Menu

CyberPolisa

Cyberzagrożenia

Realność zagrożeń w przestrzeni cyfrowej

Ryzyko cybernetyczne jest dziś równie realne jak potencjalne zagrożenia losowe. Na atak narażony jest każdy podmiot zarządzający danymi w formie elektronicznej, przechowywanymi na komputerach, serwerach czy w internecie.

  • realność cyberzagrożeń i ich transgraniczność – już w 2007 r. dochody z cyber przestępstw przerosły zyski z handlu bronią oraz narkotykami
  • zagrożone atakami są m.in.: systemy infrastruktury krytycznej, np. w sektorze energetycznym, obronnym oraz w przestrzeni publicznej, bazy danych wrażliwych, urządzenia konsumenckie typu smart podłączone do sieci (tzw. internet rzeczy)
  • w ostatnim roku liczba cyberataków notowanych na świecie przez firmy wzrosła o 58%; w sumie uczestnicy światowego badania odnotowali ok. 42,8 mln naruszeń cyberbezpieczeństwa
  • średnia roczna stopa wzrostu liczby cyberataków wynosi 66%
  • rocznie na cyberprzestępczości gospodarka światowa traci ok. 575 mld dolarów

Polska szeroko otwarta na cyberataki

 

„Nie zidentyfikowano podstawowych zagrożeń dla krajowej infrastruktury teleinformatycznej oraz nie wypracowano narodowej strategii ochrony cyber-przestrzeni. Nie określono struktury
i ram prawnych krajowego systemu ochrony cyberprzestrzeni, nie zdefiniowano obowiązków i uprawnień jego uczestników. A co najważniejsze - nie przygotowano procedur reagowania
w sytuacjach kryzysowych, związanych z cyberprzestrzenią”.

 

Przykłady cyberataków w Polsce

 

Dziennie dochodzi w Polsce do około 100 tysięcy cyberataków. Najczęściej pochodzą one z terytorium Rosji, Niemiec oraz naszego własnego kraju. Aż 82 proc. polskich firm zanotowało w 2017 roku przynajmniej jeden cyberincydent. W sieci nikt nie jest bezpieczny.

  • atak grupy Anonymous Fox na stronę Miejskiego Zakładu Komunikacji w Świnoujściu (2017 r.)
  • atak na serwery Kancelarii Premiera i Prezydenta (2014 r. i 2015 r.)
  • atak na witrynę Komisji Nadzoru Finansowego (2016 r.)
  • atak na serwery wymiaru sprawiedliwości (2016 r.)
  • atak na Podlaski Zarząd Dróg Wojewódzkich (2015 r.)
  • atak na Urząd Miasta w Jaworznie (2015 r.)
  • atak na Gminę Rząśnia (2014 r.)
  • atak na Gminę Błażowa (2013 r.)
  • atak na Gminę Gidle (2014 r.)
  • rozesłanie e-maila atakującego program do zarządzania budżetami BeSTi@

Samorządy na celowniku

  • samorząd gminny, powiatowy i wojewódzki zarządza danymi wrażliwymi 24 milionów podatników – liczba ta wzrasta, gdy weźmiemy  pod uwagę dane osobowe przechowywane w innych kwestiach niż podatkowa, np. w gospodarce odpadami, dowodach rejestracyjnych, dowodach osobistych, wnioskach o dotacje itd.
  • samorządy obracają dużymi sumami publicznych pieniędzy – same wydatki jednostek samorządowych w 2014 roku wyniosły łącznie niemal 200 miliardów złotych
  • dzisiaj zainteresowanie cyberprzestępców stanowi także program 500+

 

Tymczasem z badania przeprowadzonego przez firmę PBS wynika, że osoby odpowiedzialne za IT w samorządach w większości deklarują poziom bezpieczeństwa informatycznego swoich placówek jako wysoki lub bardzo wysoki (67 proc.).

W urzędach zatrudniających więcej niż 100 pracowników 20,3 proc. respondentów wskazało na poziom bardzo wysoki, zaś w urzędach zatrudniających mniej niż 100 pracowników ten sam poziom wskazało jedynie 5,6 proc.

