Hledat v komentářích
Investiční doporučení
Výsledky společností - ČR
Výsledky společností - Svět
IPO, M&A
Týdenní přehledy
 

Detail - články
Jsou data vašich klientů v bezpečí?

Jsou data vašich klientů v bezpečí?

13.04.2015 5:30
Autor: Lukáš Hoder, KSB

Rok 2014 byl na západ od nás ve znamení úspěšných kyberútoků na soukromý sektor. Nejednalo se zdaleka jen o pikantní útok severokorejských hackerů na filmové studio SONY, ale především o v Česku méně medializované případy krádeží soukromých dat z velkých amerických společností.  Největší americký řetězec zboží pro kutily Home Depot nebo druhá největší síť supermarketů v USA Target utrpěly závažné škody, když jim hackeři ukradli data o milionech kreditních karet a emailových adresách jejich zákazníků. Nastolený trend přitom pokračuje i v roce 2015. V únoru došlo k útoku na druhou největší americkou zdravotní pojišťovnu Anthem, při kterém byla ukradena data až 80 milionů klientů.

Důsledkem úspěšných útoků ve třech výše uvedených případech jsou desítky žalob zákazníků, bank a dalších poškozených, řada vyšetřování federálními úřady, a hrozící škody ve výši desítek až stovek milionů dolarů. Společnosti nejen že neochránily soukromá data svých zákazníků, ale nebyly ani připravené na situaci, že k úspěšnému útoku může dojít. Přesně to jim přitom regulační úřady při konečném účtování přičtou k tíži. Jaká je situace v Česku?

Správce údajů odpovídá vždy (takřka)

Podle českého zákona o ochraně osobních údajů je každý správce osobních údajů povinen přijmout taková opatření, aby se k těmto údajům nikdo neoprávněný nedostal. Co znamená “přijmout opatření”? Podle jednoho rozhodnutí Nejvyššího správního soudu to znamená “zajistit”, tedy bez ohledu na vše ostatní “garantovat”, že ke zneužití nedojde. Pokud tedy ke zneužití nakonec dojde, hrozí, že Úřad pro ochranu osobních údajů a soudy budou situaci vykládat tak, že odpovědnost správce je objektivní - tedy bez ohledu na jeho zavinění.

Přesto zákon umožňuje, aby se správce odpovědnosti zbavil (“vyvinil”), a to pokud dokáže, že vynaložil “veškeré úsilí, které bylo možno požadovat”, aby ke zneužití osobních údajů nedošlo. Jedná se o poměrně přísné kritérium. Musí se jednat o “veškeré” úsilí a zároveň důkazní povinnost leží na správci osobních údajů. Správce údajů tedy musí sám prokázat, že například efektivně proškolil své zaměstnance, jejich znalosti zkontroloval a zajistil, že skutečně vědí, jaké bezpečnostní předpisy musí dodržovat. Mezi povinnosti správce patří v tomto smyslu samozřejmě i řada dalších opatření, které společně tvoří ono zákonem vyžadované “veškeré úsilí”.

Co dělat?

Správce osobních údajů musí být připraven i na situaci, když ke zneužití osobních údajů jeho klientů skutečně dojde. Správce a jeho zaměstnanci by měli vědět, jak zjistit, co se vlastně stalo, jak tuto situaci vyhodnotit a jak na ni rychle a adekvátně reagovat.

Reakce se přitom může týkat jak samotného správce osobních údajů, tak i například otázky, kdy vše oznámit policii, Úřadu pro ochranu osobních údajů a postiženým subjektům. Příkladem může být situace, kdy se kybernetickým zlodějům podaří ukrást internetovému obchodu čísla kreditních karet jeho zákazníků. Je tento správce osobních údajů schopen zajistit, aby bezprostředně nedošlo ke krádeži dalších dat? Umí zhodnotit rozsah škody? Kdy vše oznámí poškozeným zákazníkům, aby je případně ochránil před dalším zneužití jejich dat? Oznámí vše i bankám? A co Úřadu pro ochranu osobních údajů? Z výše uvedeného případu americké pojišťovnu Anthem je přitom evidentní, že hackeři následně útočí i na klienty oběti předchozího útoku, jejichž osobní údaje již mají k dispozici.

Jak plyne z výše uvedeného, jedná se o poměrně velké množství citlivých otázek. Jak přitom správně tušíte, pokud k takové situaci skutečně dojde, začít s přípravou reakce je většinou poměrně pozdě. Jaké jsou tedy základní rady?

