Kaip pastebi advokatų kontoros COBALT vadovaujanti teisininkė Renata Vasiliauskienė, po kibernetinio incidento svarbiausias klausimas dažnai būna ne tai, kas įvykdė nusikaltimą, o kas už padarytą žalą yra atsakingas ir kaip buvo pasidalytos pareigos tarp šalių dar iki incidento.
Nacionalinio kibernetinio saugumo centro statistika rodo, kad kibernetinių incidentų skaičius kasmet sparčiai auga.
Ką vertina teismas?
Pasak R. Vasiliauskienės, verslo logika dažniausiai būna gana paprasta. Viena šalis, kuri paprastai yra paslaugų teikėjas, savo sistemose saugo kliento duomenis, o klientas, patikėdamas tuos duomenis, jaučiasi saugus, nes mano, kad profesionalai užtikrins visapusę jų apsaugą. Įvykus įsilaužimui ir praradus duomenis, klientui situacija atrodo labai aiški – jeigu įsilaužta pas paslaugų teikėją, vadinasi, būtent jis yra kaltas.
Vis dėlto, kaip pažymi teisininkė, teismuose ši situacija dažniausiai vertinama gerokai sudėtingiau: „Aiškinantis ginčo aplinkybes, esminiu klausimu tampa ne emocinis kaltės vertinimas, o tai, ką dar iki incidento šalys susitarė. Pavyzdžiui, kas atsakingas už kopijų darymą, kiek laiko bus saugomi įrašai žurnale, kokio lygio apsauga bus taikoma iš paslaugų teikėjo pusės, o ką turi padaryti pats klientas. Jei tai nėra aiškiai aptarta dokumentuose, prasideda interpretacijos ir ginčai.“
Pasak R. Vasiliauskienės, kritinę reikšmę tokiose bylose turi duomenų tvarkymo susitarimas, kylantis iš Bendrojo duomenų apsaugos reglamento (BDAR) reikalavimų. Jeigu į šį dokumentą pasižiūrima rimtai, būtent jame būna aiškiai susitarta, kokių saugumo priemonių iš paslaugų teikėjo reikalaujama ir kur baigiasi jo atsakomybės ribos. Praktikoje, pripažįsta teisininkė, daug įmonių šiai daliai vis dar neskiria pakankamai dėmesio.
Dar daugiau – šiose sutartyse galima susitarti ir dėl tam tikrų atsakomybės ribų, pavyzdžiui, kad ir kas nutiktų, paslaugos teikėjas atlygins ne didesnę kaip 20 tūkst. eurų sumą. Taip abi šalys, įvykus incidentui, gali aiškiau suvokti situaciją: viena gali įsivertinti savo veiklos tęstinumo perspektyvas, kita – atsakyti į klausimą, ar verta bylinėtis teisme.
Didžioji dalis problemų po kibernetinio incidento prasideda ne dėl paties įsilaužimo.
Ne tik IT klausimas
Pasak R. Vasiliauskienės, verslas vis dar pernelyg dažnai kibernetinį saugumą suvokia tik kaip technologinį klausimą, nors realybėje jis seniai tapo ir teisinės rizikos klausimu. Vien antivirusinių sistemų ar techninių apsaugos priemonių nebepakanka – organizacijos turi būti pasiruošusios ir teisiniam incidento valdymui.
„Duomenų tvarkymo susitarimas turi būti toks pats savaime suprantamas dalykas kaip pagrindinė paslaugų sutartis. Tai ne formalumas ar papildomas popierius – tai dokumentas, kuris po incidento gali nulemti, ar verslas galės apsiginti. Tai ypač svarbu įmonėms, kurios pagal savo veiklos specifiką yra IT paslaugų teikėjos“, – pabrėžia ji.
Po kibernetinio incidento verslas susiduria ne tik su techninėmis problemomis. Atsiranda reputacinė žala, klientų nepasitikėjimas, finansiniai nuostoliai, institucijų dėmesys ir galimi civiliniai ieškiniai. Būtent todėl organizacijos turi ruoštis ne tik pačiai atakai, bet ir tam, kas vyks po jos.
„Didžioji dalis problemų po kibernetinio incidento prasideda ne dėl paties įsilaužimo, o dėl to, kad šalys iš anksto nebūna aiškiai susitarusios dėl atsakomybių. Dėl to teisminių ginčų kyla net ir tada, kai duomenys techniškai jau būna atkurti“, – sako R. Vasiliauskienė.
Daro klaidą
Teisininkų praktikoje vis dar labai dažni atvejai, kai po incidentų paaiškėja, kad nėra duomenų tvarkymo susitarimų, todėl šalys ir eina į teismą, nes abi jaučiasi teisios.
„Klientas tiki, kad visą saugumą turėjo užtikrinti paslaugų teikėjai – IT specialistai. Paslaugų teikėjas tvirtina, kad klientai, kurie mokėjo 100 eurų per mėnesį, už tokią sumą ir gavo paslaugų. Be to, klientai dažniausiai nesupranta, kad absoliutaus saugumo skaitmeninėje erdvėje nėra, todėl, kad ir kiek mokėtų paslaugų teikėjui, šis negali garantuoti 100 proc., kad nieko nenutiks“, – pažymi R. Vasiliauskienė.
Šabloniškuose įmonių susitarimuose dažnai trūksta konkrečiai toms šalims parinktų saugumo sprendimų. Pavyzdžiui, IT paslaugų teikėjai dažnai teikia įvairaus lygio ir kainos paslaugas ir mėgsta dirbti pagal nusistovėjusius planus, kad būtų paprasčiau viską administruoti.
Svarbi reakcija
Pirmosiomis valandomis visas dėmesys turi būti skirtas žalai mažinti, pažymi R. Vasiliauskienė. Įprastai tai būna techninių specialistų užduotis.
Antras žingsnis – rizikų vertinimas: reikia suprasti, kas atsitiko, koks buvo įsiskverbimo į sistemas mastas, kokie praradimai patirti, kokio tipo incidentas įvyko ir ar apie jį reikia kam nors pranešti.
Paraleliai, pasak teisininkės, turi būti derinama vidinė ir išorinė komunikacija, t. y. parinkti stresui atsparūs asmenys, kurie atsakys į klientų skambučius, gebės konstruktyviai valdyti piktus ar grasinamo pobūdžio laiškus. Dažniausiai po 3–4 dienų atslūgsta pirminės emocijos ir situacija palaipsniui stabilizuojasi.
„Jeigu nuo pat pradžių tinkamai buvo aprašytos šalių pareigos, ypač – IT paslaugų teikėjo paslaugų ribos, belieka nustatyti pagrindinę incidento priežastį ir konstatuoti, ar paslaugų teikėjas iš tikrųjų ko nors nepadarė, o gal įvyko viena iš tokių atakų, nuo kurių tiesiog neįmanoma apsisaugoti“, – pastebi R. Vasiliauskienė.
Naujausi komentarai