• Bartosz Osiadlo

Atak hakerski na CD Projekt - jak się ubezpieczyć od takiego zdarzenia

Dzisiaj, 9 lutego 2021, @CDPROJEKTRED na swoim Twitterze opublikował informację że padł ofiarą cyberataku.


„Niezidentyfikowany sprawca pozyskał nieautoryzowany dostęp do wewnętrznej sieci spółki, pozyskał dane należące do grupy kapitałowej CD Projekt i zostawił notkę, której treść publikujemy. Pomimo, że niektóre urządzenia w naszej sieci zostały zaszyfrowane, nasze kopie bezpieczeństwa pozostają nienaruszone. Zabezpieczyliśmy naszą infrastrukturę i rozpoczęliśmy odzyskiwanie danych. Nie poddamy się żądaniom ani negocjacjom ze sprawcą, mając jednocześnie świadomość, że może do doprowadzić do ujawnienia wrażliwych danych. Podejmujemy potrzebne działania, aby ograniczyć konsekwencje takiego ujawnienia, w szczególności poprzez kontakt z każdym, kogo wyciek może dotyczyć. Prowadzimy dochodzenie w sprawie, natomiast potwierdzamy, że według naszej najlepszej wiedzy dane, które wyciekły nie zawierały żadnych informacji o użytkownikach. Skontaktowaliśmy się już z właściwymi służbami, z Prezesem Urzędu Ochrony Danych Osobowych, jak i również specjalistami ds. informatyki śledczej, w celu ścisłej współpracy i wyjaśnienia sprawy."

Tak brzmi oficjalny komunikat:


Hakerzy zostawili również notkę z żądaniem kontaktu w 48 godzin, pisząc nader wymownie, że opinia o firmie, wszak już nadwątlona problemami po reakcjach na Cyberpunk, jeszcze się pogorszy, a kurs akcji zanurkuje.


Polski developer nie ma w tym roku lekko.


Kilka tygodni wcześniej w sieci pojawiła się wzmianka o roszczeniu skierowanym przeciwko członkom zarządu przez amerykańską kancelarię Wolf Haldenstein Adler Freeman & Herz, specjalistów od giełdowych pozwów zbiorowych, po dość nieudanej premierze najnowszego tytułu. Plotki chodzą, że może to być największa szkoda z zakresu tzw. odpowiedzialności zarządu. Ale to temat na inny wątek.


Tymczasem przeanalizujmy na tym przykładzie, jak może (mogła?) wyglądać polisa ubezpieczeniowa, która ochroniłaby taką firmę, jak CDR w przypadku ataku.


O pewnych zagrożeniach pisałem już w kwietniu 2020, w szczycie pierwszego lockdownu, gdy firmy na gwałt przenosiły swoją infrastrukturę do sieci. Artykuł jest TUTAJ. Jak natomiast można się odnieść do ataku na CD Projekt?


Nazwijmy sobie konkretnie co się wydarzyło. Atak hakerski spowodował:

  1. wykradzenie własności intelektualnej (kody gier)

  2. wykradzenie dokumentów księgowych, administracyjnych, prawnych, HRowych oraz dokumentów dotyczących inwestorów

  3. zastrzeżenie dostępu do własnych serwerów (zaszyfrowanie)

  4. groźbę sprzedaży lub upublicznienia danych

Czym jest polisa Cyber


Produkty Cyber w Polsce zaczęły bardziej medialnie swój żywot od czasu wprowadzenia rozporządzenia RODO. Wszyscy wówczas obawiali się nalotów urzędników i bardzo głośno rozpowiadanych potencjalnych kar z wieloma zerami. Od tego czasu, mam wrażenie, że polisa od ryzyk cybernetycznych się trochę zdewaluowała.


Przybliżę natomiast jak zadziałałaby dobrze napisana polisa Cyber, gdyby ubezpieczonemu zdarzyły się rzeczy wymienione w powyższych punktach.


Po pierwsze, ten typ ubezpieczenia pomaga przy wszelkiego rodzaju wymuszeniach. W podanym przypadku sprawca zaszyfrował dane i grozi ich ujawnieniem. Ubezpieczyciele gwarantują tutaj ochronę polegającą na:


Odzyskaniu danych

Konkretnie mam tu na myśli działanie polegające na zatrudnieniu firm doradczych z zakresu tzw. informatyki śledczej. Następnym krokiem byłaby rekompensata honorariów dla specjalistów, którzy mieliby pomóc nam odzyskać dane w przypadku, gdy nie dałoby się tego wykonać z naszego backupu i zostałyby utracone lub zniszczone.


Zapłaceniu okupu

Sprawcy mogą żądać od nas okupu. Wtedy takie zdarzenie określamy jako tzw. wymuszenie. Wymuszeniem ubezpieczyciele nazywają tutaj każdą skierowaną w naszą stronę groźbę strat finansowych i reputacyjnych, jeżeli nie zapłacimy sprawcom określonej sumy pieniężnej. Ochrona ubezpieczeniowa będzie tu polegała na "negocjacji" wartości okupu oraz jego uiszczenia. Jako ciekawostkę dodam, że każde warunki ubezpieczenia zastrzegają, że ochrona stanie się nieważna, jeśli upubliczniona zostanie informacja o posiadaniu takiej polisy.


Bronieniu reputacji

Gdy już dojdzie do takiej sytuacji kryzysowej, polisa Cyber powinna zawierać w swoim zakresie zapłatę za usługi agencji Public Relations, w celu tak zwanej obrony reputacji. W takim przypadku Ubezpieczyciel dokona zapłaty honorariów niezależnych doradców prawnych, doradców zajmujących się kontaktami z mediami, czy również zarządzania kryzysowego, aby zmniejszyć przewidywane skutki tzw. "zdarzenia medialnego".


No i na sam koniec, polisa ma zapłacić za

Odszkodowania wobec osób trzecich

Następstwem upublicznienia danych mogą być roszczenia odszkodowawcze wniesione przeciwko nam, w szczególności z tytułu ujawnienia danych wrażliwych (ujawnienie informacji handlowych, ujawnienie cudzej własności intelektualnej, ujawnienie informacji personalnych). Mogą one pojawić się ze strony zarówno samych poszkodowanych osób trzecich, ale także od wszelkiego rodzaju organów nadzoru. Zakresem, we właściwie napisanej polisie ryzyk cybernetycznych objęte będą jednocześnie rekompensaty względem osób, których bezpieczeństwo danych zostało naruszone, naszych kontrahentów w sprawach np. tajemnicy handlowej, a także kary administracyjne.


Przestój w działalności

Finalnie, jeśli błąd, atak czy sprzeniewierzenie wywołało przestój w naszej działalności i tym samym spowodowało spadek przychodów, gdy posiadamy rozszerzenie Business Interruption, polisa Cyber zachowa się tak jak zachowałaby się polisa BI przy każdym innym ubezpieczeniu powodującym przestój - zapłaci za utracone przychody (w odpowiedniej strukturze, podzielonej na zyski, koszty stałe i uzasadnione koszty zmienne).


CYBER dla firmy to nie tylko RODO

Jak widać, ograniczanie myślenia o polisach cybernetycznych jedynie do zdarzeń opartych o kontekst RODO to duże niedopowiedzenie. Dobrze zrobiony Cyber zabezpieczy działalność przedsiębiorstwa tak samo, jak dobrze zrobiona polisa ogniowa czy oc działalności. Ważne tylko, żeby pamiętać o wysokich sumach ubezpieczenia.

60 wyświetlenia0 komentarz

Ostatnie posty

Zobacz wszystkie