Podstawowym elementem zabezpieczenia przedsiębiorstwa przed skutkami ataków hakerskich jest precyzyjna umowa z firmą informatyczną. Powinna ona zawierać katalog praw, który klient będzie mógł wyegzekwować w przypadku szkód poniesionych w wyniku zaniechań specjalistów ds. IT.
Jak zauważa Paweł Zouner z Kancelarii Adwokackiej Zouner Legal, od kilku lat rośnie zagrożenie dla bezpieczeństwa informacji, zarówno w dużych korporacjach, jak również w małych i średnich przedsiębiorstwach. Naprzeciw temu problemowi zaczynają wychodzić ubezpieczyciele, proponując różnego rodzaju polisy, które częściowo chronią firmy przed skutkami ataków hakerskich. Ale ich właściciele przede wszystkim powinni minimalizować ryzyko wystąpienia sytuacji kryzysowych, jakie mogą się pojawić na skutek bezprawnych działań podmiotów zewnętrznych.
– W dzisiejszych czasach podstawową kwestią, o jaką musi zatroszczyć się przedsiębiorca, jest wybór profesjonalnej firmy informatycznej. Powinien podpisać z nią umowę, która w szczególności będzie określała trzy następujące obowiązki, wdrożenie do systemu komputerowego programów antywirusowych, weryfikację pracowników pod względem przestrzegania wewnętrznych procedur bezpieczeństwa informacji, a także natychmiastowe zabezpieczanie danych w sytuacjach kryzysowych, mówi serwisowi agencyjnemu MondayNews, Paweł Zouner.
Ekspert podkreśla, że w precyzyjnie sporządzonej umowie świadczenia są określone w sposób przejrzysty. Dokument stanowi niejako narzędzie do wykazania ewentualnych zaniechań specjalistów ds. IT. Jeśli przedsiębiorca padnie ofiarą ataku, wówczas firma informatyczna stanie się pierwszym z podmiotów, do którego będzie mógł sformułować swoje roszczenia odszkodowawcze. To z kolei pozwoli mu rekompensować poniesione szkody, związane z wyciekiem poufnych informacji. Jako klient ma bowiem prawo do odszkodowania z tytułu nienależnego wykonania umowy, np. w zakresie zaniechań przy wdrożeniu oprogramowania antywirusowego.
– W celu zabezpieczenia danych klientów, przedsiębiorca musi podjąć działania dwukierunkowe. W pierwszej kolejności skierować je do partnera informatycznego. Z drugiej zaś strony powinien sformalizować procedury bezpieczeństwa informacji w firmie, które nie tylko zostaną wdrożone, ale też egzekwowane, np. za pomocą przeprowadzania okresowych testów bezpieczeństwa. Może też nałożyć na firmę informatyczną obowiązek dokonywania niespodziewanych prowokacji na pracownikach i weryfikowania tego, czy stosują się do wymaganych zasad, radzi Zouner.
W każdej firmie powinny istnieć regulaminy, które nakazują zatrudnionym w niej osobom, określone postępowanie, np. w przypadku zmiany haseł do urządzeń mobilnych i komputerów, a także zasady korzystania z nośników informacji. Należy również dokładnie określić, kto, kiedy i w jakim trybie nadaje i odbiera dostęp do poszczególnych urządzeń. Jak podsumowuje ekspert, uświadamianie pracowników o konieczności stosowania procedur jest jednym z gwarantów tego, że realnie zminimalizujemy ryzyko wystąpienia niepożądanych sytuacji.
