Cyberatak na naszą firmę wpływa na każdy obszar jej funkcjonowania
Szkody wyrządzone przez przestępców mogą mieć wymiar bezpośredni – w postaci uszkodzenia jej systemów teleinformatycznych, jak również pośredni – wpływając na bezpieczeństwo i straty po stronie pracowników, kontrahentów oraz samych klientów.
Pomimo nagłaśnianych w ostatnich latach przypadków działalności przestępczej w cyberprzestrzeni, wiele firm i przedsiębiorstw nadal traktuje ten narastający problem bez należytej powagi. Doświadczenie pokazuje, że nikt nie jest bezpieczny a ofiarami padają m.in szpitale, porty lotnicze czy strony www mikro przedsiębiorstw, które przez efekt skali pozwalają dotrzeć przestępcom do olbrzymiej liczby osób i podmiotów.
Problem dotyczy wszystkich
Ataki na duże korporacje i znane marki często przebijają się do mediów i opinii publicznej. Ofiarami cyberataków padają jednak również małe i średnie przedsiębiorstwa, które lekceważąc zagrożenie nie inwestują w szkolenia oraz procedury ochronne, czyniąc je zdecydowanie łatwiejszym celem. O ile w ich przypadku, doniesienia o wycieku danych nie staną się publiczne na tyle, aby zwrócić uwagę opinii publicznej – to skutki dla tych firm oraz odpowiedzialność na nie spadająca jest już całkowicie realnym ryzykiem.
Według Raportu Zagrożeń Bezpieczeństwa w Internecie, ofiarami 30%wycieków danych są podmioty zatrudniające poniżej 100 pracowników.
Zatrważający jest fakt, iż według raportu fundacji Narodowego Przymierza Cyberbezpieczeństwa (NCSA) – 60% firm, które stały się ofiarą cyberataku zniknęły z rynku w ciągu zaledwie 6 miesięcy. Powodem takiego stanu są rosnące kwoty odszkodowań z tytułu wycieku danych oraz wysokie koszty likwidacji szkód w połączeniu ze specjalistyczną obsługą IT.
Cyberodpowiedzialność
Od strony prawnej odpowiedzialność cywilna za wyrządzone szkody spada bezpośrednio na firmę, która stała się celem ataku. W takiej sytuacji problemy bardzo szybko się nawarstwiają i zarząd musi podjąć kluczowe decyzje w celu identyfikacji i likwidacji luk w systemie informatycznym, jak również podjąć działania wymagane od niego prawnie jako administratora danych.
W hipotetycznej sytuacji wycieku z firmy danych osobowych jej klientów, odpowiedzialność zależy od typu danych, skali działania przestępców oraz potencjalnych negatywnych skutków dla osób i podmiotów trzecich.
Koszty ponoszone przez firmę mogą mieć różny charakter i wymiar:
- finansowe konsekwencje kradzieży danych klientów/pracowników oraz ich użycia w celach przestępczych – np. kradzieży tożsamości, wyłudzeń kredytów czy oszustw podatkowych,
- konieczność odtworzenia zbioru danych osób/klientów poszkodowanych w ramach ataku,
- obsługę prawną związaną z postępowaniem administracyjnym z tytułu ochrony danych osobowych (GIODO),
- obsługę informatyczną związaną z identyfikacją luki w systemie oraz jej naprawienie na przyszłość,
- utratę części zysku w skutek niedostępności systemu informatycznego firmy,
- utratę wiarygodności,
- i inne…
Jednym z najnowszych przykładów negatywnych skutków ataków jest firma Uber, której prezes przyznał iż w zeszłym roku hakerzy wykradli dane osobowe ponad 57 mln klientów i kierowców tej firmy. Sprawa była jednak tuszowana i żaden z użytkowników aplikacji nie został o tym fakcie poinformowany.Firma ostatecznie zdecydowała się zapłacić włamywaczom 100 tys. dolarów za zniszczenie przez nich skradzionych danych.
Amerykański gigant kredytowy – Equifax również padł w tym roku ofiarą hakerów, którzy w okresie maja-lipca wykradli dane osobowe ponad 143 mln klientów w tym 209 tysięcy numerów kart kredytowych. Prezes firmy wyraził głębokie ubolewanie z powodu incydentu i zapewniał iż podejmowane są kroki ku lepszemu zabezpieczeniu systemów firmy w przyszłości. Realne szkody zostały jednak już wyrządzone – zarówno po stronie Equifax jak i jego klientów.
Twoja firma może stać się celem ataku
Odpowiednia profilaktyka bezpieczeństwa, często szkolenia oraz przestrzegane procedury nie stanowią gwarancji iż do negatywnego w skutkach zdarzenia nigdy nie dojdzie.
Ubezpieczenia cybernetyczne są odpowiedzią na potrzebę dodatkowej ochrony przedsiębiorstw, w momencie gdy bazowe procedury w końcu zawiodą. Polisy tego typu oferują wsparcie w procesie likwidacji szkód o zakresie nieoferowanym przez inne typu ubezpieczeń. To długofalowa inwestycja w bezpieczeństwo firmy, która stanowi nieocenione wsparcie w sytuacji kryzysowej.