Czy firmom grożą pozwy za wyciek danych?


Atak hakerski wykorzystujący lukę w niezaktualizowanym oprogramowaniu webowym amerykańskiej agencji kredytowej spowodował wyciek istotnych danych milionów klientów ze Stanów Zjednoczonych, Kanady i Wielkiej Brytanii. Amerykańskie władze federalne prowadzą dochodzenie, które może skutkować milionowymi karami. Szefowie firmy zostali wezwani na przesłuchania przed Kongresem. Agencji wytoczono największy pozew zbiorowy w historii USA. Mimo że brzmi to jak fabuła finansowego thrillera, to sprawa Equifax wydarzyła się naprawdę i może służyć jako lekcja na przyszłość.

Ataki hakerskie nie tylko zakłócają działalność gospodarczą oraz powodują straty finansowe i reputacyjne. Mogą też się skończyć surowymi karami za niedopełnienie obowiązków regulacyjnych dotyczących ochrony danych osobowych lub cyberbezpieczeństwa. Firmy, które padły ofiarą cyberprzestępstw, mogą też odpowiadać wobec klientów i pracowników za utratę lub wyciek istotnych danych. Odpowiedzialność odszkodowawcza w takich sprawach możliwa jest także na gruncie prawa polskiego i może dotyczyć każdego. Raporty na temat cyberbezpieczeństwa pokazują, że ok. ¾ firm doświadczyło jakiegoś rodzaju incydentu w zakresie cyberbezpieczeństwa. Nie wydaje się, aby te statystyki miały w najbliższym czasie spadać. Sytuacja ta została dobrze podsumowana przez byłego dyrektora Federalnego Biura Śledczego Roberta Muellera, który stwierdził: „Jestem przekonany, że istnieją tylko dwa typy firm: te, które zostały już zhakowane i te, które zhakowane dopiero zostaną. I nawet one zbiegają się w jedną kategorię: firm, które zostały już zhakowane i zostaną zhakowane ponownie”.

Wyciek danych Equifax – studium przypadku

Equifax jest notowaną na amerykańskiej giełdzie spółką działającą na rynku kredytowym. Oprócz oferowania produktów finansowych zajmuje się zbieraniem i agregowaniem informacji o swoich klientach oraz oceną ich zdolności i historii kredytowej. 7 września 2017 r. spółka opublikowała na swojej stronie internetowej oświadczenie o prawdopodobnym wycieku danych klientów, który miał dotyczyć ponad 143 milionów mieszkańców USA oraz części klientów z Kanady i Wielkiej Brytanii. W skład wykradzionych danych wchodziły numery polis ubezpieczeniowych, daty urodzenia, numery dowodów tożsamości oraz adresy zamieszkania klientów. Zgodnie z oświadczeniem wyciek miał mieć miejsce na przełomie maja i czerwca tego samego roku, a firma wykryła jego zajście 29 lipca. Wszystkie informacje dostępne w tej sprawie pokazują, że stanowi ona przykład niewłaściwych działań i niewystarczających zabezpieczeń.

Nieupoważnione osoby uzyskały dostęp do wrażliwych danych dzięki wykorzystaniu luki w używanym przez Equifax oprogramowaniu open source stworzonym przez Apache Foundation. Sama luka została wykryta o wiele wcześniej przez twórców oprogramowania, a raport o niej wraz z odpowiednią łatką (aktualizacją naprawiającą wykrytą lukę) przygotowany został już na początku marca 2017 r. Equifax nie wdrożył jednak aktualizacji i hakerzy wyprowadzili dane milionów klientów (według niektórych informacji mogło się to stać nawet już pod koniec marca 2017 r.), najprawdopodobniej w celu ich późniejszej odsprzedaży. Łatwo więc dojść do wniosku, że jednemu z największych do tej pory incydentów dotyczących cyberbezpieczeństwa można było zapobiec stosując podstawowe procedury i dbając o aktualność oprogramowania.

