Kto powinien ponieść konsekwencje wycieku danych, spowodowanych cyberatakiem? Te pytanie, każde przedsiębiorstwo rozpatrywało dotąd indywidualnie, jednak nowe dyrektywy międzynarodowe, dokładnie określiły kto musi zadbać o wprowadzenie praktyk bezpieczeństwa, a następnie dbać o ich egzekwowanie. Nowy trend związany z dodatkową odpowiedzialnością finansową zarządu, zapoczątkowany w Stanach Zjednoczonych, ma szansę rozprzestrzenić się na kolejne kraje.
Średnio 1000 zgłoszeń, dotyczących zagrożeń cyberbezpieczeństwa otrzymuje codziennie Zespół Reagowania na Incydenty Bezpieczeństwa Komputerowego CSIRT GOV prowadzony przez Szefa Agencji Bezpieczeństwa Wewnętrznego. Pokazuje to skalę działalności cyberprzestępców.
Celami ataków są głównie pracownicy, w tym managerowie wysokiego szczebla, którzy mają dostęp do poufnych informacji na temat przedsiębiorstwa. Według raportu „2024 Data Breach Investigations Report”, około 68% naruszeń bezpieczeństwa zawierało element ludzki, taki jak błąd użytkownika lub skuteczne ataki socjotechniczne, co pokazuje, że czynnik ludzki nadal jest kluczowym słabym ogniwem w zabezpieczeniach organizacji.
Do tej pory trudno było ocenić, kto powinien ponieść konsekwencje cyberataku. Innowacyjny pomysł zgłosił Brad Smith, wiceprezes Microsoftu, podczas przesłuchania komisji w Izbie Reprezentantów w sprawie kwestii bezpieczeństwa firmy. Koncern stanie się jednym z pierwszych przedsiębiorstw, gdzie cyberbezpieczeństwo będzie bezpośrednio wpływało na premie dla kadry kierowniczej.
Rozszerzenie zasobów połączyliśmy z ważnymi zmianami w zarządzaniu bezpieczeństwem w firmie. Oprócz kluczowej, długoletniej roli Chief Information Security Officer (CISO), stworzyliśmy Office of the CISO z senior-level Deputy CISOs, aby rozszerzyć nadzór nad różnymi zespołami inżynieryjnymi, oceniać i zapewniać, że bezpieczeństwo jest „wbudowane” w procesy podejmowania decyzji inżynieryjnych.
Ostatecznie zmiana kultury wymaga odpowiedzialności. Jest to coś, co rozumieją wszyscy nasi senior liderzy, zaczynając od Satyi jako CEO firmy. Zamiast delegować ogólną odpowiedzialność za bezpieczeństwo na kogoś innego, przejął on tę odpowiedzialność osobiście, pełniąc rolę głównego dyrektora z pełną odpowiedzialnością za bezpieczeństwo Microsoftu.
Dlatego też ogłosiliśmy 3 maja, że część wynagrodzenia zespołu Senior Leadership Team będzie uzależniona od postępów w realizacji naszych planów i celów bezpieczeństwa. Od tego czasu pracowaliśmy nad dopracowaniem tych kroków dotyczących wynagrodzenia i innych środków odpowiedzialności na następny rok fiskalny, który zaczyna się 1 lipca[1]. – mówił Brad Smith przez Komisją Izby Reprezentantów ds. Bezpieczeństwa Wewnętrznego Stanów Zjednoczonych
Działania zapoczątkowane przez Microsoft, mają zdaniem analityków szansę stać się trendem globalnym. Jak sytuacja wygląda w Unii Europejskiej, która zwykle wprowadza zmiany wolniej niż Stany Zjednoczone?
Unijne przepisy dotyczące cyberbezpieczeństwa wprowadzone w 2016 r. zostały zaktualizowane dyrektywą NIS2, która weszła w życie w 2023 r. Zmodernizowano w niej istniejące ramy prawne, aby nadążyć za rosnącą cyfryzacją i zmieniającym się krajobrazem zagrożeń dla cyberbezpieczeństwa. Państwa UE mają obowiązek wdrożyć do 17 października tego roku, nowe wytyczne do krajowego porządku prawnego np. przy pomocy ustawy.
