Ostatni incydent obejmujący masowy atak ransomware na lokalne instalacje Microsoft SharePoint Server, prowadzony przez grupę Storm-2603, stanowi kolejny dowód na rosnące zagrożenia dla stabilności operacyjnej przedsiębiorstw. Jako specjaliści w obszarze prawa IT i cyberbezpieczeństwa chcemy podzielić się naszą analizą sytuacji i rekomendacjami dla polskich firm oraz perspektywa regulacji prawnych.
1. Skala i charakter ataku
Grupa Storm-2603 wykorzystuje krytyczne podatności w on-premises SharePoint Server (m.in. CVE-2025-53770, CVE-2025-49706, CVE-2025-49704, CVE-2025-53771) umożliwiające zdalne wykonanie kodu bez uwierzytelniania. W efekcie w kilka dni liczba poszkodowanych organizacji wzrosła z 100 do ponad 400, a ransomware „Warlock” szyfruje zasoby i żąda okupu w kryptowalutach. Atak nie dotyczy usługi SharePoint Online w chmurze Microsoft 365, jednak to lokalne środowiska pozostają bezpośrednio narażone.
2. Aspekty prawne – RODO i ochrona danych
2.1. Odpowiedzialność administratorów danych (art. 32 RODO)
Administratorzy danych muszą wdrożyć środki techniczne i organizacyjne adekwatne do ryzyka. Niedołożenie należytej staranności interpretowane jest jako naruszenie art. 32 RODO, zagrożone karą do 20 mln EUR lub 4% rocznego obrotu.
2.2. Obowiązek zgłoszenia naruszenia (art. 33 RODO)
W razie naruszenia ochrony danych osobowych obowiązuje bezwzględny termin 72 godzin na zgłoszenie incydentu do Prezesa UODO. Niezgłoszenie lub spóźnienie rodzi ryzyko kar finansowych sięgających 10 mln EUR.
2.3. Orzecznictwo TSUE
Wyrok TSUE w sprawie C-340/21 potwierdza, że nawet w przypadku ataku niezależnego od działań administratora, podstawą odpowiedzialności jest ocena stosowanych zabezpieczeń. Brak dokumentacji i testów zabezpieczeń może skutkować uznaniem naruszenia obowiązków.
3. Aspekty karne
3.1. Ryzyko odpowiedzialności za zapłatę okupu (art. 296 KK)
Zapłata okupu może zostać uznana za finansowanie działalności przestępczej. Członkowie zarządu, którzy zdecydują o przekazaniu środków, podejmują znaczące ryzyko odpowiedzialności karnej.
3.2. Odpowiedzialność członków zarządu
Zgodnie z Kodeksem spółek handlowych osoby zarządzające mogą odpowiadać za niedopełnienie obowiązków nadzoru i zarządzania ryzykiem, co może skutkować roszczeniami odszkodowawczymi ze strony spółki lub udziałowców.
4. Regulacje cyberbezpieczeństwa
4.1. Ustawa o Krajowym Systemie Cyberbezpieczeństwa
Podmioty kluczowe i ważne muszą zgłosić każdy incydent do CSIRT NASK w ciągu 24 godzin. Zgodność z wymaganiami ustawy minimalizuje ryzyko kar administracyjnych.
4.2. Nadchodząca dyrektywa NIS2
Implementacja NIS2 rozszerzy obowiązki zgłaszania i zwiększy kary za naruszenia. Konieczne jest już teraz dostosowanie procedur, by uniknąć luk prawnych i sankcji.
5. Rekomendacje dla polskich przedsiębiorstw
5.1. Działania natychmiastowe
- Przeprowadzenie audytu wersji SharePoint Server i ich aktualizacji.
- Izolacja środowisk lokalnych od internetu lub segmentacja sieci.
- Wdrożenie narzędzi EDR/XDR oraz Microsoft Defender for Endpoint.
- Przygotowanie wzorców zgłoszeń incydentów i komunikacji kryzysowej.
5.2. Działania długoterminowe
- Rozważenie migracji do SharePoint Online z pełnymi gwarancjami bezpieczeństwa.
- Regularne testy penetracyjne i audyty zgodności z ISO 27001.
- Szkolenia personelu z zakresu identyfikacji i reagowania na ransomware.
- Przegląd i uaktualnienie polis ubezpieczeniowych obejmujących cyberwymuszenie.
6. Podsumowanie i perspektywa legislacyjna
Atak Storm-2603 uświadamia, że cyberbezpieczeństwo to obszar łączący kwestie techniczne i prawne. Brak proaktywnego podejścia naraża organizacje na poważne kary, odpowiedzialność karną i utratę reputacji. Jednocześnie nadchodząca dyrektywa NIS2 wprowadzi wyższe standardy i nowe obowiązki, co stanowi sygnał dla przedsiębiorstw, aby niezwłocznie wzmocnić compliance i zabezpieczenia.
Podstawy prawne użyte w artykule
- Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 (RODO)
- Art. 32 – Środki techniczne i organizacyjne:
https://eur-lex.europa.eu/legal-content/PL/TXT/?uri=CELEX:32016R0679#d1e5963-1-1 - Art. 33 – Zgłaszanie naruszeń ochrony danych:
https://eur-lex.europa.eu/legal-content/PL/TXT/?uri=CELEX:32016R0679#d1e6055-1-1 - Orzeczenie Trybunału Sprawiedliwości Unii Europejskiej w sprawie C-340/21 (VB vs Natsionalna agentsia za prihodite):
https://eur-lex.europa.eu/legal-content/PL/TXT/?uri=CELEX:62021CJ0340 - Ustawa z dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa (tekst jednolity):
https://isap.sejm.gov.pl/isap.nsf/DocDetails.xsp?id=WDU20180001266 - Dyrektywa Parlamentu Europejskiego i Rady (UE) 2022/2555 (NIS2):
https://eur-lex.europa.eu/legal-content/PL/TXT/?uri=CELEX:32022L2555 - Kodeks karny (Dz.U. 1997 nr 88 poz. 553) – art. 296 Finansowanie działalności przestępczej:
https://isap.sejm.gov.pl/isap.nsf/DocDetails.xsp?id=WDU19970880553 - Kodeks spółek handlowych (Dz.U. 2000 nr 94 poz. 1037) – ustawa z dnia 15 września 2000 r.:
https://przepisy.gofin.pl/przepisy,2,9,9,208,,20221210,ustawa-z-dnia-15092000-r-kodeks-spolek-handlowych1.html
Zastrzeżenie: Artykuł ma charakter ogólny i nie stanowi porady prawnej w konkretnej sprawie. W celu uzyskania indywidualnego wsparcia zapraszamy do kontaktu z kancelarią Cyberpolex.