RODO

24 maja 2016 r. weszło w życie Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (tzw. Rozporządzenie Ogólne o Ochronie Danych Osobowych - General Data Protection Regulation). RODO (skrót w polskiej nomenklaturze) definiuje zasady przetwarzania, wykorzystywania i przechowywania danych osobowych. Nowe przepisy (tekst aktu: https://giodo.gov.pl/pl/file/10574) wprowadzają szereg nieznanych wcześniej regulacji, w tym takie, jak: 

Bezpośrednia odpowiedzialność przetwarzającego dane  

Organizacje przetwarzające dane osobowe będą ponosić bezpośrednią odpowiedzialność za złamanie zapisów RODO, włączając w to ryzyko otrzymania sankcji finansowych, jak:

  • kara administracyjna (katalog naruszeń, które będą dawały podstawę do nałożenia przez GIODO administracyjnej kary pieniężnej w kwocie do 10 mln euro lub - gdy kara nakładana jest na przedsiębiorstwo - do 2% jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego zostały wskazane w art. 83 ust. 4 RODO, a kary pieniężnej w kwocie do 20 mln euro lub - gdy kara nakładana jest na przedsiębiorstwo - do 4% jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego zostały wskazane w art. 83 ust. 5 RODO)
  • zapłata odszkodowania - niezależnie od administracyjnych kar pieniężnych, należy pamiętać, że zgodnie z treścią art. 82 ust. 2 RODO każdy administrator danych może ponosić bezpośrednią odpowiedzialność odszkodowawczą względem osób, których dane osobowe przetwarza, gdy nie dopełnił obowiązków, które RODO nakłada bezpośrednio na podmioty przetwarzające, lub gdy działał poza zgodnymi z prawem instrukcjami administratora lub wbrew tym instrukcjom. 

 

RODO przewiduje także możliwość korzystania przez organy kontrolne z tzw. uprawnień naprawczych, które stanowią rodzaj sankcji administracyjnych. Poza tym art. 84 RODO ustala, że poszczególne państwa członkowskie UE mają wprowadzić również inne sankcje za naruszenia postanowień rozporządzenia, przy tym sankcje te muszą być skuteczne, proporcjonalne i odstraszające.

Zgłaszanie naruszeń 

Obowiązkiem administratorów danych będzie zgłaszanie w ciągu 72 godzin od wykrycia do właściwego organu nadzoru przypadków naruszeń, które mogą skutkować zagrożeniem praw i swobód osób, których dane zostały naruszone. Może także wystąpić konieczność zawiadomienia konkretnej osoby, bez zbędnej zwłoki, o przypadku wystąpienia dużego ryzyka naruszenia jej praw lub swobód.

Nowe i rozszerzone prawa obywateli 

Przepisami RODO wprowadzone zostaje:

  • „prawo do bycia zapomnianym” (skierowane do obywateli, którzy życzą sobie, by ich dane osobowe zostały usunięte) 
  • uprawnienie do żądania przeniesienia danych 
  • wzmocnione prawo dostępu i wglądu obywatela w jego dane

Ograniczenia profilowania

RODO wprowadza ograniczenia w zakresie profilowania, włączając w to obowiązek otrzymania zgody na profilowanie przed rozpoczęciem zbierania danych, surowy obowiązek informowania o profilowaniu oraz konieczność akceptacji braku zgody na profilowanie.

Obowiązkowa inwentaryzacja danych i wymagania związane z dokumentacją

Kontrolujący i przetwarzający dane będą zobowiązani do przygotowania i utrzymania wszechstronnych rejestrów dotyczących przetwarzanych danych, uwzględniających m.in.: powody przetwarzania danych, kategorie podmiotów danych i danych osobowych, adresatów danych, rejestry międzynarodowych transferów danych, rejestry naruszeń i incydentów, rozwój i utrzymanie zasad ochrony prywatności dla każdej linii produktowej, przechowywanie potwierdzonych zgód na przetwarzanie danych itd.

Przepisami RODO zostają wprowadzone także nowe lub uzupełnione zasady uzyskiwania ważnych i weryfikowalnych zgód na przetwarzanie danych osobowych od osób, których dane dotyczą. 