Według szacunków PwC, nowa dyrektywa obejmie ponad 6000 podmiotów działających w 18 sektorach gospodarki, w Polsce.[2]
W rozdziale IV dyrektywy, artykuł 20, możemy przeczytać:
1. Państwa członkowskie zapewniają, aby organy zarządzające podmiotów kluczowych i ważnych zatwierdzały środki zarządzania ryzykiem w cyberbezpieczeństwie przyjęte przez te podmioty w celu zapewnienia zgodności z art. 21, nadzorowały ich wdrażanie i mogły być pociągnięte do odpowiedzialności za naruszanie przez te podmioty tego artykułu.
Stosowanie niniejszego ustępu nie narusza przepisów krajowych dotyczących zasad odpowiedzialności instytucji publicznych oraz odpowiedzialności urzędników publicznych oraz urzędników wybranych lub mianowanych.
2. Państwa członkowskie zapewniają, aby członkowie organu zarządzającego podmiotów kluczowych i ważnych mieli obowiązek odbywać regularne szkolenia w celu zdobycia wystarczającej wiedzy i umiejętności pozwalających im rozpoznać ryzyko i ocenić praktyki zarządzania ryzykiem w cyberbezpieczeństwie oraz ich wpływ na usługi świadczone przez dany podmiot, a także zachęcają podmioty kluczowe i ważne do oferowania podobnych szkoleń ich pracownikom.[3]
Jak widać Komisja Europejska wprowadziła zapis, w którym to kierownictwo wyższego szczebla, w tym członkowie zarządu, ponoszą odpowiedzialność za zapewnienie zgodności organizacji z wymaganiami dotyczącymi zarządzania ryzykiem cybernetycznym oraz zgłaszania incydentów. Dyrektywa nakłada obowiązek, aby osoby na stanowiskach kierowniczych zapewniały odpowiednie środki zabezpieczające i były odpowiedzialne za ich skuteczność.
Dyrektywa NIS2 objęła szeroki zakres podmiotów, zarówno publicznych, jak i prywatnych, które świadczą usługi krytyczne dla funkcjonowania społeczeństwa i gospodarki.
Podmioty objęte dyrektywą:
Podmioty podstawowe (essential entities):
- Sektory energetyczne (elektryczność, gaz, olej)
- Sektory transportowe (lotnictwo, kolej, wodny, drogowy)
- Sektory bankowe i infrastruktury rynków finansowych
- Sektory zdrowotne (szpitale, dostawcy opieki zdrowotnej)
- Woda pitna i gospodarka ściekowa
- Infrastruktura cyfrowa (dostawcy usług DNS, rejestry domen, dostawcy chmur obliczeniowych)
- Administracja publiczna (podmioty centralne i regionalne)
Podmioty ważne (important entities):
- Poczta i usługi kurierskie
- Gospodarka odpadami
- Produkcja, produkcja i dystrybucja chemikaliów
- Produkcja żywności (podmioty zajmujące się produkcją i przetwórstwem przemysłowym)
- Podmioty produkcyjne (produkcja urządzeń medycznych, komputerowych, elektronicznych, pojazdów)
- Dostawcy usług cyfrowych (platformy mediów społecznościowych, dostawcy usług wyszukiwarek internetowych)
- Organizacje badawcze
Podmioty kluczowe i ważne muszą wdrożyć odpowiednie polityki bezpieczeństwa, aby zapewnić systematyczną i dogłębną analizę ryzyka. Polityki te powinny obejmować podejście uwzględniające wszelkie możliwe zagrożenia, w tym te związane z bezpieczeństwem fizycznym (all-hazard approach). Odpowiedzialność za wdrożenie tych polityk spoczywa bezpośrednio na zarządach.
Chcesz porozmawiać o cyberbezpieczeństwie Twojej firmy? Napisz do nas
[1] https://blogs.microsoft.com/on-the-issues/2024/06/13/microsofts-work-to-strengthen-cybersecurity-protection/
[2] https://www.pwc.pl/pl/uslugi/nis2-nowe-wymogi-dotyczace-cyberbezpieczenstwa.html
[3] https://eur-lex.europa.eu/eli/dir/2022/2555/oj
