Incydent cyberbezpieczeństwa na własne życzenie, czyli co można było zrobić lepiej

W przypadku tego incydentu bezpieczeństwa na żadnym z etapów jego obsługi nie pojawili się hakerzy, żądanie okupu lub przynajmniej złośliwe oprogramowanie. Zamiast tego doszło do przypadkowego ujawnienia danych klientów i pracowników spółki, a także klientów i pracowników jej kontrahentów. Co istotne, do powyższego doszło w taki sposó, że uległy one rozpowszechnieniu w internecie.

Co najgorsze o całym zdarzeniu zarząd spółki dowiedział się przez przypadek. Po prostu jeden z pracowników odebrał telefon od nieznajomej osoby, która opowiedziała o swoim odkryciu.

Zapomnieć o ryzyku czy nim zarządzić

Po uzyskaniu takiej informacji większość zarządów spółek poszkodowanych w opisany sposób mogłaby zadać sobie pytanie, czy przypadkiem nie przeczekać i liczyć na to, że nikt więcej o zdarzeniu się nie dowie. Roztropność jednak nakazywałaby skonsultowanie tej kwestii pod kątem prawnym oraz technicznym. 

W pierwszym przypadku warto bowiem sprawdzić, czy zatajenie informacji przed właściwymi organami, klientami i kontrahentami nie jest związane z kolejnymi negatywnymi skutkami, tym razem natury prawnej.

W drugim z kolei należałoby zabezpieczyć się przed następnym tego rodzaju zdarzeniem.

Gdzie szukać pomocy

Na tym etapie przedsiębiorca napotyka jednak kolejne przeciwności. Nie wie bowiem, u kogo mógłby szukać takiej pomocy. 

Co prawda firmowy informatyk oferuje pomoc kolegi, który podobno zna się na takich sprawach, a jeden z członków zarządu namawia do skorzystania z usług kancelarii swojego bratanka, ale czy aby na pewno są to eksperci, którzy będą w stanie pomóc spółce?

Gdy czas działa na niekorzyść

Po tym jak stracono kolejny dzień na tego rodzaju rozważania, na profilu internetowym spółki jednego z portali społecznościowych pojawiają się wpisy z linkami do artykułów, jakie opublikowano na popularnych stronach zajmujących się cyberbezpieczeństwem. Tematem każdego z nich jest wyciek danych ze spółki, do której z każdą godziną zwraca się coraz więcej zaniepokojonych klientów, pracowników, kontrahentów oraz mediów z pytaniami na temat incydentu. Spółka niestety wciąż nie posiada kluczowych informacji na temat tego, co tak naprawdę się wydarzyło.

W artykułach i postach natomiast można przeczytać, że prezes Urzędu Ochrony Danych Osobowych (PUODO) na pewno powinien zająć się sprawą i wszcząć kontrolę w spółce, a klienci i kontrahenci prawdopodobnie wystąpią wobec spółki z roszczeniami odszkodowawczymi. Niemal w każdym z nich zwraca się także uwagę na to, co zdaniem autorów artykułów i postów tylko pogarsza jej sytuację.

Gdyby tego było mało, do spółki dochodzą informacje, że co bardziej zaciekawieni specjaliści od bezpieczeństwa znaleźli podatność, która nadal umożliwia zapoznanie z danymi spółki, co oznacza, że incydent nadal trwa.

Autorem artykułu jest Paweł Gruszecki, Counsel w Praktyce IP & TMT. Dalsza część artykułu dostępna jest w Gazecie Ubezpieczeniowej oraz w załączonym pliku PDF.