Wraz z postępującą transformacją cyfrową cyberataki są coraz częstsze, a cyberprzestępcy stosują coraz nowsze metody wyłudzania pieniędzy od instytucji i firm. Należą do nich między innymi: phising, e-mail spoofing, pharming, czy też stosowanie oprogramowania malware. Jak wynika z badania KPMG, aż 88 proc. krajowych firm obawia się cyberataków – w największym stopniu wyłudzeń danych uwierzytelniających (phishing) oraz zaawansowanych ataków ze strony profesjonalistów (Advanced Persistent Threat), z którymi związane jest ryzyko utraty środków finansowych. To uzasadnione obawy, ponieważ według firmy Veeam, 83 proc. firm z Europy Środkowo-Wschodniej doświadczyło ataków szyfrujących dane i wymuszających okup (ransomware).
Czytaj też: DLA Piper: Tajemnice przedsiębiorstw wymagają lepszej ochrony >>
– Z mojego doświadczenia wynika, że największe znaczenie dla odzyskania skradzionych środków ma szybka współpraca z instytucjami finansowymi i organami ścigania. Jest to szczególnie ważne w przypadku cyberataków na poziomie międzynarodowym, gdzie sprawcy działają w różnych jurysdykcjach. Każdy transfer środków finansowych zaciera bowiem ślady przestępstwa – mówi Tomasz Rudyk, adwokat kierujący zespołem White-Collar Crime (przestępstw gospodarczych) DLA Piper w Polsce.
Czytaj też w LEX: Cyberbezpieczeństwo – nowy wymiar obowiązków pracowniczych >
Dla banków cyberataki większym zagrożeniem niż ryzyko kredytowe
Banki mają bardzo dużą świadomość cyberzagrożeń i są coraz lepiej przygotowane do zapobiegania kradzieżom środków dzięki inwestycjom w zaawansowane systemy monitorowania transakcji finansowych, które pozwalają szybko wykrywać nieautoryzowane czynności, blokować podejrzane operacje oraz zabezpieczyć ślady sprawcy. W tegorocznym badaniu przeprowadzonym przez firmę doradczą EY wśród zarządzających ryzykiem w bankach, cyberataki zostały uznane za największe zagrożenie – wyprzedzając nawet ryzyko kredytowe.
Czytaj w LEX: Cyberbezpieczeństwo w bankach >
W Polsce kwestię cyberbezpieczeństwa reguluje szereg aktów prawnych, do najważniejszych należy ustawa z dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa. Odpowiedzialność karną za popełnienie czynów z zakresu tzw. cyberprzestępstwa regulują przepisy Kodeksu karnego. Na przykład za wyłudzenie środków finansowych w wyniku oszustwa cyberprzestępcom grozi kara pobawienia wolności nawet do 10 lat.
Warto zauważyć, że kraje europejskie, w tym Polska, podejmują coraz bardziej konkretne działania w celu skuteczniejszej walki z cyberprzestępcami, a także efektywniejszej koordynacji działań międzyorganizacyjnych. Na przestrzeni ostatniego roku ważnym krokiem było utworzenie Centralnego Biura Zwalczania Cyberprzestępczości (CBZC), jednostki Policji specjalizującej się w zwalczaniu ataków cybernetycznych, do którego można zgłaszać zagrożenia. Co więcej, przestępstwa związane z cyberprzestępczością można przekazywać m.in. do Centralnego Biura Śledczego Policji (CBŚP), Rządowego Centrum Bezpieczeństwa (RCB), Zespołu Reagowania na Incydenty Bezpieczeństwa Komputerowego (CSIRT), czy Europejskiego Centrum ds. Walki z Cyberprzestępczością (EC3).
Czytaj też w LEX: Nowe wyzwania dla Prokuratury związane ze zwalczaniem przestępczości gospodarczej i cyberprzestępczości >
Istotna jest ścisła współpraca
Ponadto ważnym krokiem w kierunku zwiększenia bezpieczeństwa systemu bankowego jest ściślejsza współpraca pomiędzy sektorem finansowym a organami ścigania, obejmująca wspólne reagowanie na ewentualne zagrożenia oraz nawiązanie partnerskiej relacji na rzecz edukacji dotyczącej nowoczesnych instrumentów finansowych i taktyk przestępczych. Przykładem tej strategii jest aktywność Narodowego Banku Polskiego (NBP), który ostrzega przed oszustami wykorzystującymi wizerunek banku, jak również rekomenduje szczególną ostrożność w przypadku przekazywania danych wrażliwych.
– Świadomość, że organy ścigania i instytucje finansowe jednoczą siły, wysyła wyraźny sygnał przestępcom, że ich działania nie pozostaną bezkarne. Trzeba jednak pamiętać, że nadal w 95 proc. to błąd ludzki jest czynnikiem przyczyniającym się do udanych ataków cyberprzestępców. Szczególnie w dobie pracy zdalnej firmy powinny jasno określać swoje zasady bezpieczeństwa IT oraz edukować pracowników w kwestii cyberbezpieczeństwa - mówi Piotr Falarz, adwokat w zespole White-Collar Crime w warszawskim biurze DLA Piper.
Czytaj też w LEX: Wymogi KNF w zakresie wykorzystania chmury obliczeniowej w sektorze finansowym >
Zagrożenia pracy zdalnej
Jak wskazują specjaliści od cyberbezpieczeństwa, praca zdalna na niewłaściwie zabezpieczonych sieciach domowych oraz używanie służbowych laptopów do celów prywatnych znacząco zwiększa ryzyko wycieku danych i naraża firmy na straty finansowe. Nie bez znaczenia jest też brak wiedzy na temat zasad bezpieczeństwa cyfrowego, w tym nieznajomość podstawowych sposobów ochrony danych i identyfikacji oszustw.
Zdaniem prawników DLA Piper, w celu zmniejszenia ekspozycji na ryzyko związane z cyberprzestępczością, firmy powinny przyjąć strategie ochrony przed cyberatakami i wdrażać procedury bezpieczeństwa. Powinny też edukować pracowników na temat zagrożeń w sieci. Konsekwentne przestrzeganie procedury bezpieczeństwa pozwoli uniknąć takich incydentów jak przelewy na fałszywe numery kont, czy wyłudzenia danych uwierzytelniających.
Czytaj w LEX: Organizacja pracy zdalnej w kontekście technicznego bezpieczeństwa pracy >
-------------------------------------------------------------------------------------------------------------------
Linki w tekście artykułu mogą odsyłać bezpośrednio do odpowiednich dokumentów w programie LEX. Aby móc przeglądać te dokumenty, konieczne jest zalogowanie się do programu. Dostęp do treści dokumentów w programie LEX jest zależny od posiadanych licencji.
