Odgovornost poslovodstva za kibernetski napad
25.9.2019

Kibernetsko varnost je treba vključiti v poslovno načrtovanje

Sofisticirani kibernetski napadi in informacijski varnostni incidenti postajajo čedalje pogostejši tudi v Sloveniji. Menite, da se ne more zgoditi tudi vašemu podjetju? Kako bi se vaše podjetje odzvalo v primeru kibernetskega napada, ki bi povsem ohromil poslovanje?

Strokovnjaki upravičeno opozarjajo, da je kibernetska varnost najpogosteje spregledano in ne-obvladovano poslovno tveganje. Informacijski sistemi so zaradi vseh prednosti, ki jih prinašajo, postali ključna infrastruktura podjetij. Zato so posledice v primeru uspešnega kibernetskega napada čedalje bolj resne. Incidenti podjetjem povzročajo večmilijonske, v nekaterih primerih celo milijardne škode. Kot zanimivost naj bi se napadi z izsiljevalskim programom zgodili vsakih 14 sekund, do leta 2021 pa naj bi se število povečalo na 11 sekund. Zato se postavlja vprašanje: kakšna je odgovornost poslovodstva v primeru uspešnega kibernetskega napada?

Vodenje podjetja predpostavlja višjo stopnjo skrbnosti, to je skrbnost vestnega in poštenega gospodarstvenika. Glede na neizbežno informatiziranost poslovanja, mora vsak poslovodja poznati tveganja uporabe informacijskih tehnologij, kljub temu, da morda nima posebnih tehničnih znanj. Menim, da ustrezno skrbnost izkaže poslovodstvo, ki realno ovrednoti tveganja kibernetskega napada za podjetje in implementira ter nadzoruje izvajanje ustreznih ukrepov. Namen priprave ocene tveganj in implementacije varnostnih politik ter ukrepov pa ni kreiranje dokumentov, ampak praktičnost: povezati ključne akterje v podjetju (IT, vodstvo, službo za stike z javnostjo, DPO, HR in ostale kritične deležnike) in jim zagotoviti ustrezna sredstva, čas in izobraževanja, ki so potrebna za povečanje informacijske varnosti. Ali drugače, kibernetska varnost ne more biti (več) zgolj naloga IT ekipe, ampak dolžnost vseh zaposlenih, saj so najšibkejši člen pogosto neizobraženi uporabniki. Zgolj koordinirani ukrepi in usklajen odziv v primeru napada lahko uspešno preprečijo napad ali zmanjšajo njegove posledice. Zato je potrebno kibernetsko varnost vključiti v poslovno načrtovanje. Vsi zaposleni pa morajo v skladu z usmeritvami poslovodstva razumeti tveganja in svojo vlogo pri zagotavljanju višje stopnje varnosti.

Kakšne so lahko v praksi posledice nezadostne skrbnosti poslovodstva?

Uspešni kibernetski napadi praviloma povzročijo zelo veliko poslovno škodo, ki nastane zaradi prekinitve poslovanja (ko se na primer ustavi proizvodnja ali drug temeljni poslovni proces), nadalje pa povzročijo izgubo zaupanja strank in okrnijo ugled podjetja, ki posledično utrpi izgubo posla. Pogosto komercialne pogodbe s strankami ali dobavitelji določajo zelo visoke pogodbene kazni za zamude in širijo pogodbeno odškodninsko odgovornost, kar pomeni, da podjetje plača visoke odškodnine. Nekatera podjetja, ki imajo zelo veliko uporabnikov – kot je na primer hotelska veriga Mariott, tvegajo skupinske tožbe (class action), kjer so lahko zaradi samega števila strank kumulativne odškodnine zelo visoke.

Zaradi čedalje bolj kompleksne zakonodaje, ki določa skrbnost pri varovanju osebnih in drugih vrst podatkov, so lahko podjetju zaradi kibernetskega napada izrečene zelo visoke globe. Družbi British Airways na primer grozi globa regulatorja v višini več kot 200 mio EUR (GDPR), rekordna globa pa je zadela ameriško podjetje Equifax: 575 mio USD. V primeru reguliranih dejavnosti (bančništvo, zavarovalništvo, borzno posredništvo…) podjetjem grozi odvzem licenc za poslovanje in druge posledice, ki jih določa specialna zakonodaja.

