Zainstaluj aplikację Palestra na swoim urządzeniu

en

Palestra 1-2/2017

Ochrona własności intelektualnej przedsiębiorstw przed cyberatakami na przykładzie rozwiązań przyjętych w Stanach Zjednoczonych

Kategoria

Artykuły

Pojęcia kluczowe

system komputerowyzagrożenie cybernetycznecyber atakcyberprzestępstwo

Udostępnij

1. ZARYS PROBLEMATYKI

 

Po pojawieniu się wynalazku komputera w połowie XX w. i Internetu, a następnie sieci WWW rozwinęło się zagrożenie cyberprzestępczością. Zagrożenie to stale wzrasta, ale w ostatnich kilku latach w znacznie szybszym niż wcześniej tempie. Narażeni na cyberatak są wszyscy użytkownicy Internetu bez wyjątku, czyli zarówno osoby prywatne, jak i przedsiębiorstwa, instytucje państwowe oraz instytucje międzynarodowe. Na podstawie wyników przeprowadzonych badań1 http://www.pwc.pl/pl/publikacje/2015/w-obronie-cyfrowych-granic-gsiss-2016.html [27.08.2016]. wnioskować można, że najczęściej celem cyberataków stają się właśnie prywatne przedsiębiorstwa, np. kancelarie prawne, i w związku z tym to one narażone są na ogromne straty w razie zakończonego sukcesem cyberataku i powodują straty zarówno finansowe, jak i utratę reputacji, i szczególnie utrata zaufania klientów jest bolesna ze względu na chociażby obowiązującą adwokatów tajemnicę adwokacką. Problematyka ta powinna interesować wielkie korporacje prawnicze oraz te mniejsze kancelarie, ale także kancelarie jednoosobowe, gdyż w każdej z wymienionych zagrożenie jest tak samo wysokie.

Czym jest cyberatak (inaczej atak sieciowy)? Cyberatak stanowi w znacznym uproszczeniu celowe zakłócenie prawidłowego funkcjonowania cyberprzestrzeniPolityka Ochrony Cyberbezpieczeństwa Rzeczypospolitej Polskiej, Ministerstwo Administracji i Cyfryzacji, Warszawa 2013, s. 6. czy też działanie zmierzające do naruszenia infrastruktury systemowej wybranego urządzenia przy użyciu połączenia internetowego. Zgodnie z klasyfikacją zaproponowaną przez Stephena T. KentaS. T. Kent, Protocol Design Considerations for Network Security, (w:) NATO Advanced Study Institutes Series, Volume 42, s. 239–259. wyróżnia się dwa typy cyberataków:

  • pasywne, które polegają na przechwyceniu, podsłuchiwaniu lub monitorowaniu przesyłanych danych;
  • aktywne, w przeciwieństwie do pasywnych mają na celu modyfikację lub fałszowanie danych, oddziaływanie na wybrany cel, powodując przerwanie transmisji, modyfikacje strumienia danych lub podszywanie się pod kogoś innego.

Inną klasyfikacją jest podział ustanowiony ze względu na źródło ataku i tutaj wyróżnia się cyberataki:

  • lokalne, czyli atakujący ma już dostęp do systemu (konta lub profilu) i próbuje zwiększyć swoje uprawnienia;
  • zdalne, czyli atakujący nie posiada jeszcze żadnych uprawnień w systemie, który będzie celem jego ataku.

Aby móc ochronić system i w efekcie całe przedsiębiorstwo przed atakiem sieciowym, należy przede wszystkim być świadomym zagrożeń, mocnych i słabych obszarów własnego systemu komputerowego oraz posiadać umiejętność rozpoznawania zagrożeń i odpowiedniego na nie reagowania. Podstawę stanowi zatem świadomość zasad ochrony cyberbezpieczeństwa, w tym podstawowych zasad cyberhigieny oraz rozszerzonej jej formy. Jednakże w związku z szybkimi zmianami i pojawianiem się nowości, często z dnia na dzień, niekiedy wystarczy zachowanie zdrowego rozsądku, gdyż nawet specjaliści nie są w stanie posiadać tak obszernej wiedzy zawsze w pełni aktualnej.

