Dlaczego przedsiębiorstwa nie zgłaszają cyberprzestępstw organom ścigania

Organy ścigania szacują w milionach przypadki cyberprzestępstw, które nie są zgłaszane przez przedsiębiorstwa. Dlaczego i kiedy należy zgłaszać naruszenia i inne ataki cybernetyczne?

FOTO: Gratisography

Przedsiębiorstwa są często zmuszone do zgłaszania organom regulacyjnym przypadków naruszenia ich bezpieczeństwa, w tym bezpieczeństwa danych. RODO w Europie, obowiązki wynikające z ustawy z 1996 r. (HIPAA) w Stanach Zjednoczonych lub ustawy o ochronie danych osobowych i dokumentów elektronicznych (PIPEDA) w Kanadzie.

Nie ma jednak przymusu zgłaszania cyberprzestępstw organom ścigania, co prowadzi do luki pomiędzy liczbą faktycznych incydentów a liczbą zgłoszonych ataków. Niezgłoszone incydenty utrudniają z kolei uzasadnienie przydzielania zasobów jednostkom zajmującym się cyberprzestępczością, co ogranicza możliwości walki z nią.

Przestępstwa w ciszy

Organy ścigania na całym świecie rzadko dysponują danymi o ilości popełnianych cyberprzestępstw. W Wielkiej Brytanii, różnica między rocznym badaniem przestępczości przeprowadzonym przez Office of National Statistics a liczbą przestępstw zgłoszonych do Action Fraud, brytyjskiego krajowego centrum zgłaszania nadużyć finansowych i cyberprzestępczości, sięgała w ostatnich latach milionów incydentów rocznie.

W raporcie Barclays i Institute of Directors z 2016 r. stwierdzono, że tylko 28% ataków cybernetycznych na przedsiębiorstwa w Wielkiej Brytanii zostało zgłoszonych policji.

W Stanach Zjednoczonych, Wewnętrzne Centrum Zgłaszania Przestępczości FBI (IC3) ujawnia, że w 2018 r. zgłoszono do niego nieco ponad 350 000 przypadków cyberprzestępstw, ale jednocześnie

IC3 szacuje, że tylko 15% ofiar zgłasza przestępstwa organom ścigania.

„W przypadku przestępstwa fizycznego, pierwszym organem, do którego dzwonisz, jest policja. Czy w świecie cyberprzestrzeni jest podobnie? Jesteśmy pierwszym bezpiecznym portem, czy ostatnią deską ratunku?" - mówił Ian Dyson, komisarz City of London Police, podczas konferencji Cyber Trends w maju 2019 w londyńskim Mansion House.

Głównym powodem tej rozbieżności jest fakt, że

wiele firm zadaje sobie proste pytanie: „po co?"
Identyfikacja sprawców zagrożeń, zwłaszcza gdy ataki pochodzą z zagranicy, jest trudna. Organy ścigania prawdopodobnie nie pomogą w przywróceniu działania anie nie zapobiegną przekazaniu dalej skradzionych danych. O ile zespół ds. odzyskiwania mienia FBI (RAT) twierdzi, że stopa odzyskiwania mienia jest wysoka, o tyle odzyskanie pieniędzy może być trudne, chyba że podejmie szybkie działania. "Cel, jaki ma firma, gdy dochodzi do naruszenia jej danych, to zapobieżenie dalszemu wyciekowi, uzupełnienie wszelkich braków wewnętrznych, zapewnienie, że problem się nie powtórzy oraz spełnienie obowiązku prawnego powiadamiania stron poszkodowanych i organów regulacyjnych" - mówi C. Andrew Konia, partner ds. bezpieczeństwa danych w kancelarii McGuireWoods. W interesie FBI zaś jest zidentyfikowanie, wytropienie i ściganie sprawcy oraz postawienie go przed sądem. "Myślę, że firmy często uważają, że byłoby wspaniale dorwać przestępcę, którzy to zrobił, ale czyn został popełniony i trzeba się z tym faktem pogodzić. Hakerzy są trudni do znalezienia, a ty masz wystarczająco dużo na głowie w związku z naruszeniem danych i to bez angażowania organów ścigania, aby marnować czas na szukanie kogoś, kto pewnie znaleziony nie zostanie nigdy. Ponadto nie ma prawnego wymogu zgłaszania takich incydentów" - dodaje C. Andrew Konia.

