Cyberbezpieczeństwo
Atak jest przygotowywany miesiącami. Jego kulminacja trwa godziny. Konsekwencje prawne, finansowe i reputacyjne ciągną się latami. NIS2 podnosi stawkę w tej grze. Odpowiadasz nie tylko za to, jak zareagowałeś na incydent, ale za to, czy byłeś na niego gotowy.
Obsługa incydentów cyber i ransomware
Atak właśnie nastąpił. Systemy zaszyfrowane, dane wyciekły, biznes zatrzymał się w miejscu. W ciągu najbliższych godzin musisz podjąć dziesiątki decyzji: czy płacić okup, komu zgłosić incydent i co napisać w zgłoszeniu, co powiedzieć pracownikom, klientom, mediom. Każda z tych decyzji ma również wymiar prawny i każda może do ciebie wrócić, jeśli podejmiesz ją źle.
Masz po swojej stronie zespół, który przeprowadził dziesiątki firm przez incydenty. Prawnicy, eksperci od komunikacji kryzysowej, negocjacji i koordynacji ze służbami. Pracujemy równolegle z twoim IT i forensic, żebyś mógł skupić się na przywracaniu ciągłości swojego biznesu.
W kryzysie cyber czas działa przeciwko tobie. Każda godzina bez wsparcia to decyzja podjęta w ciemno.
Audyt i due diligence cyberbezpieczeństwa
Kupujesz spółkę, wchodzisz w joint venture, wybierasz dostawcę krytycznych usług IT. Potrzebujesz wiedzieć, co tak naprawdę kupujesz. Nie tylko aktywa i przychody, ale też poziom bezpieczeństwa i ekspozycję na ryzyko cyber. Problemy, które znajdziesz, są lub staną się twoimi problemami.
Mapujemy ryzyko cyber z perspektywy prawnej i regulacyjnej. Stan zgodności regulacyjnej, dokumentacji, umów, historia incydentów. Raport, który mówi gdzie jest ryzyko i ile może kosztować jego materializacja.
Due diligence cyber kosztuje. Jego brak kosztuje nieskończenie więcej.
Cyberbezpieczeństwo to nie problem technologiczny. To problem biznesowy.
Przygotowanie do NIS2 i KSC
Twoja firma może podlegać NIS2 lub ustawie o krajowym systemie cyberbezpieczeństwa. Lista podmiotów objętych regulacją jest szersza niż myślisz. Możesz być w niej, nawet jeśli do tej pory cyberbezpieczeństwo było dla ciebie kwestią czysto techniczną. A obowiązki są konkretne i mają swoje terminy.
Ustalamy, czy podlegasz i w jakim zakresie. Potem wdrożenie. Polityki, procedury, struktura odpowiedzialności, dokumentacja. System, który spełnia wymogi i jednocześnie pasuje do twojego biznesu. Taki, który naprawdę działa, nie tylko dobrze wygląda na papierze.
Regulator nie pyta, czy masz dział IT. Pyta, czy masz system zarządzania ryzykiem.
SOC oraz outsourcing cyber, modele prawne i operacyjne
Budujesz własny zespół reagowania na incydenty albo rozważasz outsourcing funkcji SOC? Każdy z tych modeli ma inną strukturę prawną, inne wymogi regulacyjne, inny podział odpowiedzialności. Wybór modelu to nie tylko decyzja techniczna i budżetowa. To decyzja o tym, kto odpowiada, gdy coś pójdzie źle i na ile cały system zadziała skutecznie.
Przygotowujemy analizę prawną każdego wariantu i rekomendację dopasowaną do twojej sytuacji. Struktury, umowy, podział odpowiedzialności, zgodność regulacyjna. Architektura, która działa operacyjnie i wytrzymuje weryfikację regulatora.
CSIRT brzmi niejasno. W ustawie to bardzo konkretny zestaw obowiązków i odpowiedzialności za ich niewykonanie.
Cyber w umowach i outsourcingu IT
Oddajesz infrastrukturę do chmury, podpisujesz umowę z dostawcą usług zarządzanych, outsourcujesz funkcje bezpieczeństwa. Każda z tych umów przenosi część ryzyka cyber na zewnątrz, ale nie przenosi odpowiedzialności regulacyjnej. Gdy incydent nastąpi u dostawcy, regulator zapuka do ciebie, nie do niego.
Przeglądamy i negocjujemy twoje umowy z perspektywy ryzyka cyber. SLA, obowiązki powiadamiania, prawo do audytu, odpowiedzialność, zasady korzystania z podwykonawców. Wszystko, co decyduje o tym, czy masz realną ochronę, czy tylko papierowe deklaracje.
Outsourcing przenosi zadania. Odpowiedzialność zostaje przy tobie.
Reagowanie na wycieki danych i przestępstwa komputerowe
Dane wyciekły. Klientów, pracowników, partnerów biznesowych. Albo ktoś włamał się do systemów i nie wiesz jeszcze, co zabrał. Masz 72 godziny na zgłoszenie zdarzenia do PUODO. Masz obowiązki wobec poszkodowanych. Możesz mieć podstawę do zawiadomienia prokuratury. A być może posiadasz też cyber-ubezpieczenie. Każda z tych ścieżek ma swoją logikę, swoje terminy i swoje konsekwencje.
Prowadzimy cię od momentu wykrycia: kwalifikacja naruszenia, zgłoszenia, powiadomienia poszkodowanych, zawiadomienie o przestępstwie czy zgłoszenie do ubezpieczyciela. Koordynujemy ścieżkę regulacyjną i karną tak, żeby jedna nie zaszkodziła drugiej. Rozumiemy też to, czego nie ma w przepisach: komunikację z partnerami, klientami, mediami.
Wyciek to jedno zdarzenie. Uruchamia zegar karny, regulacyjny, RODO i dziesiątki innych zadań.
Ubezpieczenia cyber
Masz polisę cyber lub zastanawiasz się nad jej zakupem. Ale czy wiesz, co dokładnie obejmuje i gdzie nie pomoże? Warunki ubezpieczeń cyber są pełne wyłączeń, definicji i procedur, które decydują o tym, czy w dniu incydentu uzyskasz realne wsparcie, czy też spotkasz się z odmową. Źle dobrana polisa daje złudzenie bezpieczeństwa, nie bezpieczeństwo.
Analizujemy warunki ubezpieczenia przed podpisaniem: zakres ochrony, wyłączenia, obowiązki ubezpieczonego, procedury zgłaszania szkód. Pomagamy też dobrać polisę stosownie do twoich potrzeb. Gdy incydent nastąpi, prowadzimy proces likwidacji szkody tak, żeby twoje działania w kryzysie nie stały się podstawą do odmowy wypłaty. Znamy punkty, w których ubezpieczyciele szukają powodów, żeby nie płacić.
Polisa cyber to nie tarcza. To umowa, a jak każda umowa, chroni tylko na tyle, na ile dobrze ją wynegocjowałeś.