Rz: Kto jest najbardziej zagrożony cyberatakami: firmy, czy instytucje publiczne np. samorządy?
Artur Piechocki i Marcel Góra: Zagrożenie cyberatakami dotyczy wielu sfer naszego życia. Cyberprzestępczość to nie tylko przestępstwo wymierzone przeciwko poufności, integralności danych np. hacking, nielegalny podsłuch, szpiegostwo komputerowe, sabotaż komputerowy, ale także przestępstwa popełniane przy użyciu komputera np. oszustwa komputerowe, fałszerstwo dokumentów. Stąd też trzeba podkreślić, że cyberatakiem zagrożone są nie tylko podmioty związane z biznesem – na mniejszą lub większą skalę – są to też jednostki samorządu terytorialnego i organizacje publiczne, które posiadają ogromne zbiory danych o każdym z nas. Cyberataki to nie tylko problem banków, dużych korporacji czy firm energetycznych. Jest to codzienne wyzwanie także dla państwa, jego instytucji i urzędników.
Czy zdarzały się już cyberataki wymierzone w instytucje publiczne? A jeśli tak, proszę o przykłady.
Polska administracja publiczna już od dawna należy do grona podmiotów dotkniętych cyberprzestępczością. Dziś często można spotkać się – nie tylko w branżowych serwisach – z informacjami na temat cyberprzestępczości, która dotyka jednostki samorządu terytorialnego. W ostatnim czasie doszło m. in. do wycieku danych z Urzędu Miasta Poznania, a także wycieku danych osobowych inicjatorów referendum w Urzędzie Miasta w Piotrkowie Trybunalskim, gdzie nastąpiła zmiana zawartości stron internetowych.
Z kolei w Urzędzie Miasta Łodzi miała miejsce częściowa blokada serwerów, a co za tym idzie zablokowano możliwość świadczenia części usług. Dochodziło także do kradzieży pieniędzy. Ofiarami takich działań padły urzędy w Błażowej, Bielsku Dużym, Gidlach, Rząśni i Jaworznie. Łączne straty wyniosły ok. 3 miliony złotych.
Jakie obszary jednostek samorządowych są najbardziej narażone na cyberataki?
Przykłady wskazane wcześniej pokazują, że do najbardziej zagrożonych obszarów trzeba zaliczyć te związane z danymi osobowymi oraz finansami. Dane z dowodu osobistego dają możliwość zaciągnięcia pożyczki lub zakupów na raty najnowszego modelu drogiego smartfona. Te same dane, w tym samym celu mogą wykorzystać przestępcy, którzy na nasze konto mogą zaciągnąć zobowiązania, które potem nam przyjdzie spłacać. Kradzież takich danych może oznaczać ogromne problemy, których konsekwencje każdy z nas ponosić będzie przez długi czas.
Czy można przygotować urząd na cyberatak?
Od strony technicznej już od dawna każdy urząd w Polsce powinien być przygotowany na wystąpienie próby cyberataku. Niestety, takiego przygotowania nie ma i wciąż temat ten jest bagatelizowany. Ponad połowa jednostek samorządu terytorialnego nie zajęła się dotychczas możliwościami zabezpieczenia się przed próbami ataku za pomocą sieci. Powodem takiej sytuacji są z całą pewnością kłopoty z finansowaniem, które trzeba przeznaczyć na ten cel w budżecie. Brak jest też szkoleń dla urzędników, które mógłby zapobiec wielu atakom.
A jak zabezpieczyć się przed cyberatakiem od strony prawnej?
Można zabezpieczyć przede wszystkim ryzyko związane ze szkodami, jaki ponieść może urząd na skutek cyberataku – dobrym rozwiązaniem jest ubezpieczenie tzw. cyberpolisa. W Polsce rynek cyberpolis rozwija się prężnie. Oferta ubezpieczeniowa obejmuje z reguły odpowiedzialność cywilną i koszty obrony w postępowaniach cywilnych z tytułu naruszenia prywatności, kary administracyjne i koszty obrony w postępowaniach regulacyjnych w postępowaniach z tytułu naruszenia prywatności, koszty reakcji i zarządzania kryzysowego w związku z naruszeniem bezpieczeństwa informacji, a także odpowiedzialność cywilną i koszty obrony w postępowaniach cywilnoprawnych w związku z naruszeniem bezpieczeństwa informacji (np. roszczenia obywateli w związku z kradzieżą danych ich dotyczących, z systemu informatycznego urzędu).
Z drugiej strony przykłady niektórych jednostek samorządu terytorialnego, np. Giżycka pokazują, że można przygotować zaawansowane wdrożenia informatyczne, które mają za zadanie nie tylko usprawnić życie mieszkańców, ale również biorą pod uwagę ochronę ich prywatności.
Skutki: błędów urzędniczych, braku komunikacji, zmiany kadry zarządzającej danymi - to potencjalne obszary ryzyka. Czy cyberpolisy mogą pomóc?
Cyberpolisa nie jest lekiem na całe zło, nie można jej traktować jak uniwersalne antidotum na cyberatak. Po pierwsze, jak w każdej umowie ubezpieczenia trzeba w pierwszej kolejności zapoznać się z warunkami ubezpieczenia, które w sposób szczegółowy, często wręcz kazuistyczny wskazują na przypadki, które wyłączają odpowiedzialność ubezpieczyciela za szkody, jakie powstały w następstwie cyberataku. Po drugie nie można ulec złudzeniu, że wystarczy zainwestować w cyberubezpieczenie i w związku z tym nie wdrożyć zabezpieczeń od strony technicznej i nie przeszkolić urzędników. Te działania powinny pójść ze sobą w parze i wzajemnie się uzupełniać.
Czy nowe przepisy RODO, które wchodzą w życie w maju 2018 r. regulują odpowiedzialność jednostek samorządowych?
Ogólne rozporządzenie unijne o ochronie danych (rozporządzenie 2016/679) nie wyróżnia szczególnej odpowiedzialności jednostek samorządu terytorialnego i co do zasady traktuje je tak samo jak pozostałych administratorów danych osobowych. Przed każdym z państw Unii Europejskiej stoi jednak wyzwanie wdrożenia do krajowego porządku prawnego tegoż rozporządzenia poprzez przepisy, które mają zapewnić skuteczne jego stosowanie w polskim porządku prawnym. Opublikowany pod koniec marca projekt nowej ustawy o ochronie danych osobowych zakłada, że kary administracyjne przewidziane przez rozporządzenie unijne nie będą nakładane na jednostki samorządu terytorialnego, choć kwestia ta nie jest do końca jasna, bowiem odpowiedzialność taka jest przewidziana wobec podmiotów prowadzących działalność gospodarczą. W sytuacji, zatem prowadzenia działalności gospodarczej wyłączenie odpowiedzialności gminy nie jest jednoznaczne. Niezależnie od brzmienia rozporządzenia unijnego oraz polskiej ustawy, jednostka samorządu terytorialnego będzie odpowiadała za szkody, jakie poniesie każdy obywatel na skutek jej zaniedbań. —rozmawiała Anna Kowalska
