Jak wynika z danych zawartych w badaniu KPMG „Barometr bezpieczeństwa”, w 2024 roku aż 83% organizacji w Polsce odnotowało co najmniej jedną próbę cyberataku – to aż o 16 punktów procentowych więcej niż rok wcześniej. Mimo rosnącej skali zagrożeń wiele przedsiębiorstw wciąż nie ma opracowanych skutecznych procedur reagowania na incydenty, co naraża je na poważne konsekwencje prawne i wizerunkowe. Co zrobić, gdy dojdzie do ataku? Jakie działania podjąć i jakich błędów unikać przy zgłoszeniu naruszenia do UODO, by nie narazić się na kary finansowe?

Cyberatak w firmie – na jakie zagrożenia narażone są organizacje?

Cyberataki stanowią poważne zagrożenie dla organizacji, niezależnie od ich wielkości i branży. Każdy z tego typu incydentów wiąże się zarówno z ogromnymi stratami finansowymi, jak i ryzykiem utraty zaufania wśród partnerów biznesowych czy klientów indywidualnych. Najczęstsze formy ataków to:

  • ransomware, czyli szkodliwe oprogramowanie wykorzystywane do szyfrowania danych. Celem takiego ataku jest przede wszystkim wymuszenie okupu w zamian za odzyskanie zaszyfrowanych danych;
  • ataki phishingowe, które polegają na nakłanianiu ofiary do podjęcia z góry określonych działań, np. kliknięcia w podejrzany link czy pobrania dokumentu. Może to prowadzić do próby wyłudzenia danych poprzez podszywanie się pod zaufane źródła;
  • ataki DDoS (ang. Denial of Service), które polegają na wysyłaniu dużej liczby danych, specjalnych zapytań oraz informacji z tysięcy komputerów z całego świata. Ma to na celu przeciążenie systemów, co skutkuje niedostępnością usług online;
  • The Inside Attack, który wiąże się z atakiem wewnątrz organizacji, np. w sytuacji, gdy pracownik odchodzący z organizacji jest z nią w konflikcie.

Gdzie i komu należy zgłosić incydent?

W przypadku wykrycia cyberataku lub podejrzenia incydentu bezpieczeństwa w organizacji należy w pierwszej kolejności poinformować osobę odpowiedzialną za cyberbezpieczeństwo w organizacji, np. administratora systemów IT lub inspektora ochrony danych. Następnie należy zgłosić incydent do odpowiednich służb, w tym Policji )osobiście lub elektronicznie, za pośrednictwem platformy ePUAP) oraz Centralnego Biura Zwalczania Cyberprzestępczości.

Równolegle warto przekazać informacje do jednego z zespołów reagowania na incydenty bezpieczeństwa komputerowego (CSIRT). W Polsce działają m.in.:

  • CERT Polska – zespół reagowania na poziomie krajowym;
  • CSIRT GOV – obsługujący administrację rządową;
  • CSIRT MON – dedykowany infrastrukturze wojskowej.

Zgłoszenia do CERT Polska można dokonać poprzez formularz online dostępny na stronie lub drogą mailową. Jeśli cyberatak dotyczy danych finansowych lub kradzieży środków, należy także jak najszybciej skontaktować się z bankiem lub inną instytucją finansową.

Procedura zgłaszania cyberataku – o czym należy wiedzieć?

W przypadku cyberataku lub podejrzenia incydentu bezpieczeństwa w organizacji szczególnie ważna jest szybka reakcja i odpowiednia procedura zgłoszenia, która obejmuje następujące kroki:

  • Identyfikacja incydentu – należy ustalić, czy faktycznie doszło do naruszenia bezpieczeństwa, np. nieautoryzowanego dostępu, złośliwego oprogramowania (np. ransomware), wycieku danych osobowych czy zakłócenia pracy systemów informatycznych. Nawet jeśli sytuacja nie jest w pełni potwierdzona, warto działać prewencyjnie i traktować ją poważnie;
  • przekazanie informacji do wewnętrznych struktur organizacji, zwłaszcza osób odpowiedzialnych za cyberbezpieczeństwo. W razie potrzeby warto powołać zespół kryzysowy, który będzie koordynował działania wewnątrz organizacji;
  • zabezpieczenie śladów ataku, w tym kopii zapasowych, logów systemowych oraz zrzutów ekranu. Ważne, aby nie modyfikować oryginalnych danych, a jedynie je archiwizować. Jeśli jest to możliwe, należy również odizolować zainfekowane urządzenia lub systemy od sieci, by ograniczyć dalsze rozprzestrzenianie się zagrożenia;
  • zgłoszenie incydentu do odpowiednich służb i instytucji – w zgłoszeniu należy dokładnie opisać, co się wydarzyło, kiedy i w jakich systemach, jakie skutki wywołał incydent oraz jakie działania zostały już podjęte. Konieczne jest także podanie danych kontaktowych osoby zgłaszającej oraz informacji o prawnie chronionych tajemnicach, które mają znaczenie dla analizy sytuacji. Warto podkreślić, że wszystkie zgłoszenia są traktowane jako poufne i nie są udostępniane innym podmiotom bez zgody zgłaszającego;
  • zgłoszenie naruszenia do UODO (jeśli doszło do wycieku danych osobowych) – zgodnie z przepisami RODO administrator danych ma na to maksymalnie 72 godziny od momentu stwierdzenia naruszenia. W zgłoszeniu do UODO należy uwzględnić m.in. charakter naruszenia, zakres i kategorię ujawnionych danych, liczbę osób, których dotyczy zdarzenie, możliwe konsekwencje oraz działania naprawcze podjęte przez organizację;
  • współpraca z instytucjami reagującymi – należy na bieżąco raportować wszelkie nowe informacje dotyczące incydentu do odpowiednich zespołów, takich jak CSIRT (np. CERT Polska), a także odpowiadać na ich pytania czy prośby o uzupełnienie danych;
  • wdrożenie działań naprawczych i zapobiegawczych – po opanowaniu sytuacji konieczne jest usunięcie skutków ataku oraz przywrócenie sprawności systemów. Równocześnie warto przeprowadzić analizę przyczyn incydentu i wdrożyć odpowiednie środki zapobiegawcze, np. aktualizacje systemów, zmiany w polityce bezpieczeństwa czy dodatkowe szkolenia dla pracowników.

Błędy przy zgłoszeniu naruszenia danych – za co UODO może nałożyć karę?

Urząd Ochrony Danych Osobowych (UODO) ma prawo nakładać kary finansowe na przedsiębiorstwa, które nieprawidłowo reagują na incydenty naruszenia ochrony danych osobowych. Do najczęstszych błędów, które mogą skutkować sankcjami, należą:

  • przekroczenie terminu zgłoszenia (zgłoszenie powinno nastąpić niezwłocznie, nie później niż w ciągu 72 godzin od wykrycia naruszenia);
  • brak pełnych i rzetelnych informacji w zgłoszeniu;
  • niepoinformowanie osób, których dotyczy naruszenie ochrony danych osobowych, zwłaszcza istnieje wysokie ryzyko naruszenia ich praw i wolności.

UODO zwraca też uwagę na brak odpowiednich procedur i środków technicznych oraz organizacyjnych zabezpieczających dane, co może skutkować nałożeniem sankcji finansowych.

W dzisiejszych czasach cyberataki to realne zagrożenie dla każdego polskiego przedsiębiorstwa, niezależnie od branży czy wielkości. Z tego powodu tak ważne jest, by wiedzieć, jak szybko i właściwie reagować, by zminimalizować straty oraz uniknąć poważnych konsekwencji prawnych czy finansowych.