PODCZAS CYBERATAKU MOŻE DOJŚĆ PRZYKŁADOWO DO NASTĘPUJĄCYCH DZIAŁAŃ SPRAWCYhttp://smurf.mimuw.edu.pl/node/1571 [27.08.2016].:

PODSZYWANIE SIĘ

atakujący (osoba, program) udaje inny podmiot, w domyśle zaufany dla atakowanego systemu, np. fałszywy serwer WWW podszywa się pod znaną witrynę internetową

USTANOWIENIE PODSŁUCHU

pozyskiwanie danych składowanych, przetwarzanych lub transmitowanych w systemie – typowy przykład to przechwycenie niezabezpieczonego hasła klienta przesyłanego do serwera

ODTWARZANIE

użycie ponowne przechwyconych wcześniej danych, np. hasła

MANIPULACJA

modyfikacja danych w celu rekonfigurowania systemu lub wprowadzania go do stanu, z którego atakujący może osiągnąć bezpośrednio lub pośrednio korzyść (np. zastosować skuteczny atak przygotowanym wcześniej narzędziem)

WYKORZYSTANIE LUK W SYSTEMIE

posłużenie się wiedzą o rozpoznanej luce, błędzie w systemie lub gotowym narzędziem do wyeksploatowania takiej luki – bardzo często występuje w przypadku ataków zdalnych

 

Na cyberatak narażone są przede wszystkim informacje stanowiące tajemnicę przedsiębiorstwa, przez którą rozumie się zgodnie z polskimi regulacjami „nieujawnione do wiadomości publicznej informacje techniczne, technologiczne, organizacyjne przedsiębiorstwa lub inne informacje posiadające wartość gospodarczą, co do których przedsiębiorca podjął niezbędne działania w celu zachowania ich poufności"Ustawa z dnia 16 kwietnia 1993 r. o zwalczaniu nieuczciwej konkurencji (Dz.U. z 2003 r. nr 153, poz. 1503 ze zm.)

Natomiast wśród danych, które można uznać za dane dotyczące praw własności intelektualnej przedsiębiorstwa, wymienić należy dane o prawach autorskich, prawach pokrewnych, bazach danych, wynalazkach, wzorach użytkowych, wzorach przemysłowych, znakach towarowych, oznaczeniach geograficznych, topografiach układów scalonych, odmianach roślin czy też know-how (show-how).

2. CYBERLAW W STANACH ZJEDNOCZONYCH

 

Pierwsze rozwiązania prawne będące odpowiedzią na problem zagrożeń cyberatakami przedstawiono najwcześniej w Stanach Zjednoczonych i dlatego też to amerykańskie założenia prawne stanowią często wzór dla przyjmowanych regulacji w innych krajach. To właśnie amerykańskie władze uznały, że w niedługiej przyszłości zagrożenie cyberatakami może przewyższyć zagrożenie terroryzmem, włączono zatem zagrożenie cyberbezpieczeństwa w przedmiot badań w dziedzinie bezpieczeństwa wewnętrznego. Ponadto system cyberbezpieczeństwa wszedł w skład infrastruktury krytycznej szeregu państw na całym świecie.

Instytucje państwowe w Stanach Zjednoczonych posługują się w zakresie ochrony cyberbezpieczeństwa kilkoma aktami prawnymi, tj.:

  • the Federal Computer Fraud and Abuse Act of 1984 (CFAA)https://www.justice.gov/sites/default/files/criminal-ccips/legacy/2015/01/14/ccmanual.pdf [27.08.2016].,
  • the Economic Espionage Act of 1996 (EEA)https://www.gpo.gov/fdsys/pkg/PLAW-104publ294/pdf/PLAW-104publ294.pdf [27.08.2016].,
  • the Digital Millennium Copyright Act of 1998 (DMCA)https://www.congress.gov/bill/105th-congress/house-bill/2281/text/enr [27.08.2016].,
  • the Federal Wiretap Act of 1968 (FWA)https://www.law.cornell.edu/uscode/text/18/part-I/chapter-119 [27.08.2016].,
  • the Electronic Communications Privacy Act of 1986 (ECPA)https://it.ojp.gov/privacyliberty/authorities/statutes/1285 [27.08.2016].,
  • the Stored Communications Act of 1986https://www.law.cornell.edu/uscode/text/18/part-I/chapter-121 [27.08.2016]. oraz inne federalne i stanowe ustawy.

Pierwsza ze wspomnianych ustaw, the Federal Computer Fraud and Abuse Act, wskazuje, że każde celowe i nieuprawnione uzyskanie dostępu do chronionego komputera bez wymaganego pozwolenia albo rozszerzenie takiego dostępu i następnie uzyskanie informacji z takiego komputera grozi surową odpowiedzialnością właśnie na podstawie tej ustawy. Ustawa przyznaje szczególną ochronę komputerom należącym do władz federalnych.

