Hledat v komentářích
Investiční doporučení
Výsledky společností - ČR
Výsledky společností - Svět
IPO, M&A
Týdenní přehledy
 

Detail - články
Jsou data vašich klientů v bezpečí?

Jsou data vašich klientů v bezpečí?

13.4.2015 5:30
Autor: Lukáš Hoder, KSB

Rok 2014 byl na západ od nás ve znamení úspěšných kyberútoků na soukromý sektor. Nejednalo se zdaleka jen o pikantní útok severokorejských hackerů na filmové studio SONY, ale především o v Česku méně medializované případy krádeží soukromých dat z velkých amerických společností.  Největší americký řetězec zboží pro kutily Home Depot nebo druhá největší síť supermarketů v USA Target utrpěly závažné škody, když jim hackeři ukradli data o milionech kreditních karet a emailových adresách jejich zákazníků. Nastolený trend přitom pokračuje i v roce 2015. V únoru došlo k útoku na druhou největší americkou zdravotní pojišťovnu Anthem, při kterém byla ukradena data až 80 milionů klientů.

Důsledkem úspěšných útoků ve třech výše uvedených případech jsou desítky žalob zákazníků, bank a dalších poškozených, řada vyšetřování federálními úřady, a hrozící škody ve výši desítek až stovek milionů dolarů. Společnosti nejen že neochránily soukromá data svých zákazníků, ale nebyly ani připravené na situaci, že k úspěšnému útoku může dojít. Přesně to jim přitom regulační úřady při konečném účtování přičtou k tíži. Jaká je situace v Česku?

Správce údajů odpovídá vždy (takřka)

Podle českého zákona o ochraně osobních údajů je každý správce osobních údajů povinen přijmout taková opatření, aby se k těmto údajům nikdo neoprávněný nedostal. Co znamená “přijmout opatření”? Podle jednoho rozhodnutí Nejvyššího správního soudu to znamená “zajistit”, tedy bez ohledu na vše ostatní “garantovat”, že ke zneužití nedojde. Pokud tedy ke zneužití nakonec dojde, hrozí, že Úřad pro ochranu osobních údajů a soudy budou situaci vykládat tak, že odpovědnost správce je objektivní - tedy bez ohledu na jeho zavinění.

Přesto zákon umožňuje, aby se správce odpovědnosti zbavil (“vyvinil”), a to pokud dokáže, že vynaložil “veškeré úsilí, které bylo možno požadovat”, aby ke zneužití osobních údajů nedošlo. Jedná se o poměrně přísné kritérium. Musí se jednat o “veškeré” úsilí a zároveň důkazní povinnost leží na správci osobních údajů. Správce údajů tedy musí sám prokázat, že například efektivně proškolil své zaměstnance, jejich znalosti zkontroloval a zajistil, že skutečně vědí, jaké bezpečnostní předpisy musí dodržovat. Mezi povinnosti správce patří v tomto smyslu samozřejmě i řada dalších opatření, které společně tvoří ono zákonem vyžadované “veškeré úsilí”.

Co dělat?

Správce osobních údajů musí být připraven i na situaci, když ke zneužití osobních údajů jeho klientů skutečně dojde. Správce a jeho zaměstnanci by měli vědět, jak zjistit, co se vlastně stalo, jak tuto situaci vyhodnotit a jak na ni rychle a adekvátně reagovat.

Reakce se přitom může týkat jak samotného správce osobních údajů, tak i například otázky, kdy vše oznámit policii, Úřadu pro ochranu osobních údajů a postiženým subjektům. Příkladem může být situace, kdy se kybernetickým zlodějům podaří ukrást internetovému obchodu čísla kreditních karet jeho zákazníků. Je tento správce osobních údajů schopen zajistit, aby bezprostředně nedošlo ke krádeži dalších dat? Umí zhodnotit rozsah škody? Kdy vše oznámí poškozeným zákazníkům, aby je případně ochránil před dalším zneužití jejich dat? Oznámí vše i bankám? A co Úřadu pro ochranu osobních údajů? Z výše uvedeného případu americké pojišťovnu Anthem je přitom evidentní, že hackeři následně útočí i na klienty oběti předchozího útoku, jejichž osobní údaje již mají k dispozici.

Jak plyne z výše uvedeného, jedná se o poměrně velké množství citlivých otázek. Jak přitom správně tušíte, pokud k takové situaci skutečně dojde, začít s přípravou reakce je většinou poměrně pozdě. Jaké jsou tedy základní rady?

