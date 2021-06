Producenci technologii powinni być odpowiedzialni wobec swoich klientów za szkody powstałe wskutek ataków hakerskich i wycieku danych – wynika z opublikowanego we wtorek raportu Warsaw Enterprise Institute.

We wtorek Warsaw Enterprise Institute opublikował raport "Jakie regulacje dla cyberbezpieczeństwa?", poświęcony sprawie zapewnienia bezpieczeństwu instytucji, firm i konsumentów w sieci. Autorzy raportu - Mikołaj Barczentewicz oraz Maciej Troć - postulują wprowadzenie zmian w prawie.

"W naszym raporcie argumentujemy za rozważeniem odpowiedzialności odszkodowawczej jako potencjalnie lepszego instrumentu niż odpowiedzialność karna lub administracyjna (np. kary pieniężne nakładane przez urzędy). Tak jak w przypadku "analogowych" produktów i usług, producenci technologii powinni być odpowiedzialni wobec swoich klientów za szkody, gdyż to właśnie producentom jest znacznie łatwiej szkodzie zapobiec" - napisano w raporcie.

Jego autorzy zwracają uwagę, że obecnie ciężar ryzyka i szkód ponoszą głównie klienci, zwłaszcza konsumenci, gdyż odpowiedzialność dostawców technologii jest iluzoryczna. Ich zdaniem, obecnie łatwo jest udowodnić, że "szkoda powstała w wyniku zdarzeń poza kontrolą danego przedsiębiorcy lub że dochował on należytej staranności (bo standardy rynkowe są wciąż niewystarczające)".

"Efektywna odpowiedzialność odszkodowawcza na zasadzie ryzyka, zamiast urzędników mogłaby uczynić "regulatorami" firmy ubezpieczeniowe, które miałyby silną motywację ekonomiczną do warunkowania wysokości składek ubezpieczeniowych od stosowania rzeczywiście efektywnych metod zabezpieczenia - niezależnie od tego, czy są one już standardem rynkowym, czy nie. Konkurując między sobą i dbając o swoją rentowność, firmy ubezpieczeniowe musiałyby eksperymentować i ustawicznie analizować sytuację technologiczną" - napisano w raporcie WEI.

Autorzy raportu uważają, że alternatywa w postaci instytucji publicznej, która centralnie sterowałaby metodami zabezpieczeń i karałaby za ich niestosowanie, nie jest adekwatna do współczesnej technologii.

"Nie chodzi tutaj tylko o kwestie sprawiedliwego rozłożenia ciężaru ryzyka pomiędzy przedsiębiorcami a konsumentami, ale o wykorzystanie mechanizmu rynkowego do odkrycia, jakie rozwiązania mogłyby istotnie zmniejszyć ryzyko" - napisano w raporcie.

Autorzy raportu przyznają, że regulacja wprowadzająca odpowiedzialność odszkodowawczą dostawców technologii wiązałaby się z kosztami. Ale zwracają uwagę, że każdy model regulacji spraw cyberbezpieczeństwa oznacza dodatkowe koszty dla firm.

"O ile wszystkie z dyskutowanych modeli powinny być wdrażane, wybór konkretnych rozwiązań w ramach tych modeli uwzględniać musi wielkość tych kosztów i "zwrot na inwestycji". Taka ocena nie jest przeprowadzana z odpowiednim rygorem w procesie decyzyjnym UE i Polski" - napisano w raporcie.

Obecnie modele regulacji kwestii cyberbezpieczeństwa, realizowane w Polsce i w UE, są co do zasady pozytywne. Zdaniem autorów raportu, do wytwarzania i rozpowszechniania wartościowej wiedzy przyczyni się np. system prawnie regulowanej certyfikacji dostawców, usług i sprzętu.

"Jest jednak ryzyko, że co do zasady słuszne regulacje na rzecz tworzenia i wymiany wartościowej wiedzy zostaną "ozłocone" nieproporcjonalnymi obowiązkami. Na przykład, nie jest oczywiste, że rozszerzanie obowiązku posiadania specjalistycznych wewnętrznych centrów operacyjnych na kolejne kategorie organizacji rzeczywiście przyczyni się do bezpieczeństwa" - napisano w raporcie Warsaw Enterprise Institute.