Na początku sierpnia 2017 r., a więc kilka dni po tym, jak spółka dowiedziała się o wycieku, ale jeszcze przed podaniem tej informacji do publicznej wiadomości, trójka menadżerów Equifax sprzedała część posiadanych przez siebie akcji na łączną wartość ponad 1,7 miliona dolarów. Pod adresem tych osób zostały od razu skierowane oskarżenia o tzw. insider trading i próbę wykorzystania poufnych informacji do szybkiego wycofania zainwestowanego kapitału (podejrzani twierdzą, że zlecenia na sprzedaż akcji złożyli nie wiedząc o incydencie, jednak ze względu na opóźnienie podania tej informacji do wiadomości publicznej i zbieżność czasową tych wydarzeń trudno im będzie udowodnić brak przewinienia; sprawa jest w toku). Wycena akcji Equifax dzień po upublicznieniu informacji spadła o ponad 13%, a w kolejnych dniach spadała dalej. Straty te nie zostały odrobione do dzisiaj.

W kolejnych dniach września 2017 r. Equifax, próbując należycie poinformować klientów o incydencie, udostępnił portal internetowy, na którym mogli oni sprawdzić (podając swoje nazwisko oraz ostatnie cyfry polisy ubezpieczeniowej), czy ich dane również zostały wykradzione. Jak jednak pokazały analizy ekspertów, również ta strona była niewłaściwie zabezpieczona, przez co danych osób logujących się były narażone na ryzyko wykradzenia. Dodatkowo w warunkach użytkowania strony znalazł się zapis o zrzeczeniu się dochodzenia wszelkich roszczeń w powództwach zbiorowych. Mimo że firma w kolejnych dniach zdementowała te pogłoski, a wyłączenia z regulaminu miały nie dotyczyć spraw z zakresu cyberbezpieczeństwa, to opinia publiczna oceniła te działania w sposób jednoznacznie negatywny.

Duża skala naruszenia skłoniła do interwencji odpowiednie organy władzy USA. Śledztwo wszczął np. Prokurator Generalny stanu Nowy Jork, żeby zbadać, czy nie doszło do naruszenia praw konsumenckich. W dniu upublicznienia informacji o wycieku został też złożony zbiorowy pozew mający na celu zebranie jak największej liczby poszkodowanych w jednym postępowaniu sądowym. Poszkodowani zarzucają Equifax zaniedbania w zapewnieniu bezpieczeństwa danych klientów, a także nadmierne oszczędności na tym polu, które miały na celu wyłącznie maksymalizację zysków firmy. Firmie wytoczono największe powództwo zbiorowe w historii amerykańskiego sądownictwa; samo roszczenie odszkodowawcze opiewa na ponad 70 miliardów dolarów. Obecnie toczy się wiele postępowań bezpośrednio związanych z incydentem: śledztwo prowadzą organy FBI, działania podjęła Federalna Komisja Handlu i Departament Sprawiedliwości Stanów Zjednoczonych, a oprócz wspomnianego już powództwa cywilnego i innych późniejszych pozwów zbiorowych toczą się tysiące indywidualnych postępowań sądowych.

Obowiązki regulacyjne

Choć tak wielka skala naruszeń jest w polskich warunkach trudna do wyobrażenia, to podobne sytuacje są z pewnością możliwe. Szczególnie zagrożone są instytucje finansowe przechowujące poufne dane klientów, agencje ratingowe, firmy budowlane i architektoniczne oraz instytucje zajmujące się audytem, rachunkowością lub doradztwem strategicznym i operacyjnym.

Na gruncie polskiego prawa naruszenia systemów informatycznych mogą wiązać się z konkretnymi obowiązkami. W pierwszej kolejności zazwyczaj wymienia się tu obowiązki raportowe. Rozporządzenie o ochronie danych osobowych (RODO) nakłada na podmioty obowiązki notyfikacyjne związane z incydentami spełniającymi przesłanki naruszeń poufności, dostępności i integralności administrowanych danych osobowych. W zależności od ryzyka naruszenia praw i wolności osób fizycznych administrator powinien poinformować o naruszeniach odpowiedni organ lub zagrożony podmiot danych, a także prowadzić swoją wewnętrzną ewidencję wszelkich naruszeń ochrony danych osobowych. O roszczeniach odszkodowawczych, jakie mogą być dochodzone na podstawie RODO, pisaliśmy tutaj.

