Într-o perioadă marcată de avansuri tehnologice rapide și de o creștere constantă a riscurilor cibernetice, protecția datelor și reglementările aferente devin teme din ce în ce mai relevante în România. Cum rezonează sistemul juridic cu aceste noi provocări? Care este viitorul avocaților specializați în domenii emergente, precum securitatea cibernetică și protecția datelor? Mihai Lemnaru, partener în cadrul firmei de avocatură Albu Morar, a oferit câteva răspunsuri în cadrul unui interviu în exclusivitate pentru legalmarketing.ro.
Care sunt pașii legali pentru a obține despăgubiri de la furnizorii de servicii de securitate cibernetică sau asiguratori în urma unui atac informatic? În câte cazuri din 10 se obțin în instanță astfel de despăgubiri?
Primul pas pe care trebuie să îl realizăm când ne confruntăm cu un atac cibernetic este să documentăm respectivul incident cu scopul de a înțelege asupra căror sisteme și date a impactat. Acest demers se întreprinde prin solicitarea, de îndată, de servicii de consultanță de specialitate din partea unor profesioniști în IT.
16 aprilie - Maratonul de Educație Financiară
Cu toate acestea, identificarea și contractarea unor astfel de specialiști după momentul în care conștientizăm că suntem victima unui atac cibernetic ar putea avea un caracter tardiv căci, cel mai probabil, atacatorii au obținut deja ceea ce își propuseseră.
Ideal ar fi să existe la nivelul companiei o procedură foarte bine pusă la punct pentru astfel de situații. Concret, celula de criză formată din mai mulți profesioniști, inclusiv din domeniul dreptului, ar trebui să se activeze la primele indicii despre un potențial atac cibernetic pentru a lua toate măsurile necesare pentru a limia efectele devastatoare asupra sistemelor companiei și a bazelor de date.
Pentru o mai bună înțelegere, redăm un exemplu recent din practica noastră.
Astfel, am făcut parte dintr-o celulă de criză activată în timpul unui atac cibernetic de tip DDoS. Atacul DDoS (distributed denial of service) presupune generarea unui flux imens de trafic către serverul pe care își ține datele respectiva companie cu scopul de a îi bloca activitatea. Scopul? Acela de a solicta un ransom (răscumpărare) de la companie în schimbul opririi actacului.
Ca prim pas, s-a recomandat dezactivarea execuției automate a scripturilor pe platforma respectivă pentru o deblocare temporară de care am avut nevoie pentru instalarea unei aplicații de tip SIEM (Security Incident and Event Management). Aceasta a permis, ulterior, stocarea de informații ce au contribuit, în mod decisiv, la identificarea atacatorilor. A fost un proces complex, însă am avut un punct de plecare vital.
Am prezentat acest exemplu tocmai pentru a sublinia că înainte de a ne gândi la banii pe care urmează să îi primim de la asigurător, scopul nostru ar trebui să fie acela de minimizare a efectelor pe care atacul cibernetic respectiv le are asupra companiei.
De asemenea, este importantă urmărirea cu rigurozitate a acestor pași tocmai pentru ca asiguratorul să nu ne poată imputa că am fi putut întreprinde și alte demersuri care ar fi limitat cuantumul prejudiciului căci, într-o atare situație, vor exista argumente în favoarea limitării și a cuantumului despăgubirilor.
Referitor la întrebarea „În câte cazuri din 10 se obțin în instanță astfel de despăgubiri?” nu putem oferi un răspuns cert căci, astfel cum am explicat mai sus, atât primirea despăgubirilor, cât și cuantumul acestora, depind foarte multe de modul în care compania a gestionat incidentul cibernetic.
Bineînțeles, este important de văzut și conținutul contractului de asigurare încheiat, deoarece pot exista foarte multe disclaimere ale asiguratorului pe care acesta, ulterior, să își întemeieze poziția.
Cum evoluează numărul cazurilor de încălcare a confidențialității datelor care ajung în justiție în România? Este în creștere?
Există o tendință de creștere a cazurilor de încălcare a confidențialității datelor care ajung în justiție în România. Aceasta este alimentată de creșterea gradului de conștientizare a drepturilor utilizatorilor și de aplicarea mai strictă a regulilor GDPR.
De asemenea, trendul acesta ascendent este perfect justificat de faptul că activitatea tuturor companiilor a început să se desfășoare preponderent în mediul online.
Astfel, pe lângă efectele evident pozitive ale acestei abordări, se regăsesc și aceste riscuri de leak-uri de informații care se traduc prin încălcări ale GDPR.
Cum evoluează numărul sancțiunilor adoptate de judecători pentru infracțiuni cibernetice? Câte astfel de cazuri aveți în medie pe lună?
Potrivit unei statistici a Inspectoratului General al Poliției Române, la începutul anului 2022, aveam un număr de 21.245 de dosare penale deschise în urma unor atacuri cibernetice, care s-au împărțit, nu în mod egal, la 63 de polițiști.
Important de subliniat este că respectivii domni, pe lângă aceste dosare, mai investigau și furturi, tâlhării și alte infracțiuni, deci nu aveau o competență exclusivă pe infracțiuni informatice.
Consecința? Procentajul de identificare a făptuitorilor și de trimitere în judecată a fost de 0.63%.
Sigur, vorbim despre anul 2022, însă, din interacțiunea constantă pe care o avem pe astfel de spețe cu organele judiciare, observăm că îmbunătățirile la nivelul sistemului nu s-au realizat și nu se realizează cu frecvența necesară pentru a putea ține pasul cu modalitatea în care evoluează fenomenul de cyber crime.
De asemenea, nu există nici judecători care să fie specializați în astfel de dosare. Concret, un judecător care ar prelua sarcina de a oferi o decizie într-o speță privind un atac cibernetic mai are înregistrate pe rolul său și dosare având ca obiect tâlhării, furturi, violuri etc.
Prin urmare, este foarte important ca noi, avocații, alături de reprezentanții Ministerului Public, să prezentăm cazul într-o manieră cât mai clară și cât mai ușor de înțeles, astfel încât judecătorul să se poate familiariza cu problema asupra căruia este desemnat să se pronunțe.
În concluzie, este imposibil să oferim o statistică a situației actuale a cazuisticii pe acest subiect, dar, prin raportare la numărul în creștere a acestor infracțiuni, în mod evident, s-a înregistrat și o creștere a numărului de sancțiuni aplicate celor responsabili de atacuri cibernetice.
Cum percepeți piața de avocatură din România în prezent și ce tendințe credeți că vor influența dezvoltarea acesteia în următorii 5-10 ani?
Piața de avocatură din România se află într-o continuă adaptare la schimbările legislative și la digitalizare. Avocații specializați în domeniul tehnologiilor emergente, în special în securitatea cibernetică și protecția datelor, sunt foarte căutați.
Tendințele viitoare includ creșterea cererii pentru servicii juridice inovaționale, consultanță pentru conformitate GDPR și dezvoltarea unui sistem juridic mai eficient prin digitalizare.
Cum credeți că va evolua piața de avocatură în România pe termen mediu, având în vedere digitalizarea și schimbările economice și legislative?
Digitalizarea va continua să influențeze piața în care activăm, de aceea va fi nevoie ca avocații să se familiarizeze cu instrumentele și platformele digitale.
Schimbările legislative, în special în domeniul protecției datelor și al reglementărilor privind securitatea cibernetică, vor impune transformări în modul de furnizare a serviciilor juridice.
Colaborările interdisciplinare vor deveni tot mai comune, avocații lucrând alături de experți IT pentru a aborda provocările emergente din mediul digital.
Un material Legal Marketing
