ZÍSKAJTE ZADARMO PRÍSTUP K
Vďaka naším pravidelným newslettrom budete informovaní o zmenách, ktoré môžu ovplyvniť Váš biznis! Prihláste sa do nášho mailing listu a my Vám budeme zdarma posielať naše newslettre o zmenách v legislatíve, užitočné tipy, regionálne štúdie, eBooky a pozvánky na naše odborné semináre.
Navštívte našu Newsroom a zistite, prečo sa oplatí odoberať naše novinky.
Budeme Vám posielať novinky z oblastí, ktoré Vás zaujímajú a spracúvať Vaše osobné údaje v súlade s našou Politikou ochrany súkromia and GDPR prehlásením.
Nedarí sa vám prihlásiť na odber? Skúste túto stránku.
Kybernetické útoky na firmy, či ransomware sú narastajúcim globálnym problémom. Ransomware ako typ škodlivého softvéru (malware) blokuje počítačový systém či šifruje dáta v ňom zapísané. Za takto získané údaje požaduje útočník od obete výkupné, často vo forme virtuálnych mien (napr. bitcoin). Vypátranie zodpovednej osoby, ktorá sa takto dopúšťa trestnej činnosti, je však veľmi náročné.
Jednoduchý ransomware dokáže zablokovať systém, no je nenáročné odblokovať ho aj bez toho, aby bolo nutné platiť výkupné. Zložitejší ransomware však dokáže zašifrovať súbory, ktoré sú až do zaplatenia výkupného nedostupné.
V rámci kybernetickej bezpečnosti a problematiky okolo ransomware sa preto často stretávame nie len s tým, že napadnutá organizácia nebola pripravená čeliť takémuto útoku z pohľadu technického zabezpečenia a následnej potreby nevyhnutnej reakcie, ale aj s faktom, že spoločnosť ako taká sa ocitá tvárou tvár problému ohľadom platby výkupného v snahe dostať späť svoje zablokované resp. odcudzené dáta.
V dôsledku čoraz viac sa vyskytujúcej problematiky ransomware ako služby ide pritom mnohokrát o náhodné obete, ktoré sami seba považujú za nezaujímavý cieľ. Príčinou úspešnosti útočníkov je potom spravidla nedostatočná politika heslovania zamestnaneckých prístupov prípadne klasicky phishing (Forbes, Cybersecurity in 2022 – A Fresh Look at Some Very Alarming Stats).
Ako sa na toto pozerá platná legislatíva? Do akej miery sa momentom zaplatenia výkupného v tomto bode nepríjemná situácia skončila? Hrozia spoločnosti ďalšie, prípadne iné dopady súvisiace s útokom? V tomto článku sme pre vás pripravili súhrn dôsledkov v rovine platby výkupného.
Kľúčovým aspektom je si uvedomiť, že úhrada požadovanej sumy výkupného znamená vyjsť v ústrety osobe útočníka páchajúcemu trestnú činnosť. To, že je potrebné v rámci rozhodovacieho procesu konať rýchlo odôvodňuje najmä predpoklad, že je to jediná cesta ako minimalizovať riziko plynúce zo skutočnosti, že dáta sú v dispozičnej sfére útočníka.
Úhrada tejto sumy pritom spravidla nemusí ešte znamenať, že sa k dátam spoločnosť naozaj dostane, aj keď v prípade vysokej sumy výkupného je to možné do veľkej miery predpokladať (nedodržaním podmienok nastaveného výkupného by samotný útočník stratil dôveryhodnosť voči obetiam do budúcna) zaručené to však nikdy nie je.
Z pohľadu Slovenskej právnej úpravy by sa na prvý pohľad mohlo zdať, že rovina úhrady výkupného nie je zákonom vyslovene riešená. Zákon č. 69/2018 Z. z. o kybernetickej bezpečnosti a o zmene a doplnení niektorých zákonov vymedzuje predpoklady správneho nastavenia mechanizmov v rámci politiky zabezpečenia údajov a sietí výlučne obmedzenej skupiny povinných subjektov (v zmysle aktuálnej právnej úpravy tak hovoríme výlučne o PZS resp. PDS), pričom vytvára ideálny právny rámec predpokladov aby k podobnej situácii nedochádzalo, resp. obsahuje obligačné kritéria reakcie na incident. Vo svojej podstate sa morálnou rovinou otázky platiť či neplatiť bližšie nezaoberá. Zameriava sa teda skôr na prevenciu a celkovú operatívu riešenia problému ako takého pri jeho vzniku a riešenie jeho následkov (povinnosť reportingu).
