Z punktu widzenia komórki bezpieczeństwa w firmie współpraca z organami ścigania to naturalny element codziennej pracy. I choć na ogół układa się ona dobrze, to z pewnością wiele jej aspektów można udoskonalić. Najważniejsze, aby nie traktować jej tylko w kategoriach obowiązku prawnego, lecz umieć dostrzec również korzyści, które mogą na co dzień przełożyć się na podniesienie poziomu cyberbezpieczeństwa organizacji.

W Allegro komórka odpowiedzialna za współpracę z organami ścigania powstała wkrótce po rozpoczęciu działalności serwisu. Potrzeba pojawiła się bardzo szybko, ponieważ błyskawicznie zaczęły napływać wnioski z zewnątrz od uprawnionych podmiotów. Spektrum zapytań jest obecnie niezwykle szerokie – od typowych oszustw i wyłudzeń po większe sprawy kryminalne, a nawet porwania. Ich obsługą zajmuje się kilkuosobowy zespół analityków odpowiedzialnych za poszukiwanie informacji.

Sylwia Wystub, dyrektor ds. bezpieczeństwa w Grupie Interia

Podobnie jest w Grupie Interia. Obsługą zapytań zajmują się na bieżąco dwie osoby przy wykorzystaniu zaawansowanej automatyzacji w zakresie przyjmowania zgłoszeń oraz analizowania danych. „Współpraca układa się na ogół dobrze. Przez lata udało się wypracować pewne zasady, dzięki którym procesy przebiegają szybciej. Głównie odpowiadamy na wnioski z policji, ale także prokuratury i sądów. O wiele rzadziej dokonujemy zgłoszeń dotyczących podejrzenia popełnienia przestępstwa” – mówi Sylwia Wystub, dyrektor ds. bezpieczeństwa w Grupie Interia. Zapytań jest bardzo dużo, ale ich liczba w ostatnich latach utrzymuje się na podobnym poziomie. „Prowadzone przez nas statystyki pokazują, że ostatni znaczący wzrost zanotowaliśmy kilka lat temu. Był to okres intensywnego rozwoju naszych usług” – dodaje Sylwia Wystub.

Firmy, choć są zobowiązane do udzielania pomocy organom ścigania, dostrzegają jednocześnie korzyści wynikające z tej współpracy. Sprawne działanie policji pozwala podnosić bezpieczeństwo internautów, co leży w interesie organizacji działających w cyberprzestrzeni. „Wszystko, co przyczynia się do podniesienia bezpieczeństwa internautów, stanowi dla nas priorytet. Polityka firmy jest nastawiona na eliminację nieuczciwych osób z cyberprzestrzeni” – mówi Jakub Pepłoński, kierownik ds. współpracy z organami ścigania w Allegro.pl.

Jakub Pepłoński, kierownik ds. współpracy z organami ścigania w Allegro.pl

Dlatego Allegro od dawna angażuje się w działania edukacyjne mające na celu podnoszenie wiedzy przedstawicieli organów ścigania. „Mamy porozumienia o współpracy ze szkołami policyjnymi. Już wiele lat temu rozpoczęliśmy aktywną współpracę. Na podstawie podpisanego porozumienia angażujemy się w szkolenia zarówno na kursach specjalistycznych, jak i podstawowych. We współpracy z Akademią Marynarki Wojennej organizujemy konferencję naukową ‘PT XXI’ poświęconą przestępczości teleinformatycznej. Stanowi ona naturalne rozwinięcie organizowanej przez Wyższą Szkołę Policji w Szczytnie konferencji ‘Techniczne Aspekty Przestępczości Teleinformatycznej’, której Allegro było wyłącznym partnerem przez ponad dekadę. Dzielimy się wiedzą na temat działania handlu elektronicznego, ponieważ w tym obszarze liczą się najświeższe informacje, dotyczące najbardziej aktualnych problemów i trendów” – dodaje Jakub Pepłoński.

Choć firmy są zobowiązane do udzielania pomocy organom ścigania, dostrzegają też jednocześnie korzyści wynikające z tej współpracy. Sprawne działanie policji pozwala podnosić bezpieczeństwo internautów, co leży w interesie organizacji działających w cyberprzestrzeni.

Aktywnie i otwarcie

Są jednak nawet duże organizacje, w których takiej współpracy praktycznie nie ma. „Do momentu, kiedy coś się wydarzy. Najczęściej dział bezpieczeństwa jest przekonany, że ze wszystkim sobie poradzi. I o ile wewnątrz firmy sobie poradzi, o tyle jeśli trzeba wyjść poza organizację, to już przestaje sobie radzić. Wówczas pojawia się problem znalezienia ścieżki do organów ścigania, żeby otrzymać wsparcie” – mówi Dominik Rozdziałowski, naczelnik Wydziału do Walki z Cyberprzestępczością Komendy Wojewódzkiej Policji w Kielcach.

Dominik Rozdziałowski, naczelnik Wydziału do Walki z Cyberprzestępczością Komendy Wojewódzkiej Policji w Kielcach

Tymczasem o wiele korzystniej jest nawiązać współpracę wcześniej i podtrzymywać ją na wypadek zaistnienia zdarzenia, które będzie wymagało wsparcia ze strony organów ścigania. „W takim proaktywnym podejściu celują zwłaszcza duże firmy działające w internecie i operatorzy telekomunikacyjni. Wewnętrzne komórki firmowe działają samodzielnie, zbierają i przygotowują materiał, a kiedy zyskują pewność, że doszło do popełnienia przestępstwa, przekazują sprawę do nas. Dzięki wcześniejszemu nawiązaniu współpracy firmy mają pełną wiedzę o tym, jak pracujemy i czego potrzebujemy, żeby działać szybko i skutecznie” – dodaje Dominik Rozdziałowski.

