Кібератака: як бізнесу не постраждати двічі

04 липня 2023 337 IT комiтет
Петро Білик

Chief Innovation Officer at Juscutum

«Українцю наразі легше скачати застосунок та проінвестувати іноземну компанію, ніж вкластися у вітчизняний стартап»: як потроху оживають внутрішні інвестори
Та які програми допомагають підприємцям не виводити гроші за кордон, а реінвестувати їх в український бізнес.

Окрім втрати інтелектуальної власності чи даних клієнтів, можна щонайменше постраждати ще й від штрафів за невиконання вимог щодо захисту даних.
Хакерські атаки на бізнес стають дедалі більш поширеними. Компанії повинні бути готові реагувати на кіберінциденти якомога швидше та ефективніше.

Статтею 21 ЗУ "Про захист персональних даних" передбачено повідомлення суб’єкта персональних даних протягом 10 робочих днів у разі:

  • передачі персональних даних третій особі (наприклад, хакерам);
  • зміни, видалення чи знищення персональних даних або обмеження доступу до них.

Окрім того, компанії зобов'язані забезпечити захист персональних даних від випадкових втрати або знищення, від незаконної обробки, зокрема незаконного знищення чи доступу до персональних даних (стаття 24 ЗУ "Про захист персональних даних").

За порушення законодавства передбачена:

  • адміністративна відповідальність від 5100 грн до 34000 грн (ст. 188-39 Кодексу України про адміністративні правопорушення);
  • кримінальна відповідальність до 3 років обмеження волі (ст. 182 Кримінального кодексу України).

Також може бути поданий позов до компанії про відшкодування завданих збитків.

Тому, у разі хакерської атаки, що призвела до витоку персональних даних, раджу звернути увагу на кримінально-правовий напрямок, що допоможе мінімізувати шкідливі наслідки. Сьогодні кримінальну відповідальність встановлено ст. 361 та 361-2 Кримінального Кодексу України. Першочергово слід задокументувати обставини несанкціонованого втручання, збуту або розповсюдження такої інформації, які потім детально викласти у заяві. Звертатись із нею краще одразу до Департаменту кіберполіції Національної поліції України.

Оскільки майже завжди несанкціоноване втручання пов’язане з чималими матеріальними збитками бізнесу, варто глянути й у бік цивільного позову. Якщо встановлено особу, яка скоїла правопорушення (що, на жаль, у таких категоріях злочинів вдається не завжди).

Втім, неподання цивільного позову у кримінальному провадженні не позбавляє потерпілого права подати позовну заяву в порядку цивільного судочинства. В такому разі кримінальна і цивільна справи розглядатимуться судами окремо (з великою ймовірністю припинення слухання цивільної справи до винесення рішення судом щодо кримінальної справи). Такий механізм допоможе стягнути компенсацію заподіяної кібератакою шкоди в рамках кримінального провадження або ж окремо в порядку цивільного судочинства після набуття чинності обвинувальним вироком суду.