Śledztwo to kłopoty

Statystyki identyfikacji sprawcy i skutecznego ścigania również zniechęcają. Według National Crime Agency (NCA), w Wielkiej Brytanii dokonuje się średnio jednego aresztowania dziennie w związku z cyberprzestępczością, ale większość z nich to przypadki ataków na niskim poziomie dokonywanych przez amatorów, nie dotyczą profesjonalnych grup stojące za poważnymi lub zakrojonymi na szeroką skalę kampaniami cyberprzestępczymi. Wykrywane i zakończone ujęciem przestępcy przypadki często nie uzasadniają czasu i kosztów zaangażowania organów ścigania - dlatego firmy dochodzą do wniosku, że lepiej jest poprzestać na działaniach wewnętrznych.

Firmy mogą także obawiać się, że zaangażowanie służb i prowadzone przez nie śledztwo jeszcze bardziej zakłóci działalność biznesową. „Sądzi się, że FBI lub Secret Service mogą wejść do firmy i spróbować przejąć wewnętrzne dochodzenie. Choć według organów ścigania to nieprawda: one są znalezieniem sprawcy a nie przejmowaniem wewnętrznego dochodzenia" - mówi C. Andrew Konia. Podczas wystąpienia na konferencji Cyber Security and Cloud Expo w maju br., Ben Russell, szef komórki cyber-zagrożeń w brytyjskim NCA zapewniał, że

policja "nie odgradza taśmą policyjną ani nie parkuje radiowozów przed firmami, które padły ofiarą ataków cybernetycznych"
i przekonuje, że dochodzenia rzadko wpływają na działalność biznesową. Jeśli w incydenty zaangażowane są osoby z samej firmy, mówi Steven Richards, partner w grupie ds. rozstrzygania sporów brytyjskiej firmy prawniczej Foot Anstey, firmy mogą uznać, że bardziej korzystne będzie niezgłoszenie tego faktu.

Ponieważ priorytetem jest raczej odzyskanie wszelkich skradzionych środków lub informacji niż wysłanie sprawcy do więzienia, firmy będą wolały trzymać się z dala od sądów karnych i wybierać postępowanie przed sądami cywilnymi. Firmy mogą także równolegle prowadzić postępowania cywilne i karne, ale sądy zazwyczaj przyznają pierwszeństwo zarzutom karnym, zaś toczące się postępowanie karne jest warunkiem próby odzyskania strat przez organizację.

Zła prasa i sankcje regulatora?

Firmy nie zgłaszają incydentów także z obawy, że zgłoszenie doprowadzi do powszechnego ujawnienia incydentu i wpłynie na jej wizerunek. "Organizacje obawiają się o reputację, ale jest to błędna kalkulacja. Publiczne ujawnienie miałoby miejsce dopiero w sądzie znacznie później, po opanowaniu skutków ataku" - powiedział Ben Russell z NCA.

Biorąc pod uwagę fakt, że cyberataki często trafiają na nagłówki gazet niezależnie od tego, czy firma przyznała, że doszło do incydentu, ich zgłaszanie organom ścigania jest najmniej prawdopodobną drogą wycieku informacji. W rzeczywistości naruszenie jest przedstawiane w sądzie publicznie przez organy ścigania o ile jeśli sprawcy zostaną złapani i oskarżeni i ma to miejsce po upływie miesięcy a nawet lat, czyli długo po tym, jak sprawa zostanie załatwiona przez organizację.

Ofiara pod ochroną

Firmy, które mają obowiązek zgłaszania incydentów organom regulacyjnym, mogą obawiać się, że organy ścigania doniosą tym ostatnim na przedsiębiorstwo, które nie wywiązało się z tego obowiązku lub opóźniło się. Jednak brytyjskie Narodowe Centrum Bezpieczeństwa Cyberprzestrzeni obiecało, że nie będzie udostępniać regulatorowi zgłoszeń bez uzyskania zgody organizacji poszkodowanej - podobnych zapewnień udzieliło NCA. Podobnie w USA dyrektor FBI Christopher Wray obiecał w zeszłym roku, że jego agencja będzie "traktować firmy poszkodowane jako ofiary przestępstwa", a dzielenie się informacjami dostarczanymi przez firmy z innymi agencjami nie jest obowiązkiem FBI.

