W dzisiejszej erze cyfrowej odpowiedzialno?? firm wykracza poza zwyk?e zapobieganie zagro?eniom cybernetycznym. Wi??e si? to równie? z wiedz?, jak skutecznie reagowa? w przypadku naruszenia bezpiecze?stwa, które jest bardziej nieuniknione ni? mo?liwe. Przy stale zmieniaj?cym si? krajobrazie zagro?e? cybernetycznych firmy ka?dej wielko?ci i we wszystkich bran?ach musz? by? przygotowane na potencjalne zak?ócenia bezpiecze?stwa. Przygotowanie to cz?sto przybiera form? solidnej strategii reagowania na incydenty (IR), która jest krytycznym elementem ram bezpiecze?stwa cybernetycznego ka?dej firmy.
Dlaczego zg?aszanie narusze? jest wa?ne
Znaczenie skutecznej komunikacji i terminowego powiadamiania o naruszeniach jest nie do przecenienia. S? one niezb?dne do wdro?enia ?rodków zaradczych i odzyskiwania zasobów w razie skutecznego ataku, a jednocze?nie s? niezb?dne ze wzgl?dów zgodno?ci z przepisami.
Jak ujawnienie naruszenia pomaga w dzia?aniach naprawczych
Natychmiastowe zg?aszanie narusze? umo?liwia poinformowanie o zdarzeniu wszystkich zainteresowanych stron: wewn?trznych i zewn?trznych. Na przyk?ad je?li Twoje dane zostan? naruszone wskutek ataku hakerskiego u Twojego kontrahenta, to musisz zosta? natychmiast o tym powiadomiony, aby przygotowa? i chroni? swoj? firm?. Podobnie je?li naruszenie w Twoim systemie mo?e mie? wp?yw na Twojego klienta, on równie? powinien zosta? powiadomiony tak szybko, jak to mo?liwe.
Dzi?ki skuteczniejszym i szybszym ?rodkom zaradczym mo?esz ograniczy? skutki naruszenia ochrony danych oraz potencjalne szkody dla reputacji i relacji biznesowych Twojej firmy. Sprawna komunikacja pomaga równie? utrzyma? zaufanie klientów — natychmiast informuj?c klientów, w jaki sposób sytuacja ich dotyczy i jakie ?rodki podejmujesz, aby zapobiec dalszym szkodom, mo?esz zbudowa? jeszcze wi?ksze zaufanie klientów i z?agodzi? potencjalne szkody dla reputacji swojej firmy.
Standardy regulacyjne i zgodno?ci wymagaj?ce odpowiedzialnego ujawniania narusze?
Na froncie regulacyjnym wiele ostatnich przepisów dotycz?cych ochrony danych zawiera okre?lone wymagania dotycz?ce powiadamiania o naruszeniu. Na ca?ym ?wiecie mo?emy spotka? si? z wieloma ró?nymi standardami ochrony danych, jednak w tym artykule skupimy si? tylko na tych, które wyst?puj? w Europie.
RODO
RODO wymaga od firm zg?aszania narusze? w ci?gu 72 godzin, „je?li jest to wykonalne”, z wyj?tkiem sytuacji, gdy naruszenie „nie powoduje zagro?enia dla praw i wolno?ci osób fizycznych”. Je?eli organizacja opó?nia si? ze zg?oszeniem naruszenia, nale?y poda? przyczyny opó?nienia. RODO przewiduje wysokie kary za nieprzestrzeganie przepisów. W zale?no?ci od narusze? grzywny mog? si?ga?:
- 10 milionów euro lub 2% rocznego obrotu, w zale?no?ci od tego, która warto?? jest wy?sza
- 20 milionów euro (22 miliony dolarów) lub 4% rocznego obrotu, w zale?no?ci od tego, która warto?? jest wy?sza.
Wysoko?? kary zale?y od dochodzenia organu regulacyjnego, stopnia zaniedbania i wagi naruszenia.
