Kibernetinės krizės kaina: vadovų atsakomybė – didesnė nei bet kada anksčiau
Raimondas Andrijauskas, advokatų kontoros WALLESS teisinės atitikties ekspertas, apžvelgia, kad Lietuva patenka į geopolitinės įtampos zoną, kurioje veikiantys nedraugiški kaimynai aktyviai naudoja kibernetinius išpuolius – dėl jų nukenčia verslo sektorius ir valstybinės institucijos.
„Be to esame įžengę į skaitmeninį amžių: didelė dalis viešųjų ir privačių paslaugų jau yra skaitmenizuotos ir tarpusavyje susijusios. Tai reiškia, kad bet koks incidentas gali sutrikdyti viešųjų paslaugų teikimą ir sukelti rimtų nepatogumų gyventojams. Todėl kibernetinis saugumas tampa esminiu valstybės stabilumo elementu, kurį privalome nuolat stiprinti“, – sako R. Andrijauskas.
Ekspertas primena, kad reaguojant į augančias grėsmes ir siekiant didinti atsparumą, Lietuvoje 2024 m. spalio 18 d. įsigaliojo Kibernetinio saugumo įstatymo pakeitimai, įgyvendinantys ES NIS2 direktyvą.
„Nacionalinėje teisėje įtvirtinti gana griežti reikalavimai, kurie svarbūs tiek verslui, tiek viešajam sektoriui“, – pabrėžia jis.
Nuo teorijos – prie praktikos
Kibernetinio saugumo įstatymo pakeitimai ne tik išplėtė kibernetinio saugumo įstatymo taikymą naujiems subjektams, tačiau ir įtvirtino konkrečias pareigas organizacijoms, užtikrinant kibernetinį saugumą. Prof. dr. Marius Laurinaitis, Mykolo Riomerio universiteto Teisės ir FinTech studijų programos vadovas, pasakoja, kad įvestos taisyklės privers pasyvius stebėtojus imtis aktyvių veiksmų.
„Vadovai ir atsakingi asmenys dabar privalo ne tik formaliai derinti tvarkas, bet ir imtis praktinių saugumo priemonių įgyvendinimo. Šios priemonės nėra naujos, tačiau įstatymo pakeitimuose jos sukonkretintos: nurodoma, ką būtina atlikti ruošiant politikas, rizikų įvertinimo tvarkas ir technologijas, kas svarbu dirbant su paslaugų tarpininkais ir tiekimo grandine, ką privaloma įtraukti į veiklos atstatymo ir incidentų valdymo planus“, – vardija pašnekovas.
Pasak eksperto, tai, kas anksčiau buvo deklaratyvu ir ką užteko tik paminėti, dabar turi būti užtikrinta praktikoje. O įmonės vadovas privalo pats šiame procese aktyviai ir nuolat dalyvauti.
„Svarbu ne tik reaguoti į incidentą, bet ir iš anksto identifikuoti rizikas bei vertinti galimus pavojus“, – šiuolaikinės kibernetinės saugos logiką akcentuoja M. Laurinaitis.
Kam tenka atsakomybė?
Advokatas Danielius Matonis, WALLESS asocijuotasis partneris, pabrėžia, kad įstatymo pataisose labai aiškiai įvardinta vadovo atsakomybė – būtent jis privalo užtikrinti, kad visi procesai veiktų tinkamai.
„Žinoma, vadovas neturi pats rašyti politikų, prižiūrėti procedūrų ir visų procesų. Tačiau jis atsako už tai, kad jie būtų tinkamai parengti, įgyvendinti ir nuolat prižiūrimi. Svarbu suvokti, kad tai nėra vienkartinis veiksmas – neužtenka parengti dokumentą, padėti jį į stalčių ir dešimčiai metų pamiršti. Įstatymas numato aktyvią pareigą nuolat stebėti situaciją ir užtikrinti atitiktį“, – sako ilgametės patirties teisinių ginčų srityje turintis teisininkas.
