6 września 2023 r. – Przedsiębiorcy mają szansę na odzyskanie środków utraconych w wyniku cyberprzestępstwa pod warunkiem podjęcia szybkiej interwencji i nawiązania bliskiej współpracy z organami ścigania oraz bankiem, uważają eksperci kancelarii prawnej DLA Piper. Najważniejsza jest jednak prewencja i wprowadzenie w firmach procedur chroniących przed cyberzagrożeniami.
Wraz z postępującą transformacją cyfrową cyberataki są coraz częstsze, a cyberprzestępcy stosują coraz nowsze metody wyłudzania pieniędzy od instytucji i firm. Należą do nich między innymi phising, e-mail spoofing, pharming, czy też stosowanie oprogramowania malware. Jak wynika z badania KPMG aż 88% krajowych firm obawia się cyberataków – w największym stopniu wyłudzeń danych uwierzytelniających (phishing) oraz zaawansowanych ataków ze strony profesjonalistów (Advanced Persistent Threat), z którymi związane jest ryzyko utraty środków finansowych. To uzasadnione obawy, ponieważ według firmy Veeam, 83% firm z Europy Środkowo-Wschodniej doświadczyło ataków szyfrujących dane i wymuszających okup (ransomware).
– Z mojego doświadczenia wynika, że największe znaczenie dla odzyskania skradzionych środków ma szybka współpraca z instytucjami finansowymi i organami ścigania. Jest to szczególnie ważne w przypadku cyberataków na poziomie międzynarodowym, gdzie sprawcy działają w różnych jurysdykcjach. Każdy transfer środków finansowych zaciera bowiem ślady przestępstwa – mówi Tomasz Rudyk, adwokat kierujący zespołem White-Collar Crime (przestępstw gospodarczych) DLA Piper w Polsce.
Banki mają bardzo dużą świadomość cyberzagrożeń i są coraz lepiej przygotowane do zapobiegania kradzieżom środków dzięki inwestycjom w zaawansowane systemy monitorowania transakcji finansowych, które pozwalają szybko wykrywać nieautoryzowane czynności, blokować podejrzane operacje oraz zabezpieczyć ślady sprawcy. W tegorocznym badaniu przeprowadzonym przez firmę doradczą EY wśród zarządzających ryzykiem w bankach, cyberataki zostały uznane za największe zagrożenie – wyprzedzając nawet ryzyko kredytowe.
W Polsce kwestię cyberbezpieczeństwa reguluje szereg aktów prawnych, do najważniejszych należy ustawa z dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa. Odpowiedzialność karną za popełnienie czynów z zakresu tzw. cyberprzestępstwa regulują przepisy Kodeksu karnego. Na przykład za wyłudzenie środków finansowych w wyniku oszustwa cyberprzestępcom grozi kara pobawienia wolności nawet do 10 lat.
Warto zauważyć, że kraje europejskie, w tym Polska, podejmują coraz bardziej konkretne działania w celu skuteczniejszej walki z cyberprzestępcami, a także efektywniejszej koordynacji działań międzyorganizacyjnych. Na przestrzeni ostatniego roku ważnym krokiem było utworzenie Centralnego Biura Zwalczania Cyberprzestępczości (CBZC), jednostki Policji specjalizującej się w zwalczaniu ataków cybernetycznych, do którego można zgłaszać zagrożenia. Co więcej, przestępstwa związane z cyberprzestępczością można przekazywać m.in. do Centralnego Biura Śledczego Policji (CBŚP), Rządowego Centrum Bezpieczeństwa (RCB), Zespołu Reagowania na Incydenty Bezpieczeństwa Komputerowego (CSIRT), czy Europejskiego Centrum ds. Walki z Cyberprzestępczością (EC3).
Ponadto ważnym krokiem w kierunku zwiększenia bezpieczeństwa systemu bankowego jest ściślejsza współpraca pomiędzy sektorem finansowym a organami ścigania, obejmująca wspólne reagowanie na ewentualne zagrożenia oraz nawiązanie partnerskiej relacji na rzecz edukacji dotyczącej nowoczesnych instrumentów finansowych i taktyk przestępczych. Przykładem tej strategii jest aktywność Narodowego Banku Polskiego (NBP), który ostrzega przed oszustami wykorzystującymi wizerunek banku, jak również rekomenduje szczególną ostrożność w przypadku przekazywania danych wrażliwych.
– Świadomość, że organy ścigania i instytucje finansowe jednoczą siły, wysyła wyraźny sygnał przestępcom, że ich działania nie pozostaną bezkarne – mówi Piotr Falarz, adwokat w zespole White-Collar Crime w warszawskim biurze DLA Piper. – Trzeba jednak pamiętać, że nadal w 95% to błąd ludzki jest czynnikiem przyczyniającym się do udanych ataków cyberprzestępców. Szczególnie w dobie pracy zdalnej firmy powinny jasno określać swoje zasady bezpieczeństwa IT oraz edukować pracowników w kwestii cyberbezpieczeństwa.
Jak wskazują specjaliści od cyberbezpieczeństwa praca zdalna na niewłaściwie zabezpieczonych sieciach domowych oraz używanie służbowych laptopów do celów prywatnych znacząco zwiększa ryzyko wycieku danych i naraża firmy na straty finansowe. Nie bez znaczenia jest też brak wiedzy na temat zasad bezpieczeństwa cyfrowego, w tym nieznajomość podstawowych sposobów ochrony danych i identyfikacji oszustw.
Zdaniem prawników DLA Piper, w celu zmniejszenia ekspozycji na ryzyko związane z cyberprzestępczością, firmy powinny przyjąć strategie ochrony przed cyberatakami i wdrażać procedury bezpieczeństwa. Powinny też edukować pracowników na temat zagrożeń w sieci. Konsekwentne przestrzeganie procedury bezpieczeństwa pozwoli uniknąć takich incydentów jak przelewy na fałszywe numery kont, czy wyłudzenia danych uwierzytelniających.
O DLA Piper
DLA Piper jest globalną firmą prawniczą wspierającą klientów w ponad 40 krajach w Europie, na Bliskim Wschodzie,
w regionie Azji i Pacyfiku oraz w obu Amerykach, co umożliwia jej zaspokajanie potrzeb prawnych klientów na całym świecie.
W Polsce zespół DLA Piper liczy ponad 130 prawników. Warszawskie biuro Kancelarii rekomendują międzynarodowe rankingi Chambers and Partners, IFLR1000, a także The Legal 500 EMEA, który wyróżnia DLA Piper w 20 kategoriach dla Polski, z czego 18 przypada na Tier 1 i Tier 2. Więcej informacji na temat biura i zakresu świadczonych usług można znaleźć na stronie: www.dlapiper.com.