Zažila vaša spoločnosť kybernetický útok? Reakcia naň je nevyhnutná, ide o trestnú činnosť

V rámci kybernetickej bezpečnosti a problematiky okolo ransomware sa preto často stretávame nie len s tým, že napadnutá organizácia nebola pripravená čeliť takémuto útoku z pohľadu technického zabezpečenia a následnej potreby nevyhnutnej reakcie, ale aj s faktom, že spoločnosť ako taká sa ocitá tvárou tvár problému ohľadom platby výkupného v snahe dostať späť svoje zablokované resp. odcudzené dáta.

V dôsledku čoraz viac sa vyskytujúcej problematiky ransomware ako služby ide pritom mnohokrát o náhodné obete, ktoré sami seba považujú za nezaujímavý cieľ. Príčinou úspešnosti útočníkov je potom  spravidla nedostatočná politika heslovania zamestnaneckých prístupov prípadne klasicky phishing (Forbes, Cybersecurity in 2022 – A Fresh Look at Some Very Alarming Stats).

Ako sa na toto pozerá platná legislatíva? Do akej miery sa momentom zaplatenia výkupného v tomto bode nepríjemná situácia skončila? Hrozia spoločnosti ďalšie, prípadne iné dopady súvisiace s útokom? V tomto článku sme pre vás pripravili súhrn dôsledkov v rovine platby výkupného.

Kľúčovým aspektom je si uvedomiť, že úhrada požadovanej sumy výkupného znamená vyjsť v ústrety osobe útočníka páchajúcemu trestnú činnosť. To, že je potrebné v rámci rozhodovacieho procesu konať rýchlo odôvodňuje najmä predpoklad, že je to jediná cesta ako minimalizovať riziko plynúce zo skutočnosti, že dáta sú v dispozičnej sfére útočníka.

Úhrada tejto sumy pritom spravidla nemusí ešte znamenať, že sa k dátam spoločnosť naozaj dostane, aj keď v prípade vysokej sumy výkupného je to možné do veľkej miery predpokladať (nedodržaním podmienok nastaveného výkupného by samotný útočník stratil dôveryhodnosť voči obetiam do budúcna) zaručené to však nikdy nie je.

Zákon o kybernetickej bezpečnosti

Z pohľadu Slovenskej právnej úpravy by sa na prvý pohľad mohlo zdať, že rovina úhrady výkupného nie je zákonom vyslovene riešená. Zákon č. 69/2018 Z. z. o kybernetickej bezpečnosti a o zmene a doplnení niektorých zákonov vymedzuje predpoklady správneho nastavenia mechanizmov v rámci politiky zabezpečenia údajov a sietí výlučne obmedzenej skupiny povinných subjektov (v zmysle aktuálnej právnej úpravy tak hovoríme výlučne o PZS resp. PDS), pričom vytvára ideálny právny rámec predpokladov aby k podobnej situácii nedochádzalo, resp. obsahuje obligačné kritéria reakcie na incident. Vo svojej podstate sa morálnou rovinou otázky platiť či neplatiť bližšie nezaoberá. Zameriava sa teda skôr na prevenciu a celkovú operatívu riešenia problému ako takého pri jeho vzniku a riešenie jeho následkov (povinnosť reportingu).

Hoci v rámci pripravovanej novely právnej úpravy na úrovni Európskej Únie (NIS 2) možno očakávať do budúcna rozšírenie týchto povinností, nie len vo vzťahu k povinným subjektom, ale aj v rozsahu obsahových kritérií a zodpovednostných vzťahov v rámci nich, otázka samotného riešenia otázky ohľadom úhrady požadovanej sumy na účet útočníka ostáva naďalej otvorená.

Legalizácia príjmov z trestnej činnosti

Obete takýchto útočníkov, ale aj zainteresované spolupracujúce inštitúcie a poradcovia by mali zvážiť okolnosti súvisiace s realizáciou tejto transakcie z pohľadu otázky prania špinavých peňazí a široko koncipovaných skutkových podstát v zmysle úpravy zákona č. 297/2008 Z. z. o ochrane pred legalizáciou príjmov z trestnej činnosti a o ochrane pred financovaním terorizmu a o zmene a doplnení niektorých zákonov. Vymáhanie úhrady spätne je totiž nie len vysoko pravdepodobne snahou odsúdenou na neúspech, no pri nedodržaní reportingových povinností môže u povinnej osoby viesť nie len k hrozbe verejnoprávnej sankcie v podobe pokút až do výšky 1 000 000 EUR.

Trestnoprávne dopady financovania terorizmu

A aj keď by sa na prvý pohľad mohlo zdať, že úhrada požadovanej sumy zdanlivo za určitých veľmi špecifických okolností, napĺňa aj trestnoprávne aspekty trestného činu (napr. skutkovej podstaty financovania terorizmu – § Kto sám alebo prostredníctvom iného zhromažďuje alebo poskytuje priamo alebo nepriamo veci, finančné prostriedky alebo iné prostriedky pre páchateľa terorizmu, pre teroristickú skupinu, jej člena, alebo na spáchanie niektorého z trestných činov terorizmu, alebo zhromažďuje veci, finančné prostriedky alebo iné prostriedky v úmysle, aby ich bolo možné takto použiť, alebo s vedomím, že na taký účel môžu byť použité, potrestá sa.) je potrebné povedať aj b) a teda, že z titulu nedostatočných informácií o osobe páchateľa jeho motívu a celkových okolností daného prípadu by subjekt, ktorý takúto platbu realizuje/uhrádza z pohľadu slovenskej právnej úpravy nemal byť za svoj skutok trestnoprávne zodpovedný z titulu konania v okolnostiach vylučujúcich protiprávnosť takéhoto činu (bližšie pozri tiež: okolnosti krajnej núdze – § 24 trestného zákona, ktorý znie: čin inak trestný, ktorým niekto odvracia nebezpečenstvo priamo hroziace záujmu chránenému týmto zákonom, nie je trestným činom). Jeho oznamovacia povinnosť vo vzťahu k trestnej činnosti páchateľa však ostáva zachovaná.

Záverom preto možno zhrnúť, že hoci slovenská právna úprava neupravuje sankčný predpoklad pre rokovanie s útočníkmi, jeho úhrada zároveň bez ďalšieho neposkytuje záruku, že sa útok a táto situácia ako celok nezopakuje, resp. že sa aktuálna situácia skutočne vyrieši. Prax teda dokazuje, že vo väčšine prípadov je základ vždy prevencia, správne nastavenie politík a vnútornej štruktúry riadenia rizík organizácie. Pretože jedine takýto prístup môže v budúcnosti napomôcť zamedzeniu šírenia tohto typu útokov.

Miriama Podskubová, Senior Associate