Europejska dyrektywa NIS-2 („Bezpiecze?stwo sieci i informacji, wersja 2”)
Rozporz?dzenie UE, NIS-2, wesz?o w ?ycie 6 stycznia 2023 r. i wprowadzi?o rygorystyczne ?rodki nadzorcze oraz usprawni?o obowi?zki sprawozdawcze. Firmy, których to dotyczy, musz? teraz przekaza? wst?pne powiadomienie w ci?gu 24 godzin od uzyskania informacji o incydencie organowi zg?aszaj?cemu, a w ci?gu 72 godzin firma musi przedstawi? wst?pn? ocen? naruszenia. Oczekuje si?, ?e w ci?gu miesi?ca od ataku firmy przedstawi? raport ko?cowy szczegó?owo opisuj?cy zakres ataku, a tak?e wszelkie podj?te dzia?ania ?agodz?ce.
Grzywny NIS-2 mog? si?ga? nawet 10 milionów euro lub 2% rocznych przychodów firmy, w zale?no?ci od tego, która z tych kwot jest wy?sza.
Co organizacje mog? zrobi?, aby poprawi? zg?aszanie narusze?
W dobie zwi?kszonego ryzyka cybernetycznego organizacje musz? aktywnie zwi?ksza? mo?liwo?ci zg?aszania narusze?. Oto kilka najlepszych praktyk:
Opracuj jasn? polityk? i proces
Firmy musz? opracowa? kompleksow? polityk? zg?aszania narusze? i zapewni? jej egzekwowanie we wszystkich dzia?ach. Obejmuje to zdefiniowanie procesów, których nale?y przestrzega?, w zale?no?ci od rodzaju i wagi naruszenia, a tak?e proces ujawniania.
Wyznacz kluczowych interesariuszy i ich obowi?zki
Kluczowi interesariusze to ci, na których mo?na polega? w przypadku incydentu zwi?zanego z bezpiecze?stwem, powinni pochodzi? z ró?nych dzia?ów i musz? by? brani pod uwag? w zale?no?ci od tego, jak wygl?daj? ?rodki zaradcze i reakcja. Mog? to by? np. pracownicy dzia?ów: IT, PR i prawnicy.
Wspó?pracuj z osobami trzecimi
„Wspó?praca z zewn?trznymi dostawcami mo?e znacznie zwi?kszy? mo?liwo?ci organizacji w zakresie reagowania na naruszenia. Warto wzi?? pod uwag? specjalistów ds. reagowania na incydenty i ?rodków zaradczych, a tak?e dostawców us?ug antywirusowych, którzy przyczyni? si? do poprawy ogólnych mo?liwo?ci monitorowania i wykrywania. Te osoby trzecie mog? równie? pomóc w utrzymaniu ?cie?ki audytu, co mo?e by? nieocenione w przypadku dochodze?. Wykazuj?c, ?e podj?to proaktywne dzia?ania w celu zapobiegania naruszeniom, zarz?dzania nimi i ich naprawiania, mo?esz potencjalnie z?agodzi? skutki prawne” – mówi Mariusz Politowicz z firmy Marken Systemy Antywirusowe, polskiego dystrybutora oprogramowania Bitdefender.
Przygotuj si? na now? normalno??
Naruszenia danych w firmach i placówkach publicznych staj? si? zjawiskiem powszechnym. Zgodnie z raportem Bitdefender ponad 50% respondentów z ca?ego ?wiata stwierdzi?o, ?e w ci?gu 12 miesi?cy dosz?o do naruszenia lub wycieku ich danych (w przypadku respondentów z USA by?o to 70%).
Aktualnie przedsi?biorstwa znajduj? si? pod ogromn? presj?, by zwi?ksza? odporno?? swoich zabezpiecze? przy coraz mniejszych zasobach. W??czenie skutecznego zg?aszania narusze? do ram cyberbezpiecze?stwa to nie tylko najlepsza praktyka, ale konieczno??. Akceptuj?c t? rzeczywisto??, firmy b?d? zmuszone do ustalania priorytetów i inwestowania w zwi?kszanie mo?liwo?ci zg?aszania narusze?, co ostatecznie pomo?e im skuteczniej porusza? si? po z?o?onym krajobrazie zagro?e? cybernetycznych.