Kolejne wymagania wprowadza ustawa o krajowym systemie cyberbezpieczeństwa stanowiąca wdrożenie do polskiego porządku prawnego dyrektywy unijnej 2016/1148 w sprawie środków na rzecz wysokiego wspólnego poziomu bezpieczeństwa sieci i systemów informatycznych w UE (tzw. Dyrektywa NIS). Najdalej idącymi obowiązkami została obarczona grupa podmiotów zdefiniowana jako operatorzy usług kluczowych (są to m.in. przedsiębiorcy z sektora energetycznego, transportowego, zdrowotnego i bankowości). Zostali oni zobowiązani m.in. do powołania wewnętrznych struktur odpowiedzialnych za cyberbezpieczeństwo, wdrożenia skutecznych zabezpieczeń, szacowania ryzyka związanego z cyberbezpieczeństwem oraz przekazywania informacji o poważnych incydentach oraz ich obsługi we współpracy z CSIRT (Computer Security Incident Response Team) na poziomie krajowym. Dodatkowymi obowiązkami (również raportowymi) zostali obarczeni dostawcy usług cyfrowych (internetowe platformy handlowe, usługi przetwarzane w chmurze, wyszukiwarki internetowe) oraz podmioty świadczące usługi z zakresu cyberbezpieczeństwa.

Spółki publiczne muszą dodatkowo pamiętać również o obowiązkach informacyjnych wynikających z rozporządzenia MAR. Jeśli informacja o wycieku danych klientów emitenta lub innym zdarzeniu stanowiącym zagrożenie dla cyberbezpieczeństwa spełnia cechy informacji poufnej z art. 7 rozporządzenia MAR, czyli jest informacją określoną w sposób precyzyjny, niepodaną wcześniej do publicznej wiadomości oraz mającą cenotwórczy wpływ na instrumenty finansowe i instrumenty pochodne, to emitent ma obowiązek jej odpowiedniej notyfikacji. Postępowanie zgodne z tymi wymaganiami pozwoli uniknąć oskarżeń o insider trading względem osób, które do danej informacji poufnej miały wcześniejszy dostęp.

Roszczenie cywilne

Bardzo często przedsiębiorcy, starając się spełnić obowiązki administracyjne, zapominają o możliwych roszczeniach cywilnych. Poszkodowani mogą domagać się odszkodowania za naruszenie dóbr osobistych albo niedochowanie obowiązków regulacyjnych, które wyrządziło im szkodę. Takie postępowania odszkodowawcze wytaczane przez bezpośrednie ofiary naruszeń są coraz powszechniejsze – konsumenci pozywają podmioty zarządzające ich danymi lub banki, które nie dopełniły swoich obowiązków identyfikacji klienta czy monitorowania transakcji.

W polskim porządku prawnym podobne roszczenia będą formułowane najczęściej na podstawie ogólnych zasad ochrony dóbr osobistych wskazanych w art. 23 i 24 Kodeksu cywilnego. Sam katalog dóbr osobistych jest katalogiem otwartym, a więc ich wyliczenie zawarte w przepisach jest jedynie przykładowe. W incydentach związanych z cyberbezpieczeństwem zagrożone mogą być w szczególności dobra osobiste określone jako cześć zewnętrzna klientów (jeśli np. udostępnienie poufnych informacji może ich narazić na utratę zaufania publicznego), ich wizerunek, tajemnica korespondencji oraz prawo do prywatności. Bardzo często jeden incydent może naruszać cały szereg dóbr osobistych (jeśli np. wyciek danych z wirtualnej przestrzeni dyskowej obejmuje zarówno zapisaną korespondencję mailową klientów, jak i ich prywatne zdjęcia oraz pliki wideo).

Oprócz odszkodowania pieniężnego za konkretną szkodę majątkową osoby, których dobra zostały naruszone, mogą również domagać się zadośćuczynienia pieniężnego. To właśnie te roszczenia mogą stanowić największe ryzyko finansowe dla przedsiębiorców, zwłaszcza gdy wysuwane są przez bardzo liczne grono podmiotów. W takim procesie trzeba udowodnić, że do incydentu doszło z winy podmiotu, który powinien zapewnić bezpieczeństwo w cyberprzestrzeni. Najczęściej będzie się to sprowadzało do wykazania, że firma nie dochowała standardów należytego zabezpieczenia danych swoich klientów wymaganych przez obowiązujące przepisy i standardy rynkowe.

