Augant kibernetinių incidentų skaičiui, verslas vis dar linkęs apie kibernetinius nusikaltimus galvoti pirmiausia per baudžiamosios teisės prizmę – įsilaužėlius, tyrimus, teisėsaugą ir nusikaltėlių paiešką. Tačiau praktika rodo, kad didelė dalis realių pasekmių verslui persikelia visai į kitą lauką – civilinius ginčus tarp paslaugų teikėjo ir kliento.
Po kibernetinio incidento svarbiausias klausimas dažnai būna ne tai, kas įvykdė nusikaltimą, o kas už padarytą žalą yra atsakingas ir kaip buvo pasidalytos pareigos tarp šalių dar iki incidento.
Nacionalinio kibernetinio saugumo centro statistika rodo, kad kibernetinių incidentų skaičius kasmet sparčiai auga. Didėjant skaitmenizacijai vis daugiau įmonių naudojasi išoriniais IT paslaugų teikėjais, debesų kompiuterijos sprendimais ir duomenų saugojimo platformomis, tačiau kartu su technologijomis perduodama ir atsakomybė, kurios ribos praktikoje ne visada būna aiškiai apibrėžtos.
Mano praktikoje svarbiausias dažniausiai būna ne baudžiamasis elementas, o civilinis ginčas tarp šalių. Kai įvyksta kibernetinis incidentas ir yra prarandami duomenys, klientui pirmiausia rūpi labai paprastas dalykas – kas kompensuos už žalą.
Ką po incidento vertina teismas?
Verslo logika dažniausiai būna gana paprasta. Viena šalis, kuri paprastai yra paslaugų teikėjas, savo sistemose saugo kliento duomenis, o klientas, patikėdamas tuos duomenis, jaučiasi saugus, nes mano, kad profesionalai užtikrins visapusišką jų apsaugą. Įvykus įsilaužimui ir praradus duomenis, klientui situacija atrodo labai aiški – jeigu įsilaužta pas paslaugų teikėją, vadinasi, būtent jis yra kaltas.
Vis dėlto, teismuose ši situacija dažniausiai vertinama gerokai sudėtingiau: „Aiškinantis ginčo aplinkybes, esminiu klausimu tampa ne emocinis kaltės vertinimas, o tai, ką dar iki incidento šalys susitarė. Pavyzdžiui, kas atsakingas už kopijų darymą, kiek laiko bus saugomi žurnaliniai įrašai, kokio lygio apsauga bus taikoma iš paslaugų teikėjo pusės, o ką turi padaryti pats klientas. Jei tai nėra aiškiai aptarta dokumentuose, prasideda interpretacijos ir ginčai.
Kritinę reikšmę tokiose bylose turi duomenų tvarkymo susitarimas, kylantis iš Bendrojo duomenų apsaugos reglamento (BDAR) reikalavimų. Jeigu į šį dokumentą pasižiūrima rimtai, būtent jame būna aiškiai susitarta, kokių saugumo priemonių iš paslaugų teikėjo reikalaujama ir kur baigiasi jo atsakomybės ribos. Praktikoje daug įmonių šiai daliai vis dar neskiria pakankamai dėmesio. Dažnai duomenų tvarkymo susitarimai apskritai nebūna sudaromi arba pasirenkami bendriniai šablonai, kurie realių rizikų ir atsakomybių neapibrėžia. Kruopščiai parengus duomenų tvarkymo susitarimus, galima laimėti dvigubai – ne tik būtų išvengiama bylinėjimosi teisme, bet ir atsirastų didesnis dėmesys saugumo priemonėms, nes, pasitelkus į pagalbą IT specialistus, jau šalių bendradarbiavimo pradžioje būna išsiaiškinta, ar standartiškai suteikiamos saugumo priemonės atliepia konkrečias paslaugų gavėjo rizikas.
Dar daugiau – šiose sutartyse galima susitarti ir dėl tam tikrų atsakomybės ribų, pavyzdžiui, kad ir kas nutiktų, paslaugos teikėjas atlygins ne didesnę nei 20 tūkstančių eurų sumą. Taip abi šalys, įvykus incidentui, gali aiškiau suvokti situaciją: viena gali įsivertinti savo veiklos tęstinumo perspektyvas, kita – atsakyti į klausimą, ar verta bylinėtis teisme.
Tokiu būdu abiem šalims aišku nuo pat paslaugų teikimo pradžios, kad, tarkime, duomenų centras bus atsakingas tik už perimetro apsaugą, apsaugą nuo užliejimo, gaisro, vagystės ir tinklų atvedimą iki pastato, o toliau jau pats klientas turės rūpintis duomenų kopijų darymu, antivirusine programa, prieigos teisių valdymu ir kitomis priemonėmis.
Praktikoje daug įmonių šiai daliai vis dar neskiria pakankamai dėmesio – susitarimai apskritai nesudaromi arba naudojami bendriniai šablonai, kurie realių rizikų ir atsakomybių neapibrėžia.