Na variantu zneužití dat by správce osobních údajů a jeho zaměstnanci měli být především připraveni předem. Správce by pro takovou situaci měl mít připravené vnitřní postupy a jeho zaměstnanci odpovědní za informační technologie by měli být schopni včas a adekvátně kybernetický útok rozpoznat a rychle na něj reagovat. Pokud již ke zneužití údajů došlo, prvním cílem by mělo být zamezit dalším škodám a zneužití dalších údajů. Dalším krokem by měla být analýza škod a kontaktování Policie ČR. Následný postup již závisí na rozsahu škody a schopnosti poškozené společnosti zjistit skutečné následky.

Kritická infrastruktura

Povinnosti některých velkých společností nekončí tím, že budou připraveny proti kybernetickým zlodějům. Nový zákon o kybernetické bezpečnosti, který nabyl účinnosti v lednu tohoto roku, a další předpisy stanovují totiž i dodatečné povinnosti, a to proti větším kyberútočníkům. Těm, kteří by svými útoky mohli narušit významnou či dokonce strategickou infrastrukturu v zemi, ohrozit životy tisíců lidí, způsobit škody v řádech desítek miliard korun nebo zásadně zasáhnout do života statisíců lidí v ČR.

Podle jednoho odhadu se přitom nejedná o zanedbatelný počet subjektů, ale o celých 5 % společností v ČR. Energetika, doprava, bankovnictví, telekomunikace, strojní průmysl, potravinářství, chemický průmysl a další odvětví by nově měla zvážit, zda útok na jejich byznys nemůže mít strategické dopady pro celou Českou republiku.

Rizika rostou

Přesun celých oblastí lidské činnosti do kyberprostoru má řadu výhod. Elektronická zdravotní dokumentace, elektronická státní správa, komunikace, bankovnictví… vše přes internet, snadno a rychle. S efektivitou a pohodlím rostou ale i rizika. Na to musí myslet nejen zákazníci, ale i správci jejich osobních údajů.

KŠB

Váš názor
Na tomto místě můžete zahájit diskusi. Zatím nebyl zadán žádný názor. Do diskuse mohou přispívat pouze přihlášení uživatelé (Přihlásit). Pokud nemáte účet, na který byste se mohli přihlásit, registrujte se zde.
Aktuální komentáře
09.05.2025
22:01Zámořské indexy uzavřely týden bez větších změn  
17:24Ziskové žně
17:16Trump jako zastánce otevřených trhů? Wall Street ani tak neudržela úvodní zisky  
16:06Hartnett: Růst amerických akcií končí, dejte přednost dluhopisům
14:24Německé banky se připravují na boom v obranném sektoru
13:48Komerční banka, a.s.: Zápis z Valné hromady KB konané dne 24.4.2025
12:31Perly týdne: Asijská krize naruby
12:03Trhy mají snížení cel za hotovou věc. Amerika před jednáním s Čínou odkryla karty  
10:58Ohnsman: Muskovi dochází nápady na záchranu Tesly. Jaké jsou její akciové alternativy?
10:09Trumpova obchodní dohoda: Britské vozy v USA za nižší clo, americké automobilky protestují
10:04Růst maloobchodních tržeb v Česku: Internetové prodeje a pohonné hmoty na vzestupu
9:16Rozbřesk: NBP sice srazila sazby o 50 bps, ale na další agresivní redukce to nevypadá
9:07Čínský vývoz v dubnu rostl více, než se čekalo, vývoz do USA ale klesl
8:51Nový papež, obchodní dohody a úleva pro emisní normy. Evropské futures jsou v zeleném  
6:06Barro: Fiskální výdaje ekonomice příliš nepomohou, ale lze je zaplatit inflací
08.05.2025
22:01Americké akcie rostly po komentářích Donalda Trumpa  
17:09Signály k nákupům…
15:20Trump se opět opřel do šéfa Fedu poté, co ponechal sazby na stejné úrovni. Podle něj je to "hlupák" a "ztroskotanec"
15:08Obchodní bitva začíná. Evropská komise zahajuje konzultace o opatřeních proti americkým clům u WTO
14:45Trumpův velký den: USA a Británie uzavřely 'úplný a komplexní' obchodní pakt

Související komentáře
    Nejčtenější zprávy dne
    Nejčtenější zprávy týdne
    Nejdiskutovanější zprávy týdne
    Kalendář událostí
    ČasUdálost
    Commerzbank AG (03/25 Q1, Bef-mkt)
    Čína - Obchodní bilance, mld. USD
    Novavax Inc (03/25 Q1)
    Plug Power Inc (03/25 Q1)
    9:00CZ - Maloobchodní tržby, y/y