V primeru kibernetskega vdora zakonodaja podjetjem nalaga obveščanje pristojnih organov, pri čemer je to potrebno izvesti v najkrajšem možnem času (GDPR npr. določa rok 72 ur). Ker imajo kibernetski napadi običajno znake kaznivih dejanj, je o njih potrebno obvestiti tudi organe pregona, kar pomeni, da v najslabšem možnem primeru ni povsem izključena niti kazenska odgovornost poslovodstva.

Škode zaradi kibernetskega napada ne bodo spregledali nadzorniki in lastniki podjetja, ki se lahko v skladu z ZGD-1 odločijo za ustrezne kadrovske zamenjave, v nekaterih primerih pa lahko obstaja podlaga tudi za odškodninske zahtevke zoper poslovodstvo v skladu z 263. členom ZGD-1.

V takih primerih se bo poslovodstvo napadenega podjetja seveda branilo z argumentom, da absolutne informacijske varnosti ni mogoče zagotoviti. Navedeno do določene stopnje drži, vendar bo moral poslovodja izkazati, da je ravnal z ustrezno skrbnostjo, kar se je odrazilo v konkretnih ukrepih. V praksi večina analiz kibernetskih napadov pokaže, da tveganja niso bila ustrezno prepoznana, ni bila implementirana ustrezna politika, nadzor ključnih akterjev za kibernetsko varnost ni bil ustrezen, predvsem pa ni bilo zagotovljenih dovolj sredstev za implementacijo varovalnih ukrepov in izobraževanj. Področje kibernetske varnosti je strokovno zelo zahtevno, saj dnevno podjetja uporabljajo več in več informacijskih orodij, hekerji pa si neprestano izmišljajo nove načine za napade. Zato podjetje samo zelo težko zaposli in izobrazi ustrezne strokovnjake z vsemi potrebnimi znanji. Podjetja se tako obračajo na izkušene strokovnjake z ustreznim znanjem in infrastrukturo (ponudniki rešitev varnostno operativnih centrov), ki lahko podjetjem pomagajo pri vzpostavitvi ustreznega nivoja kibernetske varnosti in kontinuiranem izvajanju ustreznih ukrepov.

Poslovodstva vseh podjetij, ki poslujejo v informacijski dobi, se morajo zavedati tveganj zaradi kibernetskih napadov in posledic, ki jih lahko utrpijo. Strokovnjaki za kibernetsko varnost menijo, da ni več vprašanje ali bo podjetje napadeno, ampak kdaj. Pri tem je zaradi hitrega razvoja potrebno imeti v mislih, da je kibernetska varnost cilj, ki nikoli ni dosežen, si je pa potrebno zanj nenehno prizadevati. Skrb za ustrezno kibernetsko varnost je postala pomembna naloga poslovodstva ter celotne organizacije in je glede na svoj obseg in zahtevnost preobsežna samo za IT oddelek. Poslovodstvo je dolžno posle podjetja voditi tako, da je kibernetska varnost ena izmed prioritet in zagotoviti vse potrebne ukrepe za ustrezno stopnjo varnosti, bodisi znotraj podjetja bodisi s pomočjo zunanjih strokovnjakov. Zgolj tako lahko omeji svojo odgovornost v primeru uspešnega napada.

Članek je bil izvorno objavljen v reviji Direktor.

Avtor: Jure Planinšek

Katero zakonodajo s področja kibernetske varnosti morate poznati in upoštevati v poslovodstvih?

V prispevku Pravni vidiki kibernetske varnosti sta mag. Jure Planinšek, vodja pravne pisarne na NIL-u, in Tadej Skok, študent magistrske stopnje na PF Ljubljana, predstavila ključna pravna vprašanja zagotavljanja kibernetske varnosti in podajala pregled ključne zakonodaje s stališča skladnosti poslovanja.

PREBERITE ČLANEK