Kol viskas veikia, šalims atrodo, kad papildomi susitarimai nereikalingi. Tačiau po incidento labai greitai prasideda klausimai, kas už ką buvo atsakingas.
Būtent aiškiai nepasidalytos atsakomybės dažniausiai ir tampa ilgų bei brangių teisminių ginčų priežastimi.
Kibernetinis saugumas – ne tik IT klausimas
Verslas vis dar pernelyg dažnai kibernetinį saugumą suvokia tik kaip technologinį klausimą, nors realybėje jis seniai tapo ir teisinės rizikos klausimu. Vien antivirusinių sistemų ar techninių apsaugos priemonių nebepakanka – organizacijos turi būti pasiruošusios ir teisiniam incidento valdymui.
Duomenų tvarkymo susitarimas turi būti toks pats savaime suprantamas dalykas kaip pagrindinė paslaugų sutartis. Tai nėra formalumas ar papildomas popierius – tai dokumentas, kuris po incidento gali nulemti, ar verslas galės apsiginti. Tai ypač svarbu įmonėms, kurios pagal savo veiklos specifiką yra IT paslaugų teikėjos.
Po kibernetinio incidento verslas susiduria ne tik su techninėmis problemomis. Atsiranda reputacinė žala, klientų nepasitikėjimas, finansiniai nuostoliai, institucijų dėmesys ir galimi civiliniai ieškiniai. Būtent todėl organizacijos turi ruoštis ne tik pačiai atakai, bet ir tam, kas vyks po jos.
Didžioji dalis problemų po kibernetinio incidento prasideda ne dėl paties įsilaužimo, o dėl to, kad šalys iš anksto nebūna aiškiai susitarusios dėl atsakomybių. Dėl to teisminiai ginčai kyla net ir tada, kai duomenys techniškai jau būna atstatyti.
Klaida kliautis standartiniais paslaugų planais
Teisininkų praktikoje vis dar labai dažni atvejai, kai po incidentų paaiškėja, kad nėra duomenų tvarkymo susitarimų, todėl šalys ir eina į teismą, nes abi jaučiasi teisios.
Klientas tiki, kad visą saugumą turėjo užtikrinti paslaugų teikėjai – IT specialistai. O paslaugų teikėjas tvirtina, kad klientai, kurie mokėjo 100 eurų per mėnesį, už tokią sumą ir gavo paslaugų. Be to, klientai dažniausiai nesupranta, kad absoliutaus saugumo skaitmeninėje erdvėje nėra, todėl, kad ir kiek mokėtų paslaugų teikėjui, šis negali garantuoti 100 proc., kad nieko nenutiks.
Šabloniškuose įmonių susitarimuose dažnai trūksta konkrečiai toms šalims parinktų saugumo sprendimų. Pavyzdžiui, IT paslaugų teikėjai dažnai teikia įvairaus lygio ir kainos paslaugas ir mėgsta dirbti pagal nusistovėjusius planus, kad būtų paprasčiau viską administruoti.
Tačiau praktika skirtinga – vienas klientas duomenų centre saugo visą savo grupės apskaitos programą ir duomenis, o kita įmonė saugo archyvinius duomenis, kurių praradimas verslo nestabdo. Taigi joms reikia skirtingų saugumo sprendimų, ir dėl to tikrai galima kalbėtis su paslaugų teikėjais, – atkreipia dėmesį teisininkė. – Bet praktikoje viską nulemia kaina, todėl klientai dažnai renkasi pigiausią variantą ir nesigilina, kokių apsaugos priemonių jiems iš tikrųjų reikia.
Ką svarbiausia atlikti po incidento?
Pirmosiomis valandomis visas dėmesys turi būti skirtas žalos mažinimui. Įprastai tai būna techninių specialistų užduotis.
Antras žingsnis – rizikų vertinimas: reikia suprasti, kas atsitiko, koks buvo įsiskverbimo į sistemas mastas, kokie praradimai patirti, kokio tipo incidentas įvyko ir ar apie jį reikia kam nors pranešti.
Paraleliai turi būti derinama vidinė ir išorinė komunikacija, t. y. parinkti stresui atsparūs asmenys, kurie atsakinės į klientų skambučius, gebės konstruktyviai valdyti piktus ar grasinančio pobūdžio laiškus. Dažniausiai po 3–4 dienų atslūgsta pirminės emocijos ir situacija palaipsniui stabilizuojasi.
Jeigu nuo pat pradžių tinkamai buvo aprašytos šalių pareigos, ypač – IT paslaugų teikėjo paslaugų ribos, belieka nustatyti pagrindinę incidento priežastį ir konstatuoti, ar paslaugų teikėjas iš tikrųjų kažko nepadarė, o gal įvyko viena iš tokių atakų, nuo kurių tiesiog neįmanoma apsisaugoti. Tokiu atveju abi šalys turėtų suremti pečius ir surasti būdus, kaip geriau pasiruošti kitam kartui. Kaip minėta, šimtaprocentinio saugumo skaitmeninėje erdvėje nėra, tad po incidento ne visada protinga apkaltinti savo IT paslaugų teikėją.
