Hledat v komentářích
Investiční doporučení
Výsledky společností - ČR
Výsledky společností - Svět
IPO, M&A
Týdenní přehledy
 

Detail - články
Jsou data vašich klientů v bezpečí?

Jsou data vašich klientů v bezpečí?

13.04.2015 5:30
Autor: Lukáš Hoder, KSB

Rok 2014 byl na západ od nás ve znamení úspěšných kyberútoků na soukromý sektor. Nejednalo se zdaleka jen o pikantní útok severokorejských hackerů na filmové studio SONY, ale především o v Česku méně medializované případy krádeží soukromých dat z velkých amerických společností.  Největší americký řetězec zboží pro kutily Home Depot nebo druhá největší síť supermarketů v USA Target utrpěly závažné škody, když jim hackeři ukradli data o milionech kreditních karet a emailových adresách jejich zákazníků. Nastolený trend přitom pokračuje i v roce 2015. V únoru došlo k útoku na druhou největší americkou zdravotní pojišťovnu Anthem, při kterém byla ukradena data až 80 milionů klientů.

Důsledkem úspěšných útoků ve třech výše uvedených případech jsou desítky žalob zákazníků, bank a dalších poškozených, řada vyšetřování federálními úřady, a hrozící škody ve výši desítek až stovek milionů dolarů. Společnosti nejen že neochránily soukromá data svých zákazníků, ale nebyly ani připravené na situaci, že k úspěšnému útoku může dojít. Přesně to jim přitom regulační úřady při konečném účtování přičtou k tíži. Jaká je situace v Česku?

Správce údajů odpovídá vždy (takřka)

Podle českého zákona o ochraně osobních údajů je každý správce osobních údajů povinen přijmout taková opatření, aby se k těmto údajům nikdo neoprávněný nedostal. Co znamená “přijmout opatření”? Podle jednoho rozhodnutí Nejvyššího správního soudu to znamená “zajistit”, tedy bez ohledu na vše ostatní “garantovat”, že ke zneužití nedojde. Pokud tedy ke zneužití nakonec dojde, hrozí, že Úřad pro ochranu osobních údajů a soudy budou situaci vykládat tak, že odpovědnost správce je objektivní - tedy bez ohledu na jeho zavinění.

Přesto zákon umožňuje, aby se správce odpovědnosti zbavil (“vyvinil”), a to pokud dokáže, že vynaložil “veškeré úsilí, které bylo možno požadovat”, aby ke zneužití osobních údajů nedošlo. Jedná se o poměrně přísné kritérium. Musí se jednat o “veškeré” úsilí a zároveň důkazní povinnost leží na správci osobních údajů. Správce údajů tedy musí sám prokázat, že například efektivně proškolil své zaměstnance, jejich znalosti zkontroloval a zajistil, že skutečně vědí, jaké bezpečnostní předpisy musí dodržovat. Mezi povinnosti správce patří v tomto smyslu samozřejmě i řada dalších opatření, které společně tvoří ono zákonem vyžadované “veškeré úsilí”.

Co dělat?

Správce osobních údajů musí být připraven i na situaci, když ke zneužití osobních údajů jeho klientů skutečně dojde. Správce a jeho zaměstnanci by měli vědět, jak zjistit, co se vlastně stalo, jak tuto situaci vyhodnotit a jak na ni rychle a adekvátně reagovat.

Reakce se přitom může týkat jak samotného správce osobních údajů, tak i například otázky, kdy vše oznámit policii, Úřadu pro ochranu osobních údajů a postiženým subjektům. Příkladem může být situace, kdy se kybernetickým zlodějům podaří ukrást internetovému obchodu čísla kreditních karet jeho zákazníků. Je tento správce osobních údajů schopen zajistit, aby bezprostředně nedošlo ke krádeži dalších dat? Umí zhodnotit rozsah škody? Kdy vše oznámí poškozeným zákazníkům, aby je případně ochránil před dalším zneužití jejich dat? Oznámí vše i bankám? A co Úřadu pro ochranu osobních údajů? Z výše uvedeného případu americké pojišťovnu Anthem je přitom evidentní, že hackeři následně útočí i na klienty oběti předchozího útoku, jejichž osobní údaje již mají k dispozici.

Jak plyne z výše uvedeného, jedná se o poměrně velké množství citlivých otázek. Jak přitom správně tušíte, pokud k takové situaci skutečně dojde, začít s přípravou reakce je většinou poměrně pozdě. Jaké jsou tedy základní rady?