Hoci v rámci pripravovanej novely právnej úpravy na úrovni Európskej Únie (NIS 2) možno očakávať do budúcna rozšírenie týchto povinností, nie len vo vzťahu k povinným subjektom, ale aj v rozsahu obsahových kritérií a zodpovednostných vzťahov v rámci nich, otázka samotného riešenia otázky ohľadom úhrady požadovanej sumy na účet útočníka ostáva naďalej otvorená.
Obete takýchto útočníkov, ale aj zainteresované spolupracujúce inštitúcie a poradcovia by mali zvážiť okolnosti súvisiace s realizáciou tejto transakcie z pohľadu otázky prania špinavých peňazí a široko koncipovaných skutkových podstát v zmysle úpravy zákona č. 297/2008 Z. z. o ochrane pred legalizáciou príjmov z trestnej činnosti a o ochrane pred financovaním terorizmu a o zmene a doplnení niektorých zákonov. Vymáhanie úhrady spätne je totiž nie len vysoko pravdepodobne snahou odsúdenou na neúspech, no pri nedodržaní reportingových povinností môže u povinnej osoby viesť nie len k hrozbe verejnoprávnej sankcie v podobe pokút až do výšky 1 000 000 EUR.
A aj keď by sa na prvý pohľad mohlo zdať, že úhrada požadovanej sumy zdanlivo za určitých veľmi špecifických okolností, napĺňa aj trestnoprávne aspekty trestného činu (napr. skutkovej podstaty financovania terorizmu – § Kto sám alebo prostredníctvom iného zhromažďuje alebo poskytuje priamo alebo nepriamo veci, finančné prostriedky alebo iné prostriedky pre páchateľa terorizmu, pre teroristickú skupinu, jej člena, alebo na spáchanie niektorého z trestných činov terorizmu, alebo zhromažďuje veci, finančné prostriedky alebo iné prostriedky v úmysle, aby ich bolo možné takto použiť, alebo s vedomím, že na taký účel môžu byť použité, potrestá sa.) je potrebné povedať aj b) a teda, že z titulu nedostatočných informácií o osobe páchateľa jeho motívu a celkových okolností daného prípadu by subjekt, ktorý takúto platbu realizuje/uhrádza z pohľadu slovenskej právnej úpravy nemal byť za svoj skutok trestnoprávne zodpovedný z titulu konania v okolnostiach vylučujúcich protiprávnosť takéhoto činu (bližšie pozri tiež: okolnosti krajnej núdze – § 24 trestného zákona, ktorý znie: čin inak trestný, ktorým niekto odvracia nebezpečenstvo priamo hroziace záujmu chránenému týmto zákonom, nie je trestným činom). Jeho oznamovacia povinnosť vo vzťahu k trestnej činnosti páchateľa však ostáva zachovaná.
Záverom preto možno zhrnúť, že hoci slovenská právna úprava neupravuje sankčný predpoklad pre rokovanie s útočníkmi, jeho úhrada zároveň bez ďalšieho neposkytuje záruku, že sa útok a táto situácia ako celok nezopakuje, resp. že sa aktuálna situácia skutočne vyrieši. Prax teda dokazuje, že vo väčšine prípadov je základ vždy prevencia, správne nastavenie politík a vnútornej štruktúry riadenia rizík organizácie. Pretože jedine takýto prístup môže v budúcnosti napomôcť zamedzeniu šírenia tohto typu útokov.
Likvidácia spoločnosti | Registrované sídlo firmy | Zabezpečenie zmien v obchodných spoločnostiach | Založenie a registrácia spoločnosti | Ochrana osobných údajov (GDPR) | Právo duševného vlastníctva | Obchodné právo | Outsourcing správy a vymáhania pohľadávok pre firmy | Pracovnoprávne poradenstvo | Právne due diligence | Právne poradenstvo v oblasti nehnuteľností | Právne služby pri konkurze a reštrukturalizácií | Súdne spory | Trestné a rodinné právo | Správne a daňové právo