Druga z wymienionych ustaw, the Economic Espionage Act, używana jest do ścigania przestępstw kradzieży i nieautoryzowanego powielania oraz przechwycenia informacji stanowiących tajemnicę przedsiębiorstw. Stosowana jest zwykle w stosunku do przestępstw szpiegostwa przemysłowego, które staje się coraz bardziej popularne.

Trzecia z nich, the Digital Millenium Act, odnosi się kompleksowo do ochrony praw autorskich i implementuje do amerykańskiego systemu prawa międzynarodowe traktaty odnoszące się do ochrony praw autorskich. To ta ustawa wprowadza jako pierwsza na świecie procedurę „Notice and Takedown”, która dotyczy ochrony pozycji prawnej hostingodawcy. Przewiduje ona ograniczenie odpowiedzialności udostępniającego miejsce na serwerze (hostingodawcy) za treści naruszające prawo, o ile nie jest świadomy bezprawności tych treści oraz postępuje zgodnie przyjętymi regułami postępowania. Równocześnie należy zastosować w takim przypadku odpowiednią przewidzianą w ustawie procedurę postępowania.

Dwie kolejne ustawy, the Federal Wiretap Act oraz the Electronic Communications Privacy Act, odnoszą się szeroko do zakazu nieuprawnionego przechwytywania informacji za pośrednictwem podsłuchu, zarówno przy bezpośredniej komunikacji, jak i tej elektronicznej. Zakaz dotyczy zarówno instytucji państwowych, jak i osób prywatnych. Ponadto ustawy wskazują odpowiednie procedury dla uzyskania nakazu sądowego, który umożliwi legalne ustanowienie podsłuchu, oraz regulacje związane z warunkami ich ujawnienia i dalszego przetwarzania danych uzyskanych w wyniku ustanowionego podsłuchu. Ustawa odnosi się głównie do działalności firm detektywistycznych oraz organów ścigania.

Ostatnia z wymienionych wyżej ustaw, the Stored Communications Act, dotyczy zasad dobrowolnego i świadomego ujawniania gromadzonych danych związanych z komunikacją elektroniczną, telefoniczną i radiową oraz zasady postępowania ze zgromadzonymi przez hostingodawcę danymi (z ang. Internet Service Provider, ISP), rejestrami.

W związku z powszechną akceptacją faktu, że tylko wspólne i kompleksowe działania w obszarze cyberbezpieczeństwa mogą przynieść oczekiwane rezultaty, coraz więcej państw i organizacji przygotowuje zalecenia dla podległych sobie instytucji oraz takie zalecenia, które skierowane są do wszystkich obywateli danego państwa w celu jak najpełniejszej ochrony bezpieczeństwa w cyberprzestrzeni. Te same organizacje mają za zadanie dbać o cyberbezpieczeństwo, aktywnie włączając się we wdrażanie rekomendowanych działań poprzez przykładowo ustanawianie odpowiednich zapór w celu ochrony poufności danych. Zagrożenie potencjalnie może wiązać się z każdą pojedynczą przesyłaną wiadomością elektroniczną (e-mail). W większości specjalistycznych opracowań wskazuje się, że wiadomość e-mail stanowi jedną z najczęstszych „bram do systemu” dla sprawców cyberatakówhttp://www.newsweek.pl/nauka/wiadomosci-naukowe/kazdy-internauta-moze-stac-sie-celem-cyberataku,101144,1,1.html [27.08.2016].. Ponadto ostrożnym należy być również przy posługiwaniu się pamięcią przenośną USB. Ku przestrodze często wskazuje się, że właśnie przez zainfekowaną pamięć USB amerykańsko-izraelskie służby uzyskały dostęp do systemu irańskiej elektrowni atomowej, przeprowadzając głośny atak „Stuxnet”.