Cyberubezpieczenie

Podstawowe mechanizmy zarządzania ryzykiem informatycznym mogą zatrzymać aż do 60% obserwowanych obecnie form cyberataku. Obejmują one m.in. zabezpieczenie systemów
i sieci przed wirusami, programami szpiegującymi oraz złośliwym oprogramowaniem, ochronę połączenia internetowego, instalację i aktywację zapór sieciowych (firewalls) na wszystkich systemach, uaktualnianie systemów operacyjnych i programów, wdrożenie polityki monitoringu i procedur działania dla wszystkich sieci i systemów, sporządzanie kopii zapasowych ważnych danych i informacji, edukację użytkowników i szkolenia w zakresie świadomości zagrożeń, wdrożenie procedur działania w przypadku incydentów, wprowadzenie zarządzanego i kontrolowanego systemu uprawnień i przywilejów dla użytkowników, kontrola użytkowania przenośnych nośników danych itd.

 

Dla pozostałych 40% ataków oraz pojawiających się nieustannie nowych form cyberprzestępczości najlepszym rozwiązaniem jest odpowiednie ubezpieczenie.

 

Specjalistyczne produkty ubezpieczeniowe, takie jak cyberpolisa, chronią instytucje i firmy na wypadek zagrożeń, w tym ataków na całe sieci i systemy, a jednocześnie pełnią ważną funkcję prewencyjną. Wspierają bowiem ubezpieczonych w skutecznym zarządzaniu ryzykiem cybernetycznym, wykrywaniu ewentualnych przestępstw i ograniczaniu ich skutków.
Jak pokazują globalne trendy, coraz więcej podmiotów sięga po tego typu rozwiązanie. Wyraźnie rośnie świadomość, że zapewnienie bezpieczeństwa danych nie jest tylko sprawą działu IT.

 

Przygotowane przy udziale spółki Inter-Broker rozwiązania ubezpieczeniowe zapewniają ochronę w każdym obszarze zagrożonym cyberprzestępczością, zapewniając także ochronę w przypadku naruszenia bezpieczeństwa danych osobowych. Cyberubezpieczenie może zatem obejmować:

  • odpowiedzialność cywilną i koszty obrony w postępowaniach cywilnych z tytułu naruszenia prywatności (np. roszczenia osób trzecich w związku z ujawnieniem ich danych osobowych znajdujących się w systemie informatycznym ubezpieczonego)
  • kary administracyjne i koszty obrony w postępowaniach regulacyjnych z tytułu naruszenia prywatności (np. postępowania prowadzone przez GIODO)
  • koszty reakcji i zarządzania kryzysowego w związku z naruszeniem bezpieczeństwa informacji (np. włamanie do systemu informatycznego)
  • odpowiedzialność cywilną i koszty obrony w postępowaniach cywilnoprawnych w związku z naruszeniem bezpieczeństwa informacji (np. roszczenia kontrahentów w związku
    z kradzieżą danych ich dotyczących z systemu informatycznego ubezpieczonego)
  • pokrycie kosztów i wymuszonych płatności w związku z atakiem hakerskim

 

Dodatkowo polisa może obejmować:

  • koszt odtworzenia danych i utracony zysk (np. w związku z przestojem wywołanym włamaniem do systemu informatycznego ubezpieczonego)
  • odpowiedzialność cywilną za naruszenie dóbr osobistych i praw własności intelektualnej w przekazie cyfrowym

 

Przewagą konkurencyjną oferty wynegocjowanej przez naszą spółkę jest zapewnienie ochrony w przypadku naruszenia danych osobowych zawartych nie tylko w zasobach cyfrowych, ale także przechowywanych w formie tradycyjnej.

 

W przypadku zainteresowania naszą propozycją zapraszamy Państwa do kontaktu.

Zadzwoń

56 658 42 60

Napisz

cyber@interbroker.pl

Wypełnij formularz

Spółka realizuje projekt dofinansowany ze środków Działania 8.2 Wspieranie wdrażania elektronicznego biznesu typu B2B w ramach Programu Operacyjnego Innowacyjna Gospodarka
NAZWA INWESTYCJI: Wdrożenie elektronicznego systemu B2B integrującego zarządzanie procesami biznesowymi.
NAZWA BENEFICJENTA: INTER-BROKER SP. Z O.O.
WARTOŚĆ PROJEKTU: 1.127.541,00 PLN.
UDZIAŁ UNII EUROPEJSKIEJ: 670.886,90 PLN.
OKRES REALIZACJI: 2013 - 2014
PROJEKT WSPÓŁFINANSOWANY PRZEZ UNIĘ EUROPEJSKĄ Z EUROPEJSKIEGO FUNDUSZU ROZWOJU REGIONALNEGO