MP nr 12 - Cyberbezpieczeństwo

Wnioski z ataku wirusa Petya.

Na łamach 9. numeru Monitora Prawnego z maja 2017 r. informowaliśmy o ataku WannaCry ransomware, który objął swoim zasięgiem ponad 150 krajów i 200 tysięcy komputerów z systemem operacyjnym Windows. Kilka tygodni później, przy okazji kolejnego cyberataku, tym razem wywołanego przez wirus Petya (lub NotPetya, SortofPetya), warto zadać sobie pytanie o to, czy nowe unijne instrumenty prawne mające na celu zapewnienie bezpieczeństwa sieci i systemów informatycznych (dyrektywa NIS) oraz danych osobowych (RODO) zapobiegną przeprowadzeniu podobnych ataków w przyszłości.

Odpowiadając na to pytanie należy zauważyć, że istotną wadą dyrektywy NIS, mającej być głównym instrumentem gwarantującym cyberbezpieczeństwo, jest jej wąski zakres podmiotowy – dyrektywa wprowadza obowiązki w zakresie bezpieczeństwa sieci i systemów informatycznych jedynie w stosunku do operatorów usług kluczowych (m.in. z sektora energetyki, transportu, bankowości i zdrowia) oraz dostawców usług cyfrowych (internetowej platformy handlowej, wyszukiwarki internetowej i usługi przetwarzania w chmurze). W stosunku do pozostałych podmiotów dyrektywa NIS nie formułuje wiążących zaleceń. Lukę w tym zakresie mogłoby wypełnić RODO, które nakazuje przyjęcie środków organizacyjnych i technicznych w celu zapewnienia odpowiedniego poziomu bezpieczeństwa danych osobowych. Jednakże RODO, podobnie jak NIS, ma ograniczony zakres podmiotowy i nie stosuje się m.in. do tych sytuacji, w których nie dochodzi do przetwarzania danych osobowych. Oznacza to, że pomimo uchwalenia NIS i RODO wciąż pozostanie grupa podmiotów, które nie będą zobowiązane do stosowania zabezpieczeń przed cyberatakami.

Wobec powyższego wysoce prawdopodobny wydaje się scenariusz, w którym jako pierwszy zainfekowany zostanie podmiot, od którego nie będzie wymagane wprowadzenie zabezpieczeń (w przypadku Petya „pacjentem zero” był producent oprogramowania do obsługi księgowej), i to on doprowadzi do zarażenia innych podmiotów, stale korzystających z jego usług. Mając to na względzie należy pamiętać, że chcąc zagwarantować odpowiedni poziom cyberbezpieczeństwa konieczne staje się nie tylko dostosowywanie i monitorowanie własnych środków, ale także branie pod uwagę poziomu cyberbezpieczeństwa naszych stałych współpracowników, którzy mogą być traktowani przez system informatyczny jako zaufani nadawcy.  

Autor publikacji: Paweł Gruszecki (Partner, Szef Praktyki Nowych Technologii i Telekomunikacji), Justyna Zygmunt (Prawnik, Praktyka Nowych Technologii i Telekomunikacji)
Nazwa Kancelarii: Kochański Zięba & Partners sp. k.