Amerykańskie państwowe instytucje finansowe, np. the Federal Trade Commission, rozważały w przeszłości wprowadzenie regulacji, które pozwalałyby na pociągnięcie do odpowiedzialności przedsiębiorców, którzy zaniechali wprowadzenia odpowiedniego systemu ochrony cyberbezpieczeństwa w przedsiębiorstwie. Ten pomysł wynika z faktu, że chociażby w 2015 roku w Stanach Zjednoczonych w wyniku cyberataku skradziono około 15 miliardów dolarów i oszukano 13,1 milionów amerykańskich konsumentów w porównaniu do 16 miliardów dolarów i 12,7 milionów ofiar cyberataków w roku poprzednimhttp://money.cnn.com/2015/10/08/technology/cybercrime-cost-business/ [27.08.2016].. Rząd amerykański zdaje sobie sprawę z powagi problemu i tego, jak wielu Amerykanów staje się ofiarami cyberprzestępców.

3. PRZEWODNIK PO ZALECENIACH DLA OCHRONY CYBERBEZPIECZEŃSTWA ZE SZCZEGÓLNYM UWZGLĘDNIENIEM ZALECEŃ AMERYKAŃSKICH

W ujęciu ogólnym w obrębie działań mających na celu zachowanie cyberbezpieczeństwa wyróżnia się ocenę zagrożeń i wprowadzenie odpowiedniej polityki, ochronę zasobów, monitorowanie i wykrywanie incydentów oraz reakcje i odzyskiwanie danychP. Zaskórski, K. Szwarc, Bezpieczeństwo zasobów informacyjnych determinantą informatycznych technologii zarządzania, „Zeszyty Naukowe Warszawskiej Wyższej Szkoły Informatyki” 2013, Rok 7, nr 9, s. 37–52.. Aby efektywnie chronić dane w cyberprzestrzeni, należy pamiętać o podstawowej cyberhigienie oraz jej rozszerzonej wersji.

A. Podstawy cyberhigieny

Rozpoczynając od podstawowych zasad – niekiedy już samo posiadanie silnego hasła (składającego się z liter Aaaa, cyfr 111222, ale również znaków szczególnych i symboli !#$%), które zmieniane jest systematycznie, i przechowywanie go w bezpiecznym miejscu, może przynieść skuteczną ochronę. Nadto można zastanowić się nad dodatkową formą ochrony w postaci weryfikacji dostępu za pomocą odcisków palców, szyfrowania oraz przyjęcia stosownych zasad polityki zniechęcającej pracowników do nielojalności wobec pracodawcy (przykładowo ze względu na wysokie kary pieniężne). Dobrym pomysłem może się okazać szyfrowanie dostępu do danych i udostępnianie kodu tylko tym pracownikom, dla których jest to niezbędne. Dane, jakie powinny być szczególnie chronione w kancelariach prawnych, to m.in. dane przetwarzane w związku z zatrudnieniem, dane dostawców usług oraz osób świadczących usługi, dane obecnych, byłych i potencjalnych klientów. Należy również pamiętać o unikaniu gromadzenia zbyt dużej ilości danych oraz zaleceniu niszczenia lub wymazywania danych z wcześniej użytego sprzętu, w szczególności dotyczy to danych związanych z własnością intelektualną. Właściwą ochroną należy objąć wszelkie urządzenia służbowe, tj. komputery, sprzęt biurowy, urządzenia mobilne.

B. Rozszerzona cyberhigiena

W dalszej kolejności, zaraz po zachowaniu podstawowej cyberhigieny opisanej powyżej, przedsiębiorstwa powinny zidentyfikować miejsca w systemie, gdzie przechowują dane, które potencjalnie narażone są na cyberataki, w tym informacje dotyczące praw własności intelektualnych czy dane związane z tym, co stanowi o innowacyjności i wyjątkowości przedsiębiorstwa. Należy zatem zbadać system, w którym są takie dane zlokalizowane (tj. dysk, folder, plik), oraz ustalić, czy i jak są chronione, np. hasłem dostępu. Po tym, jak przedsiębiorstwa ustalą, gdzie znajdują się ich dane, które powinny być chronione, następnie powinny rozwijać specyficzne dla poszczególnych kategorii danych procedury i zasady polityki prywatności oraz stworzyć i uruchomić odpowiednie narzędzia ochrony, np. zapory firewall w obszarach wymagających szczególnej ochrony.

Przedsiębiorstwa powinny pamiętać o przygotowaniu, wprowadzeniu i następnie przeprowadzaniu systematycznie audytu funkcjonującego systemu ochrony. Każde przedsiębiorstwo powinno również przygotować narzędzia do pomiaru potencjalnego zagrożenia atakiem skierowanym na ich własny system oraz ustalić procedury postępowania w razie pojawienia się takiego ataku. W tym celu przedsiębiorstwa mogą zastosować dostępne powszechnie mechanizmy ochrony, a niekiedy dodatkowo zalecane jest przeprowadzanie kontrolowanego ataku na własny system, po to, aby poznać słabe jego obszary.