Jak się bronić przed roszczeniami?

Cyberataki są nieuniknione i będzie miało z nimi do czynienia coraz więcej przedsiębiorców z różnych branż. Aby minimalizować negatywne skutki, należy podjąć kompleksowe działania i wprowadzić procedury, które pozwolą na skuteczne zarządzanie ryzykiem. W pierwszej kolejności należy oczywiście zadbać o zgodność z wymaganiami regulacyjnymi, ponieważ samo nałożenie kar przez odpowiednie organy regulacyjne lub wydanie wyroku w postępowaniu karnym będzie trudnym do podważenia dowodem, a w pewnych sytuacjach stanowić będzie wiążący prejudykat. Jednak ograniczenie się do ustawowego minimum zabezpieczeń może być równie zgubne i stanowić dodatkowy argument dla powoda.

Kompleksowy system zabezpieczeń powinien spełniać funkcję prewencyjne i obejmować odpowiednio dostosowaną infrastrukturę techniczną w postaci narzędzi informatycznych – systemy SIEM, ochronę anty-APT czy operacyjnego centrum bezpieczeństwa (System Operation Center, SOC). W celu zarządzania tymi narzędziami wewnątrz firmy powinien funkcjonować zespół ds. cyberbezpieczeństwa (powołanie dyrektora lub kierownika ds. cyberbezpieczeństwa będzie dodatkowym zabezpieczeniem), a procedury zarządzania ryzykiem muszą podlegać regularnemu i kompleksowemu audytowi, który nie powinien się ograniczać do prostych testów penetracyjnych. Oczywiście stworzenie takiego systemu jest kosztowne, jednak ten koszt jest ułamkiem tego, który trzeba by ponieść w przypadku faktycznego naruszenia bezpieczeństwa.

Kolejnym etapem powinno być opracowanie procedur i standardów postępowania w razie zajścia incydentu takiego jak wyciek danych klientów przedsiębiorstwa. Należy w nich zawrzeć przede wszystkim wymogi dotyczące jasnego przekazywania informacji o incydencie, sposobu komunikacji z klientami, jak również kolejności działań zmierzających do minimalizacji naruszenia. Jasne zasady postępowania pozwolą nie tylko ograniczyć bezpośrednie straty finansowe, ale również zapobiec równie groźnej utracie reputacji przedsiębiorstwa.

Inwestycja w cyberbezpieczeństwo jako zabezpieczenie interesów spółki

Mniejsi przedsiębiorcy często wychodzą z założenia, że kwestie cyberbezpieczeństwa dotyczą tylko największych, globalnych podmiotów lub konkretnych gałęzi gospodarki. Przeczy temu angielska sprawa sieci supermarketów Morrisons. Niezadowolony pracownik IT firmy skopiował i upublicznił w internecie listy płac pracowników sieci. Inni pracownicy postanowili pozwać pracodawcę. Sąd uznał odpowiedzialność Morrisons Supermarket za naruszenie, ale działania podjęte przez sieć pozwoliły szybko usunąć udostępnione dane, odpowiednio zabezpieczyć interesy pracowników i dopilnować, żeby żaden podmiot nie poniósł bezpośredniej szkody finansowej. Przykład ten z jednej strony pokazuje, że podobnymi incydentami nie są zagrożone jedynie podmioty z sektora energetycznego czy bankowego, a z drugiej strony dowodzi, że odpowiednie procedury i szybkie działania zapobiegawcze mogą zminimalizować ryzyko strat finansowych.

Cyberbezpieczeństwo to ciągły proces, a nie jednorazowe dostosowanie systemów do obowiązujących wymagań prawnych. Wymaga ono szeregu powiązanych działań, obejmujących również weryfikację usług zlecanych na zewnątrz czy zakup ubezpieczeń od cyberincydentów. Tylko kompleksowa ochrona długofalowo ochroni interesy klientów, a przez to zabezpieczy przed roszczeniami odszkodowawczymi.

Adam Polanowski, Łukasz Lasek, adwokat, praktyka postępowań sądowych i arbitrażowych kancelarii Wardyński i Wspólnicy