Odpowiedzialność cywilna za cyber szkody

Cyberatak na naszą firmę wpływa na każdy obszar jej funkcjonowania

Szkody wyrządzone przez przestępców mogą mieć wymiar bezpośredni – w postaci uszkodzenia jej systemów teleinformatycznych, jak również pośredni – wpływając na bezpieczeństwo i straty po stronie pracowników, kontrahentów oraz samych klientów.

Pomimo nagłaśnianych w ostatnich latach przypadków działalności przestępczej w cyberprzestrzeni, wiele firm i przedsiębiorstw nadal traktuje ten narastający problem bez należytej powagi. Doświadczenie pokazuje, że nikt nie jest bezpieczny a ofiarami padają m.in szpitale, porty lotnicze czy strony www mikro przedsiębiorstw, które przez efekt skali pozwalają dotrzeć przestępcom do olbrzymiej liczby osób i podmiotów.

Problem dotyczy wszystkich

Ataki na duże korporacje i znane marki często przebijają się do mediów i opinii publicznej. Ofiarami cyberataków padają jednak również małe i średnie przedsiębiorstwa, które lekceważąc zagrożenie nie inwestują w szkolenia oraz procedury ochronne, czyniąc je zdecydowanie łatwiejszym celem. O ile w ich przypadku, doniesienia o wycieku danych nie staną się publiczne na tyle, aby zwrócić uwagę opinii publicznej – to skutki dla tych firm oraz odpowiedzialność na nie spadająca jest już całkowicie realnym ryzykiem.

Według Raportu Zagrożeń Bezpieczeństwa w Internecie, ofiarami 30%wycieków danych są podmioty zatrudniające poniżej 100 pracowników.

Zatrważający jest fakt, iż według raportu fundacji Narodowego Przymierza Cyberbezpieczeństwa (NCSA) –  60% firm, które stały się ofiarą cyberataku zniknęły z rynku w ciągu zaledwie 6 miesięcy. Powodem takiego stanu są rosnące kwoty odszkodowań z tytułu wycieku danych oraz wysokie koszty likwidacji szkód w połączeniu ze specjalistyczną obsługą IT.

Cyberodpowiedzialność

Od strony prawnej odpowiedzialność cywilna za wyrządzone szkody spada bezpośrednio na firmę, która stała się celem ataku. W takiej sytuacji problemy bardzo szybko się nawarstwiają i zarząd musi podjąć kluczowe decyzje w celu identyfikacji i likwidacji luk w systemie informatycznym, jak również podjąć działania wymagane od niego prawnie jako administratora danych.

W hipotetycznej sytuacji wycieku z firmy danych osobowych jej klientów, odpowiedzialność zależy od typu danych, skali działania przestępców oraz potencjalnych negatywnych skutków dla osób i podmiotów trzecich.

Koszty ponoszone przez firmę mogą mieć różny charakter i wymiar:

  • finansowe konsekwencje kradzieży danych klientów/pracowników oraz ich użycia w celach przestępczych – np. kradzieży tożsamości, wyłudzeń kredytów czy oszustw podatkowych,
  • konieczność odtworzenia zbioru danych osób/klientów poszkodowanych w ramach ataku,
  • obsługę prawną związaną z postępowaniem administracyjnym z tytułu ochrony danych osobowych (GIODO),
  • obsługę informatyczną związaną z identyfikacją luki w systemie oraz jej naprawienie na przyszłość,
  • utratę części zysku w skutek niedostępności systemu informatycznego firmy,
  • utratę wiarygodności,
  • i inne…

Jednym z najnowszych przykładów negatywnych skutków ataków jest firma Uber, której prezes przyznał iż w zeszłym roku hakerzy wykradli dane osobowe ponad 57 mln klientów i kierowców tej firmy. Sprawa była jednak tuszowana i żaden z użytkowników aplikacji nie został o tym fakcie poinformowany.Firma ostatecznie zdecydowała się zapłacić włamywaczom 100 tys. dolarów za zniszczenie przez nich skradzionych danych.

Amerykański gigant kredytowy – Equifax również padł w tym roku ofiarą hakerów, którzy w okresie maja-lipca wykradli dane osobowe ponad 143 mln klientów w tym 209 tysięcy numerów kart kredytowych.  Prezes firmy wyraził głębokie ubolewanie z powodu incydentu i zapewniał iż podejmowane są kroki ku lepszemu zabezpieczeniu systemów firmy w przyszłości. Realne szkody zostały jednak już wyrządzone – zarówno po stronie Equifax jak i jego klientów.

Twoja firma może stać się celem ataku

Odpowiednia profilaktyka bezpieczeństwa, często szkolenia oraz przestrzegane procedury nie stanowią gwarancji iż do negatywnego w skutkach zdarzenia nigdy nie dojdzie.

Ubezpieczenia cybernetyczne są odpowiedzią na potrzebę dodatkowej ochrony przedsiębiorstw, w momencie gdy bazowe procedury w końcu zawiodą. Polisy tego typu oferują wsparcie w procesie likwidacji szkód o zakresie nieoferowanym przez inne typu ubezpieczeń. To długofalowa inwestycja w bezpieczeństwo firmy, która stanowi nieocenione wsparcie w sytuacji kryzysowej.

Equinum Broker