Przy opracowaniu odpowiedniego systemu ochrony przedsiębiorstwa powinny się skupić na scenariuszach, które z dużym prawdopodobieństwem mogą zostać zrealizowane i w rezultacie spowodować uzyskanie przez nieuprawnionych dostępu do ich chronionych danych, a następnie ich rozpowszechnienie.

Szczególną uwagę przedsiębiorcy powinni zawsze zwrócić na potencjalną możliwość kradzieży danych przez ich nielojalnych pracowników, jak podkreśla się w specjalistycznych opracowaniach – zwykle największym zagrożeniem dla przedsiębiorstwa są jego pracownicy. W związku z tym przedsiębiorstwa powinny edukować swoich pracowników w sprawie obowiązującej procedury uruchamianej w razie naruszenia obowiązujących zasad ochrony danych, w tym obejmującej możliwość utraty pracy, nałożenia surowych kar pieniężnych czy też sankcji karnych.

Niekiedy edukacja pracowników nie jest w pełni wystarczająca. Niektórzy specjaliści zalecają, aby przedsiębiorstwa monitorowały wiadomości przesyłane przez pracowników za pośrednictwem odpowiednich filtrów, tak aby zapewnić zgodność z przyjętym w danym przedsiębiorstwie systemem ochrony. Przedsiębiorstwa powinny rewidować i uaktualniać w razie potrzeby politykę prywatności skierowaną do swoich pracowników oraz dążyć do zawierania dodatkowych porozumień z pracownikami, w których potwierdzone zostanie, że uzyskują dostęp do danych stanowiących własność przedsiębiorstwa. Ponadto powinni być świadomi, że mogą użyć tych danych tylko w celach niezbędnych do wykonywania pracy, i zobowiązać się, że nie udostępnią informacji poufnych osobom trzecim bez wyraźnego pozwolenia. Co więcej, dane te nie mogą zostać przekazane albo zapisane na innym niż służbowy nośniku danych, pamięci podręcznej USB ani żadnym innym urządzeniu. Problematyczna jest kwestia umożliwienia pracownikom podczas wykonywania pracy korzystania z platform social media, np. logowania się na portal Facebook czy LinkedIn.

Istotne jest ustalenie zasady, że pracownicy powinni zostać zobowiązani do zwrotu urządzeń należących do przedsiębiorstwa, które zostały im udostępnione, oraz upewnienie się, że informacje, do których mieli dostęp, nie zostały ujawnione w momencie zakończenia przez nich pracy i objęte są tajemnicą również po zakończeniu stosunku pracy. Takie postanowienia powinny zostać zawarte w umowie będącej podstawą zatrudnienia lub w dodatkowym porozumieniu.

Niestety bardzo często przedsiębiorcy nie są świadomi, że ich dane zostały skradzione, a stosunkowo często dowiadują się o tym dopiero, gdy cyberprzestępca ujawni ich dane w Internecie, np. w anonimowej sieci TOR.

Przedsiębiorstwa powinny posiadać kod szyfrowania oraz odpowiedni program antywirusowy, ponieważ oprogramowanie bez solidnego wsparcia programu antywirusowego może stanowić istotny problem w razie cyberataku. Podobnie, system opierający się na systemie w chmurze (z ang. cloud computing) wymaga odpowiedniego oprogramowania zabezpieczającego. Zalecane jest również wprowadzenie właściwych protokołów uniemożliwiających cyberprzestępcom uzyskanie dostępu do profili przedsiębiorstw na platformach social media, np. do strony fanpage na portalu Facebook.

O czym często się zapomina, przedsiębiorstwa powinny również pamiętać o zabezpieczeniu przed nieuprawnionym dostępem atakujących systemy obsługujące takie pomieszczenia, jak sale spotkań z klientami czy sale przeznaczone do spotkań firmowych (wewnątrzzakładowych), gdyż oczywiste jest, że każda przeprowadzona w tym miejscu rozmowa potencjalnie może dotyczyć danych, których ujawnienie może zagrozić przedsiębiorstwu.

