby poszkodowanej naruszeniem (np. której dane zostały ujawnione) Odpowiedzialność deliktowa (art. 415 KC) 10
Podmioty odpowiedzialne za naruszenie cyberbezpieczeństwa Bezpośredni sprawca incydentu bezpieczeństwa pracownik, współpracownik, osoba trzecia, Dostawca IT odpowiedzialność za zabezpieczenie systemu IT, odpowiedzialność za wyciek danych, w tym danych osobowych, Inne osoby np. ABI, pracownicy, członkowie zarządu 11
Skąd może nadejść cyberatak? z zewnątrz organizacji np. nienależyte zabezpieczenie systemów z wewnątrz organizacji np. umyślne i nieumyślne działania pracowników Czy można zabezpieczyć się przed atakiem? zabezpieczenia techniczne regulacje w umowie z dostawcą wdrożenie polityk, procedur, regulaminów regulacja umowna odpowiedzialności pracowników i współpracowników 12
Polityki, procedury, regulaminy compliance i polityka compliance (1) compliance = zgodność przestrzeganie przepisów obowiązującego prawa przestrzeganie soft law normy (np. Polskie Normy, normy ISO) standardy dobre praktyki (soft law) polityka compliance zbiór zasad i procedur minimalizujących występowanie ryzyka naruszeń przepisów prawa oraz innych norm (prewencja) oraz działań na wypadek wystąpienia zdarzenia, incydentu skutkującego naruszeniem (działania reaktywne) 13
Polityki, procedury, regulaminy compliance i polityka compliance (2) Rekomendacja lub obowiązek wdrożenia procedur i polityk może wynikać: z przepisów prawa u.o.d.o. rozporządzenie MSWiA: polityka bezpieczeństwa i instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych osobowych r.o.d.o. branżowe kodeksy postępowania z norm m.in. norma ISO/IEC 27001, która wprowadza system zarządzania bezpieczeństem informacji 14
Jakie obszary powinna regulować wewnętrzna polityka compliance? (1) przed incydentem bezpieczeństwa klasyfikowanie informacji w przedsiębiorstwie ustalenie kontroli dostępu do systemów i informacji określenie ról i uprawnień oraz sposobów i kanałów komunikacji zapewnienie bezpieczeństwa fizycznego i środowiskowego uświadamianie: zapewnienie szkoleń, informacji o przyjętych procedurach i obowiązujących regulacjach aktualizacja i weryfikacja przyjętych regulacji przeprowadzanie audytów wewnętrznych 15
Jakie obszary powinna regulować wewnętrzna polityka compliance? (2) w trakcie incydentu bezpieczeństwa reagowanie i zarządzanie incydentami bezpieczeństwa określenie procedury ochrony przed utratą danych (kopie zapasowe) zarządzanie ciągłością działania systemu rejestrowanie incydentów oraz zdarzeń zabezpieczenia danych i materiału dowodowego 16
Jakie obszary powinna regulować wewnętrzna polityka compliance? (3) po incydencie bezpieczeństwa przywrócenie ciągłości działania systemu ocena skutków incydentu bezpieczeństwa notyfikacja incydentu bezpieczeństwa (wewnętrzna i zewnętrzna) ustalenie osób odpowiedzialnych za incydent bezpieczeństwa analiza incydentu: identyfikacja i eliminacja luk oraz słabości w cyberbezpieczeństwie organizacji 17
Relacje z pracownikami za co może odpowiadać pracownik? Nieumyślne spowodowanie incydentu bezpieczeństwa (np. ujawnienie osobie trzeciej hasła; brak ustawienia odpowiednich haseł) Umyślne spowodowanie incydentu bezpieczeństwa (np. szpiegostwo, ujawnienie informacji poufnych) Niedopełnienie obowiązków służbowych (kiedy pracownik był zobowiązany do zabezpieczenia systemów lub danych w nich przechowywanych) 18
Relacje z pracownikami zakaz ujawniania informacji poufnych Czym są informacje poufne? Przepisy nie definiują pojęcia informacji poufnych Mogą obejmować know how, informacje organizacyjne, finansowe, personalne, a w szczególności tajemnicę przedsiębiorstwa Rekomendowane jest dookreślenie ich zakresu w umowach lub wewnętrznych regulacjach Podstawowe obowiązki pracownika w zakresie informacji poufnych obejmują (100 par. 2 KP): zachowanie w tajemnicy informacji, których ujawnienie mogłoby narazić pracodawcę na szkodę; przestrzeganie tajemnicy określonej w odrębnych przepisach. 19