Vadovaudamiesi įstatymu, įmonių ir įstaigų vadovai privalo laikytis ir specifinių reikalavimų. Pavyzdžiui, kas dvejus metus dalyvauti kibernetinio saugumo mokymuose, nuolat kelti savo kvalifikaciją ir atnaujinti žinias. Įmonėms, kurios neužtikrina kibernetinio saugumo, įstatyme numatomos baudos.
„Baudų mechanizmas – klasikinis, jas sudarys procentai nuo apyvartos ir maksimalios baudos. Patys skaičiai šiuo metu nedaug pasako, bet baudos bus milžiniškos. Siunčiama aiški žinia, kad reguliuotojų tolerancijos lygis mažėja ir nulinės rizikos nebelieka“, – akcentuoja M. Laurinaitis.
Visgi, R. Andrijauskas mano, kad artimiausiu metu realių sankcijų tikėtis neverta, nebent įvyktų itin rimtas incidentas.
„Tokiu atveju greičiausiai būtų apsiribota incidento užkardymu ir papildomų priemonių įgyvendinimu, kad panaši situacija nepasikartotų. Tačiau įdomus kitas klausimas: ar įgyvendinant kibernetinio saugumo reikalavimus kyla reali asmeninės atsakomybės rizika? Tai aspektas, kuris turėtų ypač dominti vadovus ir įmonių valdybas“, – pabrėžia R. Andrijauskas.
Rizikuoja ne tik reputacija
Nors, skirtingai negu Pinigų plovimo prevencijos įstatymas, Kibernetinio saugumo įstatymas nenustato tiesioginės finansinės vadovo atsakomybės už pažeidimus, D. Matonis sako, kad ji yra įtvirtinta kituose teisės aktuose.
„Pavyzdžiui, Administracinių nusižengimų kodeksas numato vadovui iki 3000 Eur baudą, o už pakartotinį pažeidimą – iki 6000 Eur. Milijoninių sankcijų kontekste tokia atsakomybė gali atrodyti simboliška, bet ji egzistuoja. Be to, reputacinė žala gali būti ne mažiau svarbi už pinigines baudas“, – pabrėžia advokatas.
Kalbėdamas apie padarinius advokatas pabrėžia, kad įstatymas suteikia Kibernetinio saugumo centrui teisę kreiptis į teismą dėl laikino vadovo nušalinimo nuo pareigų.
„Tai – reikšmingas pokytis, galintis sukelti didelių nepatogumų, vėlgi, nekalbant apie žalą reputacijai“, – sako D. Matonis.
Pasak teisininko, įstatyme ir susijusiuose teisės aktuose akcentuojamas būtent vadovo vaidmuo, todėl šiandien jo asmeninės civilinės atsakomybės rizika kibernetinio saugumo incidento atveju yra pakankamai aukšta.
„Tiksliausia šiuo atveju kalbėti apie vadovo asmeninę civilinę atsakomybę – pareigą atlyginti nuostolius įmonei ar tretiesiems asmenims. Kadangi kalbame apie imperatyvių, visiems privalomų reikalavimų įgyvendinimą, vadovo atsakomybės laipsnis tampa aukštesnis“, – sako jis.
Laurinaitis teigia, kad kibernetinio saugumo kontekste esminis vaidmuo tenka priežastiniam ryšiui ir rizikos valdymui.
„Jeigu bus nustatyta, kad egzistuoja priežastinis ryšys pvz., įmonė elgėsi aplaidžiai, neatliko pareigų ar tinkamai neįvertino jai būdingų rizikų, atsakomybės išvengti nepavyks“, – sako jis.
Atsakomybės perkėlimas – ne išeitis
R. Andrijauskas svarsto, kad verslas gali ieškoti būdų atsakomybės naštą perkelti tiekėjams.
VERSLO TRIBŪNA
Kibernetinis saugumas Lietuvoje tapo verslo tęstinumo ir valstybės stabilumo sąlyga: tvyranti geopolitinė įtampa ir visapusiška paslaugų skaitmenizacija reiškia, kad net vienas didelis incidentas galėtų pridaryti didžiulės žalos ne tik verslui ar įmonės reputacijai, bet ir visuomenei. Kodėl organizacijoms svarbu stiprinti savo kibernetinio saugumo pajėgumus ir kokia atsakomybė gresia už atsainų požiūrį ir galimus pažeidimus?