Na variantu zneužití dat by správce osobních údajů a jeho zaměstnanci měli být především připraveni předem. Správce by pro takovou situaci měl mít připravené vnitřní postupy a jeho zaměstnanci odpovědní za informační technologie by měli být schopni včas a adekvátně kybernetický útok rozpoznat a rychle na něj reagovat. Pokud již ke zneužití údajů došlo, prvním cílem by mělo být zamezit dalším škodám a zneužití dalších údajů. Dalším krokem by měla být analýza škod a kontaktování Policie ČR. Následný postup již závisí na rozsahu škody a schopnosti poškozené společnosti zjistit skutečné následky.

Kritická infrastruktura

Povinnosti některých velkých společností nekončí tím, že budou připraveny proti kybernetickým zlodějům. Nový zákon o kybernetické bezpečnosti, který nabyl účinnosti v lednu tohoto roku, a další předpisy stanovují totiž i dodatečné povinnosti, a to proti větším kyberútočníkům. Těm, kteří by svými útoky mohli narušit významnou či dokonce strategickou infrastrukturu v zemi, ohrozit životy tisíců lidí, způsobit škody v řádech desítek miliard korun nebo zásadně zasáhnout do života statisíců lidí v ČR.

Podle jednoho odhadu se přitom nejedná o zanedbatelný počet subjektů, ale o celých 5 % společností v ČR. Energetika, doprava, bankovnictví, telekomunikace, strojní průmysl, potravinářství, chemický průmysl a další odvětví by nově měla zvážit, zda útok na jejich byznys nemůže mít strategické dopady pro celou Českou republiku.

Rizika rostou

Přesun celých oblastí lidské činnosti do kyberprostoru má řadu výhod. Elektronická zdravotní dokumentace, elektronická státní správa, komunikace, bankovnictví… vše přes internet, snadno a rychle. S efektivitou a pohodlím rostou ale i rizika. Na to musí myslet nejen zákazníci, ale i správci jejich osobních údajů.

KŠB

Váš názor
Na tomto místě můžete zahájit diskusi. Zatím nebyl zadán žádný názor. Do diskuse mohou přispívat pouze přihlášení uživatelé (Přihlásit). Pokud nemáte účet, na který byste se mohli přihlásit, registrujte se zde.
Aktuální komentáře
27.01.2020
11:14Petr Dufek: Čísla z Ifo chladí německý optimismus
10:49Bianchi: Trumpovy monetární tweety mají citelný dopad na trhy
10:46Wüstenrot hypoteční banka a.s. - Informace o výplatě výnosů HZL WHB VAR/22
10:25Předseda ČTÚ Jaromír Novák rezignoval. Jako důvod uvádí snahu ministra Havlíčka změnit podmínky 5G aukce
10:22Evropské akcie kvůli obavám z nového viru výrazně klesají
9:14Rozbřesk: Potvrdí se lepší kondice německé ekonomiky?
9:10ČEB, a.s. - Informace o vyplacení úrokových výnosů z emisí dluhopisů
8:59Čínský virus dál stlačuje trhy, klesá ropa i evropské a americké futures. Roste zlato  
8:57Obrat obchodů s emisními povolenkami loni stoupl na rekord
8:52Agentura Fitch potvrdila rating České republiky na stupni AA-
6:06Hroutí se infrastruktura – nebo jedno klišé?
26.01.2020
8:12Víkendář: Tahle středověká daň se snad již nevrátí
25.01.2020
16:12Airbus chce pomoct aerolinkám zajistit se proti výkyvům cen letenek
7:53Víkendář: Novodobí socialisté zapomínají na Sovětský svaz
24.01.2020
22:01Koronavirus zasáhl zámořské trhy
18:11Bez ženy na akciový trh zapomeňte
17:05Roman Koděra: Star Trek versus Star Wars a jeden tip pro investory
16:54Evropa končí týden úspěšně, Ameriku zaskočil druhý případ nákazy  
16:10O kolik tedy vlastně propadl ten náš hypoteční trh?
15:34Prognóza Patrie: O2 kvůli útlumu na českém i slovenském trhu mírně klesly tržby  

Související komentáře
Nejčtenější zprávy dne
Nejčtenější zprávy týdne
Nejdiskutovanější zprávy týdne
Kalendář událostí
ČasUdálost
10:00DE - Index podnikatelského klimatu Ifo
14:00Sprint Corp (12/19 Q3)
16:00USA - Prodeje nových domů