Kto powinien odpowiadać za szkody wywołane cyberatakami?

We wtorek Warsaw Enterprise Institute opublikował raport „Jakie regulacje dla cyberbezpieczeństwa?”, poświęcony sprawie zapewnienia bezpieczeństwa instytucji, firm i konsumentów w sieci. Autorzy raportu - Mikołaj Barczentewicz oraz Maciej Troć – postulują wprowadzenie zmian w prawie.

„W naszym raporcie argumentujemy za rozważeniem odpowiedzialności odszkodowawczej jako potencjalnie lepszego instrumentu niż odpowiedzialność karna lub administracyjna (np. kary pieniężne nakładane przez urzędy). Tak jak w przypadku >>analogowych<< produktów i usług, producenci technologii powinni być odpowiedzialni wobec swoich klientów za szkody, gdyż to właśnie producentom jest znacznie łatwiej szkodzie zapobiec” – napisano w raporcie.

Jego autorzy zwracają uwagę, że obecnie ciężar ryzyka i szkód ponoszą głównie klienci, zwłaszcza konsumenci, gdyż odpowiedzialność dostawców technologii jest iluzoryczna. Ich zdaniem, obecnie łatwo jest udowodnić, że „szkoda powstała w wyniku zdarzeń poza kontrolą danego przedsiębiorcy lub że dochował on należytej staranności (bo standardy rynkowe są wciąż niewystarczające)”.

„Efektywna odpowiedzialność odszkodowawcza na zasadzie ryzyka, zamiast urzędników mogłaby uczynić >>regulatorami<< firmy ubezpieczeniowe, które miałyby silną motywację ekonomiczną do warunkowania wysokości składek ubezpieczeniowych od stosowania rzeczywiście efektywnych metod zabezpieczenia – niezależnie od tego, czy są one już standardem rynkowym, czy nie. Konkurując między sobą i dbając o swoją rentowność, firmy ubezpieczeniowe musiałyby eksperymentować i ustawicznie analizować sytuację technologiczną” – napisano w raporcie WEI.

Autorzy raportu uważają, że alternatywa w postaci instytucji publicznej, która centralnie sterowałaby metodami zabezpieczeń i karałaby za ich niestosowanie, nie jest adekwatna do współczesnej technologii.

„Nie chodzi tutaj tylko o kwestie sprawiedliwego rozłożenia ciężaru ryzyka pomiędzy przedsiębiorcami a konsumentami, ale o wykorzystanie mechanizmu rynkowego do odkrycia, jakie rozwiązania mogłyby istotnie zmniejszyć ryzyko” – napisano w raporcie.

Autorzy raportu przyznają, że regulacja wprowadzająca odpowiedzialność odszkodowawczą dostawców technologii wiązałaby się z kosztami. Ale zwracają uwagę, że każdy model regulacji spraw cyberbezpieczeństwa oznacza dodatkowe koszty dla firm.

„O ile wszystkie z dyskutowanych modeli powinny być wdrażane, wybór konkretnych rozwiązań w ramach tych modeli uwzględniać musi wielkość tych kosztów i >>zwrot na inwestycji<<. Taka ocena nie jest przeprowadzana z odpowiednim rygorem w procesie decyzyjnym UE i Polski” – napisano w raporcie.

Obecnie modele regulacji kwestii cyberbezpieczeństwa, realizowane w Polsce i w UE, są co do zasady pozytywne. Zdaniem autorów raportu, do wytwarzania i rozpowszechniania wartościowej wiedzy przyczyni się np. system prawnie regulowanej certyfikacji dostawców, usług i sprzętu.

„Jest jednak ryzyko, że co do zasady słuszne regulacje na rzecz tworzenia i wymiany wartościowej wiedzy zostaną >>ozłocone<< nieproporcjonalnymi obowiązkami. Na przykład, nie jest oczywiste, że rozszerzanie obowiązku posiadania specjalistycznych wewnętrznych centrów operacyjnych na kolejne kategorie organizacji rzeczywiście przyczyni się do bezpieczeństwa” – napisano w raporcie Warsaw Enterprise Institute.