Kibernetinio saugumo incidentas šiandien gali ne tik parklupdyti įmonę, pakenkti bendrovės ar vadovo reputacijai, bet ir virsti milijoninėmis baudomis organizacijai ar net pačiam vadovui. Kaip įsigalioję Kibernetinio saugumo įstatymo pakeitimai keičia verslo žaidimo taisykles ir perbraižo atsakomybių ribas organizacijose, diskutuoja prof. dr. Marius Laurinaitis, Mykolo Riomerio universiteto Teisės ir FinTech studijų programos vadovas, Raimondas Andrijauskas, advokatų kontoros WALLESS teisinės atitikties ekspertas, ir advokatas Danielius Matonis, WALLESS asocijuotasis partneris.
„Daug įmonių nekuria savo IT produktų, o remiasi kitų tiekėjų sukurtomis ir įdiegtomis sistemomis. Todėl galimas toks scenarijus, kai įmonės ar įstaigos pareigas perkels IT paslaugų teikėjams, iš jų bus reikalaujama tiek nuostolių atlyginimo, tiek atsakomybės už neatitikimus“, – scenarijų piešia jis.
Vis dėlto, M. Laurinaitis užtikrina, kad atsakomybė už kibernetinį saugumą tenka organizacijai, ir niekas nuo jos neatleidžia. D. Matonis papildo, kad natūralu, jog organizacijos nori pirkti kibernetinio saugumo paslaugas iš išorės tiekėjų – paprastai jie turi daugiau patirties nei viena konkreti organizacija, todėl gali užtikrinti kompetentingesnį procesų įgyvendinimą.
„Žinoma, būtina aiškiai apibrėžti sutarties apimtį bei įsipareigojimus. Prieš reguliatorių ar trečiuosius asmenis sutartis su tiekėju nebus panacėja ir neatleis nuo atsakomybės“, – teigia jis.
Paliestų ir visuomenę
Pasak R. Andrijausko, požiūris į kibernetinį saugumą iš esmės keičiasi.
„Anksčiau organizacijos daugiausia rūpinosi savo komercinių paslapčių ar konfidencialios informacijos apsauga. Tačiau naujasis reguliavimas parodo kitą dimensiją – tam tikros įmonės ar institucijos tampa tarsi nacionalinio saugumo ir visuomenės tvarkos garantais. Jeigu jos nukenčia, kyla grėsmė ne tik joms pačioms, bet ir visai valstybei. Jų teikiamos paslaugos gali tapti chaoso šaltiniu, kurį gali išnaudoti priešiškos valstybės“, – pabrėžia jis.
M. Laurinaitis sutinka, kad kibernetinio incidento pasekmės gali būti juntamos ne tik įmonėms, bet ir plačiajai visuomenei. Pasak eksperto, visuomenei didžiausią poveikį turėtų finansų, ryšių ir sveikatos sistemų sutrikimai.
„Todėl Europa investuoja į tokius projektus kaip skaitmeninis euras – siekiama užtikrinti autonomiją ir atsparumą. Tačiau rizikų kyla ir kitose srityse. Kur bepažiūrėtume – sveikata, finansai, ryšys – visur incidentas iškart paliestų visuomenę“, – aiškina M. Laurinaitis.
Jis primena, kad Lietuvoje ir iki šiol galiojo kritinės infrastruktūros reguliavimas – buvo sudarytas maždaug 160 kritinių subjektų sąrašas.
„Dabar, remiantis tuo pačiu principu, yra išskiriamos itin svarbios sistemos. Tačiau situacija nėra statiška – įmonė, kuri šiandien nepriklauso vadinamųjų itin svarbių sistemų kategorijai, rytoj gali joje atsidurti. Todėl ruoštis būtina jau dabar“, – akcentuoja profesorius.