Na variantu zneužití dat by správce osobních údajů a jeho zaměstnanci měli být především připraveni předem. Správce by pro takovou situaci měl mít připravené vnitřní postupy a jeho zaměstnanci odpovědní za informační technologie by měli být schopni včas a adekvátně kybernetický útok rozpoznat a rychle na něj reagovat. Pokud již ke zneužití údajů došlo, prvním cílem by mělo být zamezit dalším škodám a zneužití dalších údajů. Dalším krokem by měla být analýza škod a kontaktování Policie ČR. Následný postup již závisí na rozsahu škody a schopnosti poškozené společnosti zjistit skutečné následky.

Kritická infrastruktura

Povinnosti některých velkých společností nekončí tím, že budou připraveny proti kybernetickým zlodějům. Nový zákon o kybernetické bezpečnosti, který nabyl účinnosti v lednu tohoto roku, a další předpisy stanovují totiž i dodatečné povinnosti, a to proti větším kyberútočníkům. Těm, kteří by svými útoky mohli narušit významnou či dokonce strategickou infrastrukturu v zemi, ohrozit životy tisíců lidí, způsobit škody v řádech desítek miliard korun nebo zásadně zasáhnout do života statisíců lidí v ČR.

Podle jednoho odhadu se přitom nejedná o zanedbatelný počet subjektů, ale o celých 5 % společností v ČR. Energetika, doprava, bankovnictví, telekomunikace, strojní průmysl, potravinářství, chemický průmysl a další odvětví by nově měla zvážit, zda útok na jejich byznys nemůže mít strategické dopady pro celou Českou republiku.

Rizika rostou

Přesun celých oblastí lidské činnosti do kyberprostoru má řadu výhod. Elektronická zdravotní dokumentace, elektronická státní správa, komunikace, bankovnictví… vše přes internet, snadno a rychle. S efektivitou a pohodlím rostou ale i rizika. Na to musí myslet nejen zákazníci, ale i správci jejich osobních údajů.

KŠB

Váš názor
Na tomto místě můžete zahájit diskusi. Zatím nebyl zadán žádný názor. Do diskuse mohou přispívat pouze přihlášení uživatelé (Přihlásit). Pokud nemáte účet, na který byste se mohli přihlásit, registrujte se zde.
Aktuální komentáře
12.12.2017
14:32Polovodiče, mikročipy a Micron: stojí ještě za to? (pohled analytika)  
14:13Maloja Investment SICAV a.s.: Výroční zpráva za období 1. 11. 2016 - 31. 8. 2017
13:34Česká exportní banka, a.s.: Informace o vyplacení úrokových výnosů z emisí dluhopisů
13:09Tenoučká prasklina zalomcovala trhy s ropou
12:26Americká studie: Brexit oslabí Velkou Británii i vliv USA v Evropě
11:56Nové byty v Praze meziročně zdražily o 15 procent, tvrdí analýza Deloitte
11:32Přichází přelomový rok pro fúze a akvizice
11:11Evropské indexy mírně rostou, Gemalto +33 %
10:19Koruna kvůli pomalejší inflaci už tolik neláká, dražší ropa má omezený vliv na komoditní měny  
9:28V areálu v Záluží hořelo, Unipetrol omezil provoz
9:13Rozbřesk: Inflace nahrává jen pomalému růstu sazeb, koruna postrádá jestřábí hlas
8:53Evropské futures v zeleném, asijské trhy v červeném. Kam se přidá Praha?  
6:46Ropný fond bez ropy? Horká otázka pro Norsko
11.12.2017
22:00Amerika vkročila do nového týdne pravou nohou
18:29V USA dvojkový scénář a matoucí zvířecí pudy
17:16Praha začala týden v červeném, nedařilo se CETV a Unipetrolu
17:02Libra nadále pod tlakem, dolar srážejí inflační prognózy  
15:57Jednoduché řešení brutální příjmové nerovnosti. Není to revoluce, ale akcie
13:49Německo si kupuje stále větší část globální ekonomiky a jen tak nepřestane
12:07Týdenní výhled: Dění tohoto týdne určí centrální banky, korunu budou zajímat inflační data  

Související komentáře
Nejčtenější zprávy dne
Nejčtenější zprávy týdne
Nejdiskutovanější zprávy týdne
Denní kalendář hlavních událostí
Nebyla nalezena žádná data