W przypadku takich incydentów jak ransomware, niektóre firmy mogą nie stosować się do zaleceń organów ścigania i płacić okup. Badanie przeprowadzone przez AppRiver sugeruje, że

ponad połowa małych i średnich przedsiębiorstw byłaby skłonna zapłacić w przypadku ataku z użyciem ransomware.
Badanie SentinalOne z 2017 r. wykazało z kolei, że tylko 54% firm, które ucierpiały na skutek ataku ransomware w ciągu ostatnich 12 miesięcy, zgłosiło ten incydent organom ścigania. O ile firma znajduje się w trudnym położeniu z moralnego punktu widzenia zachęcając przestępców do działania na skutek wypłacenia im okupu, mało prawdopodobne jest, aby groziła jej kara za zapłacenie, a następnie zgłoszenie tego faktu organom ścigania.

Korzyści ze zgłaszania cyberprzestępstw

O ile zgłoszenie przestępstwa nie pomoże w naprawieniu szkód z pojedynczego incydentu, w którym ucierpiała firma, o tyle jest ono korzystne w dłuższej perspektywie czasowej. Jak pokazała niedawna likwidacja siatki przestępczej GozNym, organy ścigania często współpracują z zagranicznymi odpowiednikami przy zwalczaniu zorganizowanych gangów cyberprzestępców, co może pomóc zmniejszyć liczbę ataków także i na twoja firmę. „Korzystanie z wiedzy ekspertów służb może pomóc w dochodzeniu wewnętrznym firmy. Wiem, że ci klienci, którzy za naszą namową kontaktowali się z organami ścigania, w szczególności z FBI, otrzymali bardzo ciekawe informacje, pomoc i wiedzę" - mówi C. Andrew Konia.

Służby mają spore możliwości. Mogą zmusić do ujawnienia danych dostawcy usług internetowych. Mogą współpracować z zagranicznymi odpowiednikami. W niektórych przypadkach mogą być w stanie uzyskać wydłużenie terminów sprawozdawczości.

Firmy zgłaszające się do organów ścigania mogą pomóc w dostarczaniu informacji na potrzeby wymiany informacji wywiadowczych, takich jak Infraguard FBI lub program CiSP NCSC. Biorąc pod uwagę, że wiele poszkodowanych przedsiębiorstw bywa tylko jedną spośród wielu ofiar, z których wszystkie będą gromadzić różne ilości i rodzaje danych związanych z atakami, atak na jedno przedsiębiorstwo może przynieść wskazówki dotyczące innych incydentów. Organy ścigania będą mogły wykorzystać je w swoich dochodzeniach. Zgłaszanie bywa nie tylko pomocne ale czasami konieczne z punktu widzenia ubezpieczenia, ponieważ ubezpieczyciele będą chcieli upewnić się, że faktycznie doszło do cyber-przestępstwa i uzyskać numer sprawy po otrzymaniu roszczenia odszkodowawczego.

Zgłaszać czy nie zgłaszać?

O ile zarówno Konia, jak i Richards wahaniem odpowiadają na pytanie, czy zawsze doradzają firmom kontakt z policją lub innymi służbami, to obaj przyznają, że może to być pomocne. "Ogólnie rzecz biorąc, jestem za zgłaszaniem; myślę, że może to pomóc klientowi. Nigdy nie wiadomo, kiedy jakiś ślad lub incydent, który może wydawać się bez znaczenia mogą okazać się użyteczne" - mówi C. Andrew Konia.

„Istnieje różnica między stwierdzeniem "czy powinniśmy to zgłosić" oraz "czy odniesiemy rzeczywiste korzyści ze zgłoszenia tego policji”. To są dwa różne pytania.

Jeśli mamy do czynienia z prywatnym oszustwem i wiemy, kto jest oszustem, to nie sądzę, aby były to sprawy, które warto zgłosić policji w pierwszej kolejności. Natomiast gdy sprawca cyberprzestępstwa jest nieznany lub jest to złożone międzynarodowe oszustwo na dużą skalę, wtedy zawsze powinieneś zaangażować w to policję”
- mówi Ben Richards.

Decyzja o zgłoszeniu incydentu musi uwzględniać charakter incydentu, zakres szkody rzeczywistej lub potencjalnej, to, czy incydent jest na tyle znaczący, że organy ścigania faktycznie będą go ścigać, to, w jaki sposób zaangażowanie organów ścigania wpłynie na działalność firmy pod względem kosztów i zasobów oraz korzyści dla działalności gospodarczej wynikające z pomyślnego wyniku sprawy.