Relacje z pracownikami rekomendowane działania Rekomendowane działania dot. ochrony cyberbezpieczeństwa w relacjach z pracownikami: zawarcie pisemnej umowy zobowiązujacej pracownika do zachowania poufności określonych (kategorii) informacji, przekazanie kompetencji i środków do ich wykonywania wyznaczonym pracownikom, odpowiedzialnym np. za przetwarzanie danych osobowych, wyraźne uregulowanie sposobu postępowania na wypadek incydentu bezpieczeństwa zapewnienie kontroli nad działaniami pracownika na potrzeby ewentualnego zabezpieczenia dowodów umyślnego wykorzystania informacji poufnych prowadzenie cyklicznych szkoleń w zakresie obowiązujących procedur i dobrych praktyk dot. cyberbezpieczeństwa 20
Odpowiedzialność pracowników Odpowiedzialność pracownika za wyrządzenie szkody pracodawcy jest ograniczona do maksymalnej kwoty 3-miesięcznego wynagrodzenia przysługującego pracownikowi w dniu wyrządzenia szkody (art. 119 KP) Wyjątek szkoda wyrządzona umyślnie musi zostać naprawiona przez pracownika w pełnej wysokości (art. 122 KP) Ciężar dowodu spoczywa na pracodawcy to pracodawca obowiązany wykazać okoliczności uzasadniające odpowiedzialność pracownika oraz wysokość powstałej szkody (art. 116 KP) Kary umowne za wyciek informacji poufnych niedopuszczalne! 21
Odpowiedzialność dostawcy IT co zapewnić w umowie? Weryfikacja stosowanych norm i kodeksów branżowych przez dostawcę Zobowiązanie dostawcy do stosowania środków technicznych i organizacyjnych na poziomie odpowiednim do świadczonej usługi wyznaczenie poziomu jego nalezytej staranności, który może być inny w zalezności od dostarczanego systemu i przetwarzanych w nim danych Wprowadzenie do umowy kar umownych dot. w szczególności wycieku informacji, braku zapewnienia odpowiednich środków technicznych czy organizacyjnych dla zabezpieczenia systemu 22
Odpowiedzialność dostawcy IT - roszczenia Roszczenia odszkodowawcze kary umowne zasady ogólne konieczność wykazania szkody i jej wysokości, jak również adekwatnego związku przyczynowego przyczynienie się usługobiorcy np. brak stosowania odpowiednich środków zabezpieczeń, nieodpowiednie przechowywanie haseł Umowne wyłączenie/ograniczenie odpowiedzialności czy będzie skuteczne? 23
Odpowiedzialność dostawcy IT dopuszczalność jej wyłączenia? Brak orzecznictwa z wyjątkiem dotyczącego systemów bankowych Sąd Apelacyjny w Warszawie VI Wydział Cywilny z dnia 23 października 2012 r. (Sygn. VI A Ca) 552/12 Prawidłowo Sąd Okręgowy uznał, że zakwestionowana przez powoda w niniejszej sprawie klauzula stanowi niedozwolone postanowienie umowne w rozumieniu art. 385 1 1 k.c. Mocą zakwestionowanej klauzuli pozwany Bank wyłącza swoją odpowiedzialność wobec konsumentów za skutki operacji w ramach systemu bankowości elektronicznej przez osoby trzecie niezależnie od okoliczności tego w jaki sposób osoby te weszły w posiadanie identyfikatora oraz haseł dostępu umożliwiających dostęp do środków finansowych klienta banku. Tymczasem bank odpowiada zarówno za działania swoich pracowników oraz za skutki działań hakerów, gdyż świadcząc usługi musi zapewnić bezpieczeństwo operacji przed osobami nieuprawnionymi, albowiem zgodnie z art. 31 pkt 1 ustawy z dnia 12 września 2002r. o elektronicznych instrumentach płatniczych (Dz. U. Nr 169, poz. 1385 ze zm.) bank świadcząc usługi na podstawie umowy o usługi bankowości elektronicznej obowiązany jest do zapewnienia posiadaczowi bezpieczeństwa dokonywanych operacji z zachowaniem należytej staranności oraz przy wykorzystaniu właściwych rozwiązań technicznych. 24
Dziękujemy za uwagę foto Agnieszka Wachowska Radca prawny, Partner e-mail: agnieszka.wachowska@traple.pl Joanna Jastrząb Aplikantka radcowska e-mail: joanna.jastrzab@traple.pl