Różne profesje wymagają różnej odpowiedzialności. Kodeksy karne na świecie przewidują kary za "sprowadzenie niebezpieczeństwa katastrofy w ruchu lądowym, wodnym lub powietrznym", a także za jej spowodowanie. Czy wyciek danych, przez niedbalstwo umożliwienie wystąpienia trudnych do przewidzenia niebezpiecznych konsekwencji utraty kontroli nad systemem telefinformatycznym można nazwać katastrofą? Nie jest to incydent takiej rangi, jak powyższe przykłady, ale w obecnych czasach to arcypoważny problem.
Wyobraźcie sobie, że przechowujecie dane w pewnej firmie, która wie o Was dosłownie wszystko. Sowicie płacicie jej za hipotetyczne usługi, które wymagają od Was podania do wiadomości firmy newralgicznych informacji (na przykład bank). W opłatach zawiera się również ułamek wielkości pensji osób odpowiedzialnych za bezpieczeństwo informatyczne firmy, a także "składka" na jej ciągłą modernizację. Bo przecież chcecie mieć poczucie, że z Waszymi danymi wszystko jest (i będzie) w porządku. Ich ewentualny wyciek mógłby spowodować lawinę trudnych do przewidzenia konsekwencji - od wyczyszczenia konta bankowego począwszy, a skończywszy na kradzieży tożsamości. To oczywiście bardzo pesymistyczne scenariusze, ale takie działają na wyobraźnię najlepiej. Zdenerwowalibyście się, gdyby coś takiego nastąpiło, prawda?
Tylko troll odpowie, że by się nie zdenerwował. Pytanie tylko, kto za to odpowie?
Na samym początku tekstu przywołałem przykład sankcji, które czekają na osoby, które świadomie (lub nieumyślnie) sprowadziły niebezpieczeństwo katastrofy (lub ich działanie doprowadziło do jej spowodowania). Takie funkcjonują w polskim kodeksie karnym i do nich się będę często w tym tekście odwoływać. Jak ma się sprawa z systemami teleinformatycznymi? Jak pokazują: praktyka przy okazji takich spraw i litera prawa, w wypadku rozpracowania zabezpieczeń systemu teleinformatycznego, z automatu firmie nie grożą żadne sankcje, ewentualnie swoich roszczeń można dochodzić na drodze cywilnej. Oczywiście, sankcje czekają na człowieka, który umyślnie, z zamiarem złamania zabezpieczeń zakłóca działanie systemu teleinformatycznego (Art. 165 § 4. KK). Ale na tym sprawa się kończy, polskie prawodawstwo (nie tylko, bo na świecie również ta kwestia kuleje) nie przewiduje żadnych innych sankcji dla podmiotów, które nie dopilnowały bezpieczeństwa systemów teleinformatycznych.
Przykład idzie z Ukrainy. Firma M. E. Doc zostanie pociągnięta do odpowiedzialności za rozprzestrzenienie Petya
Celem przypomnienia: atak ransomware Petya zaczął się od nadpisania paczki aktualizacyjnej na serwerach producenta oprogramowania firmowego - M. E. Doc. Jako, że jest ono wykorzystywane w wielu firmach za naszą wschodnią granicą, a atak nie został zauważony, Petya bardzo szybko rozprzestrzenił się nie tylko na komputery z zainstalowanym pakietem, ale również inne maszyny dzięki wykorzystaniu innych podatności w systemach Windows. Co ciekawe, okazuje się, że firma była wielokrotnie ostrzegana przed możliwością ataku. Jak mówi szef cyberpolicji w Ukrainie, M. E. Doc doskonale zdawał sobie sprawę z tego, że zabezpieczenia są dziurawe, ale nic sobie z tego nie robił. W świetle tych okoliczności, odpowiedzialni za rozprzestrzenienie Petya zostaną pociągnięci do odpowiedzialności karnej. Z jakiego paragrafu - nie podano.
Istnienie prawa pozwalającego nakładać kary na firmy, w których zaniedbano zabezpieczenia może być kontrowersyjne...
Bo czasami jest trudno stwierdzić, czy firma była w stanie odpowiednio zabezpieczyć się przed atakiem. Mogą przecież istnieć podatności, które są trudne do wykrycia, albo w ogóle szerszej nieznane, które zostaną użyte przez sprytnego cyberprzestępcę (albo grupę). Każdy taki przypadek powinien być wtedy zbadany przez niezależną komisję ekspertów, którzy orzekaliby o przyczynach powstania takiego ataku oraz o tym, czy rzeczywiście doszło do zaniedbań po stronie firmy. Usługi takich ekspertów byłyby niesamowicie kosztowne - przeanalizowanie wszystkich szczegółów mogłoby też trwać wieki. Należy sobie również postawić pytanie dotyczące dostępności usługi w trakcie prowadzonych czynności - brak możliwości korzystania z platform może być znacznie bardziej dotkliwy dla klientów, niż wyciek danych.
...ale wydaje się, że w obecnych czasach jest to konieczne
Bo często zdarza się tak, że zaniedbania w kwestii zabezpieczeń biorą się z kalekiej polityki finansowej firmy. Stare oprogramowanie, nieodpowiedni stosunek do aktualizacji, swobodny stosunek do wdrażania poprawek mogą spowodować ogromne szkody nie tylko w infrastrukturach, ale również w naszych danych. Powyższe zaniechania mogą mieć różną etiologię - począwszy od zwykłego lenistwa, a skończywszy na cięciu kosztów, które mogą być ogromne, jeżeli będziemy chcieli zapewnić najwyższe możliwe bezpieczeństwo naszym klientom. Oczywiście, dążenie do optymalizacji finansowej jest dobrym pomysłem - o ile to nie godzi w interes klienta nie tyle ofiarującemu, co powierzającemu firmie swoje dane. Gdyby doprowadzić do sytuacji, w której oszczędzanie na bezpieczeństwie nie będzie się opłacało, być może uniknęlibyśmy kilku poważniejszych ataków, które mogłyby doprowadzić do ogromnych strat.
