4 septembre 2024
This article is available in Polish.
Earlier this summer saw the first global IT outage. The so-called blue screen appeared on millions of computers around the world, making it impossible to use the devices. The incident caused massive disruption, affecting companies in the aviation, banking, telecommunications, healthcare and media industries. Significant financial losses and widespread paralysis of strategically important services brought it home how important cyber security issues are to day-to-day activities. The recent incident was most likely not the last of its kind. What measures should be taken to prevent the consequences of such incidents or minimise the potential damage?
W ostatnim czasie miała miejsce pierwsza globalna awaria systemów informatycznych o tak szerokiej skali. Na milionach komputerów na całym świecie pojawił się tzw. blue screen, uniemożliwiający korzystanie z urządzeń. Incydent spowodował ogromne utrudnienia, które dotknęły w szczególności przedsiębiorstwa z branży lotniczej, bankowej, telekomunikacyjnej, ochrony zdrowia i medialnej. Znaczne straty finansowe oraz szeroki paraliż usług o strategicznym znaczeniu potwierdziły jak istotne dla bieżącej działalności są kwestie związane z cyberbezpieczeństwem. Niedawny incydent najprawdopodobniej nie był ostatnim tego rodzaju zdarzeniem. Jakie działania powinny być zatem podejmowane, aby zapobiegać skutkom takich zdarzeń lub minimalizować potencjalne szkody?
Pierwszym i podstawowym działaniem powinno być jak najlepsze przygotowanie się do różnego rodzaju możliwych scenariuszy w związku z cyberincydentami. W tym celu dobrze dokonać przeglądu (lub stworzenia) zasad dotyczących cyberbezpieczeństwa. Zasady te powinny nie tylko przewidywać działania zmierzające do zmniejszenia ryzyk związanych z cyberatakami, lecz także przewidywać sposób działania w przypadku zaistnienia incydentu. Szczególnie ważnym elementem tworzonych zasad może być opracowanie sposobu komunikacji z klientami i kontrahentami, dostosowanego do specyfiki branży. Przygotowanie, regularne aktualizowanie i efektywne wdrożenie schematu działania w sytuacji kryzysowej może pozwolić na uniknięcie nieodwracalnych strat, tak finansowych, jak i wizerunkowych.
Nawet najlepsze wewnętrzne zasady bezpieczeństwa oraz umowy mogą nie uchronić nas przed niezależnymi od nas czynnikami. Aby minimalizować ryzyko błędu występujące po stronie naszych kontrahentów (np. dostawców rozwiązań IT), warto zweryfikować, czy również oni podjęli odpowiednie środki dla minimalizacji zagrożeń. Podmioty dysponujące stosownymi certyfikatami spełniają ustandaryzowane środki bezpieczeństwa. W szczególności wartym rozważenia jest skorzystanie z usług dostawców certyfikowanych zgodnie z normą PN-EN ISO/IEC 27001:2023-08, określającą wymagania dla systemu zarządzania bezpieczeństwem informacji. W odpowiednich przypadkach można rozważyć również dodatkową weryfikację kontrahentów, np. poprzez przeprowadzenie audytu (kontroli) w zakresie stosowanych przez nich środków ochrony danych osobowych.
Kolejnym sposobem zabezpieczenia przed skutkami incydentów IT powinny być podpisywane przez nas umowy. Uwaga ta dotyczy wszelkich podpisywanych umów – zarówno umów z dostawcami usług informatycznych, jak również tych podpisywanych z klientami. Postanowienia dotyczące wyboru prawa właściwego, jurysdykcji krajowej, ograniczeń odpowiedzialności oraz klauzuli siły wyższej mogą istotne ułatwić bądź utrudnić dochodzenie roszczeń. Odpowiednio redagując umowę możemy doprowadzić np. do tego, że możliwe będzie pozwanie w Polsce przedsiębiorcy mającego siedzibę za granicą. Postanowienia dotyczące kar umownych pozwolą na naprawienie szkody, bez konieczności szczegółowego (i skomplikowanego) wyliczania i udowadniania jej wysokości.
Niekiedy jednak możliwości negocjacji umowy (w szczególności z gigantami technologicznymi) są mocno ograniczone. Warto więc rozważyć inny krok i zawrzeć odpowiednią umowę ubezpieczenia.
Incydent IT może wiązać się ze znacznymi szkodami. Oprócz bezpośrednich strat związanych z wykonaniem lub niewykonaniem umowy, poszkodowani incydentem muszą liczyć się z koniecznością poniesienia kosztów zarządzania kryzysowego, informatyki śledczej, kosztów obrony przed roszczeniami cywilnymi, obrony w postępowaniach administracyjnych lub w ekstremalnych przypadkach podejmowania działań nawet w postępowaniach karnych. Warto rozważyć więc wykupienie specjalnej polisy chroniącej przed szkodami, które mogą wynikać z cyberincydentów. Ofertę w tym zakresie przygotowuje coraz większa liczba polskich ubezpieczycieli.
Ponieważ wszelkiego rodzaju globalne incydenty IT będą wiązały się ze znacznymi stratami ekonomicznymi, warto podejmować opisane wyżej kroki. Oprócz minimalizowania ryzyka zaistnienia incydentu, pomogą one poprawić sytuację w skomplikowanych i wielowątkowych sporach sądowych. W zależności od sytuacji powstałe spory mogą dotyczyć szeregu różnych zagadnień. W szczególności mogą to być wszelkiego rodzaju spory związane z niewykonaniem umowy (np. spory przeciwko dostawcom usług informatycznych, jak również przeciwko kontrahentom, którzy ze względu na cudzy błąd nie byli w stanie wykonać swojej umowy). Częstym przedmiotem sporu związanego z incydentem IT mogą być także kwestie dotyczące odszkodowania lub zadośćuczynienia za naruszenie dóbr osobistych oraz przepisów RODO.
Incydenty związane z cyberbezpieczeństwem mogą wiązać się również z koniecznością podejmowania działań w toku postępowań karnych, administracyjnych lub przed innymi instytucjami. Podejmowane przez pełnomocników czynności mogą dotyczyć nie tylko klasycznych działań takich jak zawiadomienie o podejrzeniu popełnienia przestępstwa, czy złożenie wniosku o naprawienie szkody. Możliwe jest również składanie różnego rodzaju nieszablonowych wniosków, które pomagają ograniczyć skutki incydentu IT.