E. Mickevičienė. Kaip apsisaugoti nuo kibernetinių atakų ir kada atsakomybė tenka vadovui

Tai rodo, kad kėsinamasi gali būti ne tik į tiesiogiai su renginiu susijusią infrastruktūrą ar į valstybines institucijas, bet taip pat ir į kitus šalyje veikiančius verslus, ypač tuos, kurie saugo ir tvarko žmonių asmeninius duomenis. 

Dar didesnė grėsmė kyla tiems, kurie saugo itin jautrius duomenis, pavyzdžiui, sveikatos istoriją, ar duomenis, kuriais galima padaryti didelę žalą, pavyzdžiui, prisijungimus prie banko ir pan. Praėjusiais metais beveik trečdalis visų asmens duomenų saugumo pažeidimų buvo užfiksuoti būtent pas privačius juridinius asmenis.

Pasiruošus reikia būti visada

Gyvenant skaitmeniniame amžiuje, nenuostabu, kad yra sukurtos ir galioja specialios kibernetinio saugumo taisyklės, kuriomis siekiama paskatinti verslus su duomenimis elgtis kaip įmanoma atsargiau ir neatskleisti ar nenutekinti jų tiems, kurie gali turėti piktų kėslų. Taigi, siekiant valdyti kibernetinių incidentų rizikas, kiekvienai įmonei svarbu: 

• Nustatyti grėsmes, jų šaltinius ir pažeidžiamumą. Tik įvertinus sistemų ir duomenų svarbą bus galima pereiti prie grėsmių įmonės veiklai nustatymo;
• Įvertinti grėsmių riziką verslui. Rizikos turėtų būti suskirstytos pagal saugos pažeidimo tikimybę ir įtakos kriterijus;
• Įvertinti galimą kibernetinio incidento poveikį. Pavyzdžiui, tiesioginę (pajamų praradimas) ar netiesioginę (baudos ar partnerių/klientų sankcijos) žalą verslui dėl įrenginio užkrėtimo sutrikus įmonės veiklai, nutekinus asmens ar mokėjimo kortelių duomenis; 
• Periodiškai peržiūrėti ir iš naujo atlikti rizikos vertinimą. Jei diegiate naujas IT sistemas ar įrenginius arba keičiate verslo valdymo procesus, siūlytina prieš tai atlikti kibernetinių rizikų vertinimą; 
• Nustatyti reikiamas kibernetinio saugumo priemones. Jos yra tiek organizacinės, tiek techninės;
• Pasiruošti incidentų valdymo ir veiklos tęstinumo planą. Jį turėtų sudaryti IT bei kitų įmonės darbuotojų vaidmenys ir atsakomybės įvykus kibernetiniam incidentui, veiksmai su laikomais duomenimis ir IT sistemomis, suinteresuotų institucijų sąrašas komunikacijos planas, veiklos avarinio atkūrimo planas.

Svarbu pažymėti, jog pritaikius atitinkamas priemones pagal verslo pobūdį, galima užtikrinti veiksmingą duomenų atkūrimo mechanizmą, kuris garantuotų organizacijos veiklos tęstinumą ir leistų atkurti duomenis po incidento, taip išvengiant dar didesnių nemalonumų, tokių kaip duomenų nutekėjimas, sistemos neveiksnumas ir kt.

Gresia didelės baudos

Žinoma, net ir stengiantis laikytis visų keliamų reikalavimų, kartais dėl žmogiškosios klaidos, laiku neatnaujintų sistemų ar saugumo sprangų incidentas vis tiek gali įvykti. Tuomet kyla klausimas, ką tokiu atveju daryti? 

Priklausomai nuo incidento dydžio, Nacionaliniam kibernetinio saugumo centrui (NKSC) apie jį pranešti gali reikėti per mažiau nei valandą, jei tai valstybės informacinius išteklius ar ypatingos svarbos informacinę infrastruktūrą valdantys ar tvarkantys subjektai, viešųjų ryšių tinklai, viešieji elektroniniai ryšiai, elektroninės informacijos prieglobos  ir skaitmeninės paslaugos teikiantys kibernetinio saugumo subjektai.   

Dažnai kibernetinis atakos poveikis apima ir asmenų duomenų pažeidimus. Tokiu atveju nukentėjusi įmonė apie incidentą Valstybinei duomenų apsaugos inspekcijai (VDAI) turi pranešti per 72 valandas, o kartais įspėti ir pačius nukentėjusius asmenis, išskyrus tuos atvejus, kai toks pažeidimas nekelia pavojaus asmenų teisėms ir laisvėms.

Jei duomenų saugumo pažeidimas įvyksta duomenų tvarkytojo veikloje, jis per 24 valandas turi informuoti duomenų valdytoją, o šis, laikydamasis minėto 72 valandų termino (įskaitant ir terminą, per kurį gautas pranešimas iš duomenų tvarkytojo),  jei reikia, informuoja VDAI. 

