Szereg dzia?a? legislacyjnych podejmowanych jest w celu zapewnienia ochrony prywatno?ci i bezpiecze?stwa danych. Wed?ug prognoz World Economic Forum cyberataki b?d? stanowi? jedno z najwi?kszych zagro?e? w 2020 roku. W ostatnich tygodniach obserwujemy pojawienie si? cyberataków wykorzystuj?cych fake newsy zwi?zane z koronawirusem SARS-CoV-2. Jak pokazuje raport firmy doradczej Deloitte „Tech Bytes Part 3: Cyber. Three things chief legal officers can do now to become more cyber-savvy”, transformacja cyfrowa jest jednym z najwa?niejszych i najtrudniejszych aspektów zarz?dzania ryzykiem zwi?zanym ze ?rodowiskiem cyfrowym. Mo?e by? ono jednak ograniczone dzi?ki stosowaniu odpowiednich wewn?trznych regulacji prawnych. Tymczasem 40 proc. dzia?ów prawnych nie ma pe?nej ?wiadomo?ci tego, jak cyberobowi?zki wynikaj?ce z przepisów oraz zwi?zane z tzw. compliance s? realizowane we wszystkich funkcjach oraz liniach biznesowych wewn?trz firmy.
Trwaj?ca pandemia koronawirusa SARS-CoV-2 bez w?tpienia znacz?co wp?ywa na funkcjonowanie firm w ?wiecie wirtualnym. Wiele z nich zdecydowa?o si? na wprowadzenie trybu pracy zdalnej, a spotkania zarz?dów odbywaj? si? w ramach wideokonferencji. Obecna sytuacja rodzi tym samym wyzwania, przed którymi staj? firmy, a s? nimi zagro?enia zwi?zane z cyberbezpiecze?stwem i ochron? danych, szczególnie tych krytycznych dla dzia?ania przedsi?biorstwa. Konieczne jest wi?c zaktualizowanie strategii cyberbezpiecze?stwa. Wed?ug badania przeprowadzonego przez ekspertów Deloitte, by upro?ci? ?rodowisko IT oraz zwi?kszy? jego wydajno??, liderzy firm priorytetowo traktuj? wiele inicjatyw w zakresie transformacji cyfrowej. Co jednak warte odnotowania, na kwestie zwi?zane z unowocze?nieniem firmowych systemów i procedur zarz?dy przeznaczaj? mniej ni? 10 proc. bud?etu. Na brak odpowiednich ?rodków finansowych zwraca uwag? 13 proc. badanych. W?ród najtrudniejszych aspektów zarz?dzania bezpiecze?stwem cyfrowym w organizacji 15 proc. ankietowanych dostrzega trudno?? w okre?leniu priorytetów dotycz?cych ryzyka cybernetycznego w ca?ej firmie, jednocze?nie 14 proc. podkre?la brak dostosowania sposobu zarz?dzania do okre?lonych priorytetów. Tyle samo ankietowanych uwa?a równie?, ?e brakuje wykwalifikowanych specjalistów ds. cyberbezpiecze?stwa. Bior?c pod uwag? fakt, ?e to w?a?nie kwestie organizacyjne mog?yby w du?ej mierze przyczyni? si? do zachowania najwy?szego poziomu bezpiecze?stwa cyfrowych zasobów przedsi?biorstwa, te statystyki budz? wiele pyta?.
– Departamenty prawne powinny stanowi? nieod??czn?, aktywn? cz??? procesu, maj?cego na celu zapewnienie cyberbezpiecze?stwa organizacji. Z perspektywy dyrektorów dzia?ów prawnych luki systemowe i organizacyjne powinny by? postrzegane jako powa?ny problem, poniewa? mog? szybko doprowadzi? do incydentów o potencjalnie negatywnych skutkach operacyjnych, finansowych, regulacyjnych lub reputacyjnych. Pami?tajmy, ?e transformacja cyfrowa ze wszystkimi korzy?ciami, jakie oferuje, zwi?ksza jednocze?nie ryzyko zwi?zane z cyberbezpiecze?stwem – mówi Agata Jankowska-Gali?ska, radca prawny, senior managing associate w Deloitte Legal.
Monitoring zmieniaj?cych si? regulacji
Wiele dzia?a? legislacyjnych na ca?ym ?wiecie podejmowanych jest w celu ochrony prywatno?ci i bezpiecze?stwa danych. Jest to tylko jeden z aspektów szybko zmieniaj?cego si? globalnego ?rodowiska prawnego i regulacyjnego, obejmuj?cego cyberprzestrze?. Jak przygotowane s? dzia?y prawne do zrozumienia tych zmian i sprawnego reagowania? Ankieta przeprowadzona przez Deloitte wskazuje, ?e 40 proc. dzia?ów prawnych nie ma pe?nej ?wiadomo?ci co do tego, jak obowi?zki, wynikaj?ce z przepisów oraz zwi?zane z compliance, realizowane s? w praktyce we wszystkich funkcjach oraz liniach biznesowych wewn?trz firmy. Prawnicy cz?sto nie wiedz? równie?, jak dok?adnie dzia?aj? inne funkcje oraz linie biznesowe wewn?trz tej samej organizacji. W rezultacie nie s? w stanie wskaza? wszystkich regulacji, które powinny znale?? zastosowanie.