Zalecenia amerykańskich specjalistów z zakresu ochrony cyberbezpieczeństwa danych dotyczące własności intelektualnych wskazują, że każde przedsiębiorstwo powinno w pierwszej kolejności określić, co stanowi własność intelektualną (dotyczy to również innych krytycznych danych teleinformatycznych). W tym celu pomocne może okazać się przygotowanie swoistego spisu inwentarza. Następnie przedsiębiorstwo powinno przygotować i dopracować odpowiednie procedury i zasady działania w razie pojawienia się incydentu oraz uświadomić sobie, w jakim obszarze potencjalne zagrożenia występują, np. miejsce przechowywania informacji o patentach.

Wachlarz narzędzi i możliwości do ochrony cyberbezpieczeństwa jest bardzo szeroki i, co typowe dla tej dziedziny, nieprzerwanie się rozwija. Przypuszczać można, że niektóre z informacji zawartych w niniejszym opracowaniu za kilka tygodni lub miesięcy nie będą już w pełni aktualne. Nie wolno zapominać, że sztuka skutecznej ochrony cyberbezpieczeństwa polega zawsze na wyprzedzeniu atakującego o co najmniej jeden krok.

C. Ubezpieczenie od kradzieży własności intelektualnej i ryzyka w cyberprzestrzeni

Od niedawna również polskie przedsiębiorstwa mogą dodatkowo rozważyć wykupienie ubezpieczenia od kradzieży własności intelektualnej i ryzyk w cyberprzestrzeni. W Polsce takie ubezpieczenia danych elektronicznych od ryzyk cybernetycznych zostały wprowadzone w 2015 rokuhttps://www.ergohestia.pl/_items/pdf/cyber/ulotka_cyber_4-3f.pdf [27.08.2016].. Obszar odpowiedzialności jednej z firm ubezpieczających, która wprowadziła to innowacyjne ubezpieczenie w naszym kraju jako pierwsza, został podzielony na trzy częścihttp://www.ergohestia.pl/korporacje/produkty/cybernetyczne.html [27.08.2016].:

1. DANE ELEKTRONICZNE – przywrócenie danych, zakup nowego sprzętu, usunięcie złośliwego oprogramowania2. KOSZTY DODATKOWE – koszty public relations w celu przywrócenia reputacji i wizerunku publicznego, koszty przeniesienia danych na inne serwery, koszty porady prawnej
3. ODPOWIEDZIALNOŚĆ CYWILNA – koszty odtworzenia danych u osób trzecich (poszkodowanych), koszty działania specjalistów z zakresu informatyki śledczej oraz utraconych korzyści przez osoby trzecie

 

W świetle aktualnego ogromnego ryzyka zagrożeniem dla cyberbezpieczeństwa kluczowe jest, aby w ramach ryzyka w zarządzaniu przedsiębiorstwem objąć również ryzyko naruszenia cyberbezpieczeństwa. Jak podkreśla się, efektywna ochrona cybernetyczna powinna być rezultatem samozainteresowania przedsiębiorców tym zagadnieniem, a nie odpowiedzią na państwowy dyktat.

D. Przykłady cyberataków na kancelarię prawną

Jak już wspomniano wcześniej, wśród często atakowanych przedsiębiorstw znajdują się kancelarie prawne. Powód tego jest oczywisty i związany z charakterem prowadzonej działalności oraz z tym, jak dużą ilością i charakterem danych dysponują tego rodzaju przedsiębiorstwa. Szczególnie narażone na ataki są kancelarie, które zajmują się obsługą klienta biznesowego.

Przykładem głośnego cyberataku na kancelarię prawną może być tzw. afera Panama Papers Leak, która dotyczy ujawnienia informacji o klientach kancelarii Mossack Fonseca z Panamy.

Kancelaria ta udzielała pomocy prawnej w zakresie zakładania działalności gospodarczej w rajach podatkowych przez wiele lat. W ramach przeprowadzonej przez dziennikarzy śledczych akcji w kwietniu 2016 roku ujawniono dane o 2,6 TB objętości (w porównaniu do afery Wikileaks z 2010 roku – 1,7 GB)https://panamapapers.icij.org [27.08.2016].. W aferę Panama Papers Leak zamieszanych jest wielu polityków, celebrytów z różnych krajów, w tym także kilku Polaków.

