Prędzej czy później każda organizacja będzie się musiała zmierzyć z incydentem związanym z bezpieczeństwem informacji i obawiam się, że nastąpi to prędzej, niż później. Aktualna rzeczywistość, specyfika i natężenie zagrożeń, nieograniczone możliwości jakie cyberprzestępcom dają szybko rozwijające się technologie oraz umiejętne wykorzystywanie podatności każdego systemu bezpieczeństwa, jakim jest człowiek, sprawiły, że nie mamy już do czynienia z dużym prawdopodobieństwa zaistnienia incydentu, ale z pewnością, że ten nastąpi. Osoby i działy firm zajmujące się bezpieczeństwem informacji są zmuszone do zmiany podejścia – z zapobiegania incydentom, raczej na minimalizację ich negatywnych skutków. Firmy i instytucje nie powinny szukać odpowiedzi na pytanie: „jak uniknąć incydentu?”, bo to dziś niemożliwe, ale raczej „jak się na niego przygotować i obsłużyć, aby jego skutki nie wpłynęły negatywnie na biznes?”.

Reakcja

Wiele incydentów może znaleźć swój finał w sądzie. Część z incydentów wiązać się może z odpowiedzialnością cywilną (odszkodowawczą) podmiotów odpowiadających za zaistnienie szkód związanych z incydentem, a część spełniać będzie przesłanki czynów zabronionych (przestępstwa komputerowe, nieuczciwa konkurencja, przestępstwa przeciwko własności intelektualnej) i dotykać będą odpowiedzialności karnej.

W pierwszym przypadku ewentualne skierowanie sprawy na drogę postępowania sądowego leży tylko i wyłączeni w gestii poszkodowanej organizacji, która będzie musiała ocenić sens i  szanse powodzenia wystąpienia z odpowiednimi roszczeniami.

Czy jednak w tym drugim przypadku pokrzywdzona organizacja, a tym samym zespół obsługujący dany incydent noszący znamiona przestępstwa powinien powiadomić o zaistniałym fakcie odpowiednich służb? Odpowiedź brzmi: to zależy.

Zgodnie z art. 304 § 1 kodeksu postępowania karnego każdy dowiedziawszy się o popełnieniu przestępstwa ściganego z urzędu ma społeczny obowiązek zawiadomić o tym prokuratora lub Policję (wyjątkiem są najpoważniejsze przestępstwa wymienione w art. 240 § 1 kodeksu karnego, kiedy to niezawiadomienie służb samo w sobie jest przestępstwem). Zatem co do zasady organizacja, która podała ofiarą przestępstwa, będącego równocześnie incydentem bezpieczeństwa informacji, nie jest zobowiązana do zawiadomienia służb ścigania, a na osobach dysponujących taką wiedzą (np. na członkach zespołu incident response) ciąży jedynie społeczny obowiązek w tym zakresie.

Inaczej sprawa wygląda jednak w przypadku instytucji państwowych i samorządowych, które w związku ze swą działalnością dowiedziały się o popełnieniu przestępstwa ściganego z urzędu. One bowiem są obowiązane niezwłocznie zawiadomić o tym prokuratora lub Policję oraz przedsięwziąć niezbędne czynności do czasu przybycia organu powołanego do ścigania przestępstw lub do czasu wydania przez ten organ stosownego zarządzenia, aby nie dopuścić do zatarcia śladów i dowodów przestępstwa.

Tak czy inaczej, niezależnie od tego, czy sprawą zajmą się odpowiednie służby, czy też nie, reakcja na incydent powinna obejmować odpowiednie zabezpieczenie śladów na potrzeby ewentualnego postępowania. Natomiast, aby prawidłowo zabezpieczyć takie dowody członkowie zespołu incident response powinni posiadać wiedze na temat tego, co przed polskimi sądami może zostać wykorzystane, jako dowód w sprawie oraz jak zapewnić jego wiarygodność. W szczególności kwestia ta uwidacznia się w przypadku elektronicznego materiału dowodowego, a przecież w przypadku incydentów związanych z bezpieczeństwem informacji przede wszystkim z takim mamy do czynienia. Wiedza z zakresu informatyki śledczej lub zaangażowanie specjalistów z tej dziedziny wydaje się w związku z tym niezbędne.   

cdn.

Całą treść można przeczytać w Magazynie Informatyki Śledczej