– To powa?ny b??d. Organizacje powinny wykorzysta? kompetencje prawników. Otoczenie prawe, zarówno na poziomie krajowym, jak mi?dzynarodowym ulega ci?g?ym zmianom. Dlatego te? niezwykle wa?ne jest, aby po stronie organizacji istnia?a ?wiadomo?? tych zmian i dzia?a?, jakie powinny podj?? w celu zapewnienia zgodno?ci. Po stronie prawników powinna le?e? z kolei dobra znajomo?? organizacji – mówi Agata Jankowska-Gali?ska.
Równolegle do znacznego post?pu technologicznego powstaj? nowe obszary biznesowe, które nale?y obj?? ju? istniej?cymi lub nowymi regulacjami wewn?trznymi. To sprawia, ?e firmowe dzia?y prawne powinny szybko i aktywnie wchodzi? w proces zmian. Do tego niezb?dne jest pozyskanie przez nich wiedzy na temat ?rodowiska zagro?e? cybernetycznych, a tak?e zmiana podej?cia wewn?trz organizacji, polegaj?ca na wprowadzeniu na sta?e perspektywy prawnej do decyzji strategicznych, taktycznych i operacyjnych.
Wsparcie prawne w zakresie cyberbezpiecze?stwa
Dyrektorzy dzia?ów prawnych nie mog? przyjmowa? biernej postawy. W zwi?zku z konieczno?ci? budowania skutecznej strategii cyberbezpiecze?stwa dzia?y prawne powinny odznacza? si? aktywno?ci?, zaanga?owaniem i wiedz? na temat najnowszych mi?dzynarodowych regulacji w zakresie cyfryzacji danych. Stworzenie strategii bezpiecze?stwa cyfrowego z uwzgl?dnieniem w niej prawnego punktu widzenia sprawi, ?e firma b?dzie lepiej przygotowana do radzenia sobie z ryzykiem cybernetycznym.
- Wsparcie prawne jest istotnym elementem budowy strategii bezpiecze?stwa i odporno?ci organizacji. Najcz??ciej jednak funkcjonuje w trybie reaktywnym, np. w odpowiedzi na wprowadzan? zmian? legislacyjn? i niestety w trybie kaskadowym, tzw. waterfall, a wiec wolno i nieelastycznie, przy wysokim koszcie wprowadzania kolejnych zmian – zauwa?a Marcin Ludwiszewski, dyrektor dzia?u Cyberbezpiecze?stwa w Deloitte.
Aktywno?? prawnicza mobilizuje organizacj?. Z drugiej strony – je?eli nie jest stosowana w szerszym kontek?cie – koncentruje si? jedynie na osi?gni?ciu niezb?dnego minimum zgodno?ci prawnej, a nie faktycznym zwi?kszeniu odporno?ci na cyberataki. Dzia?y prawne musz? dostosowa? si? do nowej dynamiki biznesowej i otoczenia, aby proaktywnie i elastycznie wspiera? organizacj?.
Zaanga?owanie prawników ma równie? znaczenie przy opracowaniu wyj?ciowych standardów bezpiecze?stwa. Powinny mie? tak? form?, by biznes móg? z nich samodzielnie korzysta? i anga?owa? dzia?y prawne tylko w razie wyj?tków od przyj?tych standardów. Pe?ne zaanga?owanie prawne powinno te? towarzyszy? adopcji nowych rozwi?za? technologicznych, otoczenia prawnego i cyklu zmiany organizacji – uwzgl?dniaj?c przy tym mo?liwo?? podejmowania szybkich decyzji i ryzyka w danym zakresie. Oczywi?cie istnieje szereg innych dzia?a?, dla których ekspertyza prawna jest niezb?dna, jak chocia?by reagowanie na incydenty zwi?zane z danymi osobowymi, procedury odtwarzania sprawno?ci dzia?ania czy procesy zarz?dzania kryzysowego. Trzeba przy tym pami?ta?, ?e jak kiedy? dba?o?? o bezpiecze?stwo, tak dzi? zaanga?owanie prawne mo?e spowalnia? podejmowanie inicjatyw.
Reagowanie na incydenty i naprawianie szkód
Wed?ug ekspertów Deloitte organizacje powinny mie? przygotowane procedury reagowania na incydenty cybernetyczne oraz naprawiania szkód. S? one przydatne szczególnie teraz w sytuacji wzmo?onego zagro?enia cyberatakami z powodu trwaj?cej pandemii koronawirusa SARS-CoV-2 i wynikaj?cych z niej ogranicze?. Wobec wzrostu u?ytkowania platform chmurowych oraz przeniesienia ?ycia biznesowego do ?wiata wirtualnego, warto zadba? o strategi? odtwarzania awaryjnego, czyli procesy, polityki i procedury zwi?zane ze wznowieniem lub utrzymywaniem krytycznej dla organizacji infrastruktury teleinformatycznej po wyst?pieniu katastrofy naturalnej lub wywo?anej przez cz?owieka. W ramach okre?lenia istniej?cych planów odzyskiwania danych w przypadku awarii i innych incydentów cybernetycznych ekspertyza prawników jest niezb?dna do okre?lenia tego, czy wypracowane metody spe?niaj? wszelkie obowi?zuj?ce normy i przepisy bran?owe. Warto w??czy? dzia? prawny do procesu monitorowania programów cyberbezpiecze?stwa. Aby umo?liwi? bardziej efektywne zaanga?owanie strategiczne, taktyczne i operacyjne, nale?y rozwa?y? przeprowadzenie g??bszych szkole? z zakresu zagadnie? cybernetycznych dla swojego dzia?u prawnego lub jego podzespo?u.
