Kibernetska varnost ni zgolj tehnični, ampak poslovni izziv. Zato ji mora pozornost posvečati tudi poslovodstvo. Kako naj v novi kibernetski realnosti ravnajo vodstva organizacij in kako lahko skrbno poslovodstvo zmanjša kibernetska tveganja?
Kibernetski napadi so postali del poslovne realnosti in niso več nekaj kar se dogaja »tam zunaj«. Večina napadov ne postane javno znana, v mnogih podjetjih pa so že utrpeli ustavljane proizvodnje, kompromitirane zaupne/občutljive podatke in odtujena ali izsiljena finančna sredstva (izsiljevalski virus) ter druge katastrofalne posledice kibernetskih napadov. Teh izzivov ne naslavljamo samo tehnično, ampak tudi z drugih vidikov.
Kako naj v novi kibernetski realnosti ravna poslovodstvo?
Vodenje podjetja predpostavlja višjo stopnjo skrbnosti, to je skrbnost vestnega in poštenega gospodarstvenika. Poslovodja bi naj poznal in razumel kibernetska tveganja in njihovo obvladovanje, kljub temu, da morda nima posebnih tehničnih znanj. Pohvalno je, da so informacijsko varnostna tveganja (npr. kibernetski napad) v mnogih podjetjih že ovrednotena kot najbolj kritična.
Je identifikacija / zavedanje dovolj?
Ustrezno skrbnost izkaže poslovodstvo, ki ne zgolj realno ovrednoti tveganja kibernetskega napada, ampak implementira in nadzoruje izvajanje ustreznih ukrepov. Pri načrtovanju je ključno, da se razmisli: Kako bomo merili uspešnost teh ukrepov? »Nam se napad ne bo zgodil« ni najboljše merilo, saj so tveganja in ranljivosti nepredvidljive. Bolj ustrezno je razmišljanje: ali smo ustrezno dvignili stopnjo informacijske varnosti. Vseh incidentov kljub vsej skrbnosti namreč ni mogoče preprečiti, ker absolutne varnosti ni. S skrbno načrtovanimi ukrepi, pa je možno informacijsko varnost dvigniti na nivo, ki bi moral preprečiti kritične incidente in najhujše posledice.
Namen ocen tveganj in implementacije varnostnih politik ter ukrepov ni kreiranje dokumentov, ampak praktičnost: povezati ključne akterje v podjetju (IT, vodstvo, DPO, HR, PR in ostale kritične deležnike) in jim zagotoviti ustrezna sredstva. Kibernetska varnost ne more biti zgolj naloga IT ekipe, ampak dolžnost vseh zaposlenih, saj so najšibkejši člen pogosto neosveščeni uporabniki. Zgolj s strani vodstva koordinirani ukrepi in usklajen odziv v primeru napada lahko uspešno preprečijo kritične incidente in omejijo negativne posledice.
“Analiza kibernetskih napadov pogosto pokaže neustrezno prepoznana tveganja, ne implementacijo ustreznih politik, slabo koordinacijo ključnih akterjev in premalo zagotovljenega ekspertnega znanja in sredstev. Če poslovodstvo lahko dokaže, da je dejansko storilo vse, kar bi storil skrben, vesten in pošten gospodarstvenik, ga lahko precej manj skrbijo pravne posledice.”
Jure Planinšek, vodja pravne pisarne, NIL (del skupine Conscia)
Kakšne so lahko pravne posledice nezadostne skrbnosti poslovodstva?
- (a) Vpliv na posel in pogodbena odškodninska odgovornost: Pogodbe s strankami ali dobavitelji običajno določajo pravne posledice zamud in širijo pogodbeno odškodninsko odgovornost. To pomeni, da podjetje zaradi kršitev pogodbe dolguje pogodbene kazni in/ali odškodninsko odgovarja partnerju. Poleg neposredne škode je pri kibernetskih napadih pogosta tudi posredna škoda, predvsem v obliki izgube zaupanja strank in ugleda. Posredna škoda je težje izmerljiva, v mnogo primerih je še večja od neposredne.
- (b) Globe: Zaradi čedalje bolj kompleksne zakonodaje, ki določa skrbnost pri varovanju zaupnih, osebnih in drugih vrst podatkov, so lahko podjetju zaradi kibernetskega napada izrečene zelo visoke globe. Znana letalska družba je na primer plačala globo v višini 22 mio EUR, ker ni ustrezno zaščitila osebnih podatkov strank.
- (c) Izguba licenc: V primeru reguliranih dejavnosti (bančništvo, zavarovalništvo, borzno posredništvo…) podjetjem grozi odvzem licenc za poslovanje in druge posledice, ki jih določa specialna zakonodaja.
- (d) Kazenski postopki: Ker imajo kibernetski napadi običajno znake kaznivih dejanj, je o njih potrebno obvestiti tudi organe pregona. V izjemnih primerih pa ni povsem izključena niti kazenska odgovornost poslovodstva, ki je ravnalo zelo malomarno.
- (e) Odškodninska odgovornost poslovodstva: Kibernetskega napada ne bodo spregledali nadzorniki in lastniki podjetja, ki se lahko odločijo za menjavo vodstva, v primeru nezadostne skrbnosti, pa obstaja pravna podlaga tudi za odškodninske zahtevke neposredno zoper poslovodstvo.
Kako se lahko brani poslovodstvo?
Vsem naštetim primerom je skupno, da bo doseganje ustreznega nivoja informacijske varnosti v času kibernetskega napada ključno pravno vprašanje glede profesionalnosti in posledično odgovornosti poslovodstva. Običajna obramba, da incidenta ni bilo mogoče preprečiti, zdrži zgolj delno. Odgovornosti se bo lahko razbremenil poslovodja, ki bo dokazal, da je ravnal z ustrezno skrbnostjo in poskrbel za implementacijo konkretnih ukrepov. Analiza kibernetskih napadov pogosto pokaže neustrezno prepoznana tveganja, ne implementacijo ustreznih politik, slabo koordinacijo ključnih akterjev in premalo zagotovljenega ekspertnega znanja in sredstev. Če poslovodstvo lahko dokaže, da je dejansko storilo vse, kar bi storil skrben, vesten in pošten gospodarstvenik, ga lahko precej manj skrbijo pravne posledice.
Najboljše prakse?
Ob skrbnem planiranju in postavljanju prioritet, je tudi zagotavljanje ustrezne kibernetske varnosti izvedljivo. Kljub temu, da si hekerji neprestano izmišljajo nove načine za napade na čedalje bolj kompleksne informacijske sisteme, lahko izkušeni strokovnjaki implementirajo rešitve, ki zmanjšajo verjetnost uspešnih napadov. Največ organizacij se zaradi pomanjkanja kvalificiranega kadra in stroškovne učinkovitosti takšne rešitve, odloči za sodelovanje z izkušenimi partnerji, ki imajo certifikate, reference in konkretne izkušnje z varnostnimi incidenti. Takšni partnerji bodo s svojimi izkušnjami znali pomagati tudi takrat, ko se incident zgodi in je potrebno omiliti negativne posledice in ravnati skladno s kompleksno zakonodajo. Dobri načrti za zagotavljanje kibernetske varnosti se tudi ne znašajo zgolj na IT oddelek, programske rešitve in/ali zavarovanja, ki po svoji naravi ne morejo kriti celotne škode (predvsem iz naslova odškodninske odgovornosti in izgube ugleda).
Članek je bil izvorno objavljen v publikaciji AmCham Letni knjigi – Power of Relationships 2022/2023.