Nie można liczyć na to, że dostarczając dane, które nie zostały zebrane i przygotowane w odpowiedni sposób, współpraca będzie z punktu widzenia obu stron płynna i bezproblemowa. Dlatego policja jest otwarta na taką profilaktyczną, prewencyjną współpracę, przygotowywanie się na „wszelki wypadek”. Z punktu widzenia policjantów takie kontakty także stanowią okazję do wymiany informacji, nauki od najwyższej klasy specjalistów. To wartość dodana, która pozwala im skuteczniej działać.

Przedstawiciele obu stron zwracają uwagę, że kluczem do dobrej współpracy jest otwartość. „Jesteśmy częścią ekosystemu. Policja bez danych z zewnątrz niewiele osiągnie, a my bez wsparcia policji także – docieramy bowiem do momentu, w którym nie jesteśmy w stanie zrobić nic więcej poza blokowaniem usługi. Współpracy nie należy się bać, bo tylko dzięki otwartości i współpracy jesteśmy w stanie odnosić sukcesy” – mówi Jakub Pepłoński.

Nie można liczyć na to, że dostarczając policji dane, które nie zostały zebrane i przygotowane w odpowiedni sposób, współpraca będzie z punktu widzenia obu stron płynna i bezproblemowa. Dlatego policja jest otwarta na profilaktyczną, prewencyjną współpracę, przygotowywanie się „na wszelki wypadek”.

Potrzebne korekty prawne

Jakie mogą pojawiać się problemy? Największy problem, z jakim spotyka się policja, to niezrozumienie ze strony kierownictwa dużych firm, że współpraca z organami ścigania w przypadku incydentów przynosi korzyści, a nie jedynie uszczerbek firmowego wizerunku. Najczęściej źródłem blokady są działy PR, a przecież nie brakuje przykładów, które wskazują, że otwartość w takich przypadkach przynosi znacznie więcej wizerunkowych korzyści niż strat. Właśnie brak chęci współpracy to najczęściej główna bariera sprawnej kooperacji.

Zespoły policyjne zajmujące się cyberprzestępczością mogłyby być bardziej liczne. Z pewnością jednak wiedza polskich policjantów z wydziałów ds. cyberprzestępczości dotycząca aspektów technicznych i kwestii organizacyjnych jest już na wysokim poziomie. Nie brak im także sprzętu. Nieco gorzej jest w przypadku przygotowania funkcjonariuszy z komend lokalnych. Ze względu na to lepiej byłoby, gdyby wszelkie zapytania spływały określoną drogą, przez wojewódzkie komórki ds. cyberprzestępczości. W przeciwnym wypadku traci się zwykle dużo czasu, ponieważ wnioski z komend lokalnych często nie są odpowiednio przygotowane.

Zasadniczym problemem jest jednak ociężałość mechanizmów biurokratycznych i tempo dostosowywania prawa. Choć polskie regulacje są konsekwentnie dostosowywane do nowych wymogów, zmiany rzadko dotrzymują kroku zwinnym i działającym błyskawicznie cyberprzestępcom.

Przykładowo, nie ma jasnych przepisów, które regulowałyby to, jak długo firmy internetowe mają przechowywać logi. „Istnieją przepisy dotyczące operatorów telekomunikacyjnych. My początkowo dostosowaliśmy się do nich i przechowywaliśmy logi przez dwa lata. Jednak w miarę szybkiego przyrostu ilości informacji, pojawienia się problemów nie tylko z przechowywaniem terabajtów danych, ale także kwestii wydajnościowych związanych z przeszukiwaniem zbiorów, skróciliśmy ten czas początkowo do roku, a jakiś czas temu do 9 miesięcy. Jeśli sytuacja znowu zmieni się tak, że danych z tego okresu nie będzie można efektywnie przetwarzać, jeszcze bardziej skrócimy czas” – tłumaczy Sylwia Wystub.

Przechowywanie danych wiąże się z kosztami i jeśli prawo do tego nie zobowiązuje, firmy nie są skłonne do ich ponoszenia. Nawet jeśli komórki bezpieczeństwa tego chcą, trudno im uzyskać zgodę na sfinansowanie inwestycji w pamięć masową i moc obliczeniową, jeśli nie mają argumentu w postaci zapisu prawnego.

Największy problem, z jakim spotyka się policja, to niezrozumienie ze strony kierownictwa dużych firm, że współpraca z organami ścigania w przypadku incydentów przynosi korzyści, a nie jedynie uszczerbek firmowego wizerunku. Najczęściej źródłem blokady są działy PR, a przecież nie brakuje przykładów, że otwartość w takich przypadkach przynosi znacznie więcej wizerunkowych korzyści niż strat.

O modelowej współpracy, najlepszych praktykach i o tym, czego jeszcze brakuje dla poprawy sytuacji, będą dyskutować uczestnicy wrześniowego spotkania CSO Council. Będzie ono poświęcone współpracy firmowych komórek bezpieczeństwa z policją, prokuraturą czy ABW. Szczegółowe informacje o programie można znaleźć na stronie https://csoc.pl/spotkanie/wspolpraca-z-organami/ .