Również polskie kancelarie stają się coraz częściej celem cyberataków i przykładem jest cyberatak z września 2015 roku, kiedy to haker o pseudonimie „fiat126pteam” zamierzał sprzedać znaczną ilość danych klientów jednej z polskich kancelariihttp://www.rp.pl/Adwokaci/309079998-Hakerzy-w-wielkiej-kancelarii-adwokackiej.html [27.08.2016].. Zaatakowana kancelaria nie wpłaciła żądanego okupu, ściśle współpracowała z organami ścigania i wyznaczyła nagrodę za wskazanie sprawcy bądź sprawców. Innymi przykładami cyberataków w polskich warunkach są cyberataki na polskie banki, giełdę papierów wartościowych czy nawet prywatną pocztę oficera służb specjalnychhttp://www.oirpwarszawa.pl/wp-content/uploads/2016/06/Bezpieczne-przetwarzanie-informacji-w-kancelariiprawnej-Tomasz-Dyrda.pdf [27.08.2016].. To skutkuje wzmożonymi kontrolami przeprowadzanymi przez Generalnego Inspektora Ochrony Danych Osobowych w 2016 roku w zakresie prawidłowej ochrony systemów, gdzie przechowywane są dane osobowe.

O tym, jak istotne jest zachowanie odpowiednich środków cyberochrony, dowiedziała się Hillary Clinton, która po ujawnieniu informacji opinii publicznej, że używała prywatnego serwera do przesyłania wiadomości e-mail z zawartymi informacjami o wadze państwowej, straciła znaczne poparcie w kampanii wyborczej na prezydenta Stanów Zjednoczonych. Zatem problem ten może dotyczyć każdego bez wyjątku, a nieświadomość zasad cyberochrony nie może być później uzasadnionym wytłumaczeniem.

4. PODSUMOWANIE

 

Podsumowując, kadra zarządzająca każdym przedsiębiorstwem, w tym kancelarią prawną, powinna uświadomić sobie, jak poważnym zagrożeniem dla każdego przedsiębiorstwa może być zakończony sukcesem cyberatak, następnie wyposażyć się w odpowiednią wiedzę o tym, jak chronić przedsiębiorstwo i z kim współpracować w tym zakresie. Niestety, skutki powstania niektórych szkód, np. utraty reputacji, często trudno odwrócić albo naprawić.

Tylko działania podejmowane kompleksowo mogą przynieść oczekiwane rezultaty. Klucz tkwi zatem w upowszechnianiu zasad podstawowej cyberhigieny oraz jej rozszerzonej formy, gdyż tylko współpraca wszystkich użytkowników może odpowiednio uchronić przed cyberatakami. Jedynie wzajemne zrozumienie problemu oraz informowanie się o potencjalnych zagrożeniach i współpraca na wszystkich możliwych płaszczyznach mogą okazać się skuteczne.

Zaloguj się/utwórz konto, aby zdobyć punkty szkoleniowe
0%

In English

Protection of company’s intellectual property rights against cyber attacks with an example of the solutions adopted in the United States

In the Mid-Twentieth Century, after the invention of the Internet and the World Wide Web, the cybercrime threat developed. The scale of the threat is still increasing but in the last few years much faster than before.
All Internet users are vulnerable to cyber attacks without any exception. The threat is the same for individuals and businesses, government agencies, and international institutions. The most common targets of cyber attacks are financial institutions and private companies, e.g. law firms, and therefore they are exposed to huge losses in the event of a successful cyber attack.
To protect the system and ultimately the entire enterprise from a cyber attack, firstly the entrepreneur must be aware of the risks, the strong and the weak parts of its own computer system, and need to have the ability to recognize hazards and to use an appropriate response to them.
The first legal solutions in response to the problem of cyber threats were for the first time presented in the United States and therefore the American legal regulations are often the model for regulation adopted in the other countries.
In order to effectively protect the data in cyberspace, entrepreneurs and other users should be aware of basic cyber hygiene rules and its expanded version. The key is a joint action at all levels, in the both the public institutions and the private sector because only comprehensive actions can bring the expected results.

Tags

computer system cyber threat cyber attack cybercrime risk Internet
Przejdź do Palestra 1-2/2017

Informacja o plikach cookies

W ramach Strony stosujemy pliki cookies. Korzystanie ze Strony bez zmiany ustawień dotyczących cookies oznacza zgodę na ich zapis lub wykorzystanie. Możecie Państwo dokonać zmiany ustawień dotyczących cookies w przeglądarce internetowej w każdym czasie. Więcej szczegółów w "Polityce Prywatności".