Na, o tokiais atvejais kai įmonė pranešimo apie incidentą nepateikia, jai gali grėsti bauda iki 20 mln. eurų arba iki 4% jos ankstesnių finansinių metų bendros metinės pasaulinės apyvartos, priklausomai nuo to, kuri suma yra didesnė. 

Atsakomybės gali sulaukti ir vadovai

Nors pirmiausia atsakomybė pažeidus asmens duomenų apsaugos reikalavimus ir nutekėjus duomenims kyla pačiai įmonei, vis dėlto ieškinys dėl žalos atlyginimo gali būti pareikštas ir įmonės vadovui skirtingais pagrindais, t. y., dėl skirtingo pobūdžio neteisėtų veiksmų:

• Dėl fiduciarinių (lojalumo, sąžiningumo, protingumo ir kt.) pareigų pažeidimo ir (arba) netinkamo verslo sprendimo priėmimo; 
• Dėl imperatyvių įstatymo normų nustatytų vadovo pareigų nevykdymo arba pažeidimo, dėl kurių atsirado žala.

Už kibernetinio saugumo politikos įgyvendinimą ir jos principų laikymąsi atsako įmonės vadovas. Vadovo lyderystė ir parodytas pavyzdys yra ypač svarbūs siekiant, kad kibernetinė higiena taptų įmonės prioritetu ir padėtų darbuotojams suprasti, jog kibernetinis saugumas yra kiekvieno darbuotojo atsakomybė. 

Bet kokios valstybės valdžios institucijų taikomos sankcijos įmonei (pavyzdžiui, baudos už asmens duomenų saugumo pažeidimus) gali būti laikomos įmonės vadovo padaryta žala. 

Taigi, įvykus kibernetinei atakai ir dėl įmonės patirtos žalos, kurios buvo galima išvengti imantis prevencinių priemonių minėtų anksčiau, vadovui gali kilti civilinė atsakomybė. Ir čia atsakomybei kilti gali užtekti paprasto neatsargumo. Atkreiptinas dėmesys, kad VDAI 2022 m. I pusmečio duomenimis, net 63% asmens duomenų saugumo pažeidimų įvyksta būtent dėl žmogiškosios klaidos.

Padėti gali draudimas

Viena iš plačiausiai naudojamų rizikos mažinimo priemonių yra vadovo civilinės atsakomybės draudimas. Atsižvelgiant į atitinkamoje draudimo sutartyje numatytas išimtis ir kitus apribojimus, draudimas paprastai apima vadovo civilinę atsakomybę visoms trečiosioms šalims. Tai reiškia, kad draudimo apsauga apima bendrovės darbuotojų, pačios bendrovės (pavyzdžiui, netiesioginio bendrovės akcininkų reikalavimo atveju) ir trečiųjų šalių reikalavimus vadovui tiek, kiek žalą padarė asmuo, vykdantis vadovo pareigas.

Apsidraudus vadovo civilinės atsakomybės draudimu, draudėjas: 

• padengia įmonės vadovų civilinės ir baudžiamosios gynybos išlaidas;
• kompensuoja su tyrimais susijusias išlaidas;
• padengia įvairių specialistų, pavyzdžiui, teisininkų, advokatų, auditorių, buhalterių ir viešųjų ryšių specialistų, paslaugų  išlaidas; 
• kompensuoja baudas, nuobaudas ir reputacijos praradimo išlaidas; 
• padengia asmenines išlaidas turto arešto ar konfiskavimo atveju; 
• atlygina bendrovei nuostolius, patirtus dėl neteisėtų direktorių sprendimų, kai to reikalauja įstatymai, įmonės politika arba įmonės įstatai.

Prieš pasirašant draudimo sutartį, labai svarbu atidžiai išanalizuoti jos sąlygas. Tai apima tokius veiksnius kaip nesutartiniai įvykiai, atgalinis laikotarpis ir išplėstinis pranešimo laikotarpis, išskaitos suma, draudimo suma visam sutarties galiojimo laikotarpiui ir vienam draudiminiam įvykiui, teisinio atstovavimo apimtis ir aprėptis, bei, žinoma, pačio draudimo turinys bei apimtis pan. 

Vadovo civilinės atsakomybės draudimas ne tik užtikrina vadovui galimybę apsiginti draudiminio įvykio atveju, bet ir užtikrina asmeninio turto ir reputacijos apsaugą. Taip pat įmonės siūlydamos tokį draudimą?turi privalumą pritraukiant talentingus vadovus, todėl sąmoningas ir atsakingas verslas turėtų priimti sprendimą turėti vadovų civilinį atsakomybės draudimą,?kuris atliepų jo poreikius.

Komentaro autorė – Elena Mickevičienė, advokatų kontoros „TGS Baltic“ asocijuotoji partnerė