Hledat v komentářích
Investiční doporučení
Výsledky společností - ČR
Výsledky společností - Svět
IPO, M&A
Týdenní přehledy
 

Detail - články
Jsou data vašich klientů v bezpečí?

Jsou data vašich klientů v bezpečí?

13.04.2015 5:30
Autor: Lukáš Hoder, KSB

Rok 2014 byl na západ od nás ve znamení úspěšných kyberútoků na soukromý sektor. Nejednalo se zdaleka jen o pikantní útok severokorejských hackerů na filmové studio SONY, ale především o v Česku méně medializované případy krádeží soukromých dat z velkých amerických společností.  Největší americký řetězec zboží pro kutily Home Depot nebo druhá největší síť supermarketů v USA Target utrpěly závažné škody, když jim hackeři ukradli data o milionech kreditních karet a emailových adresách jejich zákazníků. Nastolený trend přitom pokračuje i v roce 2015. V únoru došlo k útoku na druhou největší americkou zdravotní pojišťovnu Anthem, při kterém byla ukradena data až 80 milionů klientů.

Důsledkem úspěšných útoků ve třech výše uvedených případech jsou desítky žalob zákazníků, bank a dalších poškozených, řada vyšetřování federálními úřady, a hrozící škody ve výši desítek až stovek milionů dolarů. Společnosti nejen že neochránily soukromá data svých zákazníků, ale nebyly ani připravené na situaci, že k úspěšnému útoku může dojít. Přesně to jim přitom regulační úřady při konečném účtování přičtou k tíži. Jaká je situace v Česku?

Správce údajů odpovídá vždy (takřka)

Podle českého zákona o ochraně osobních údajů je každý správce osobních údajů povinen přijmout taková opatření, aby se k těmto údajům nikdo neoprávněný nedostal. Co znamená “přijmout opatření”? Podle jednoho rozhodnutí Nejvyššího správního soudu to znamená “zajistit”, tedy bez ohledu na vše ostatní “garantovat”, že ke zneužití nedojde. Pokud tedy ke zneužití nakonec dojde, hrozí, že Úřad pro ochranu osobních údajů a soudy budou situaci vykládat tak, že odpovědnost správce je objektivní - tedy bez ohledu na jeho zavinění.

Přesto zákon umožňuje, aby se správce odpovědnosti zbavil (“vyvinil”), a to pokud dokáže, že vynaložil “veškeré úsilí, které bylo možno požadovat”, aby ke zneužití osobních údajů nedošlo. Jedná se o poměrně přísné kritérium. Musí se jednat o “veškeré” úsilí a zároveň důkazní povinnost leží na správci osobních údajů. Správce údajů tedy musí sám prokázat, že například efektivně proškolil své zaměstnance, jejich znalosti zkontroloval a zajistil, že skutečně vědí, jaké bezpečnostní předpisy musí dodržovat. Mezi povinnosti správce patří v tomto smyslu samozřejmě i řada dalších opatření, které společně tvoří ono zákonem vyžadované “veškeré úsilí”.

Co dělat?

Správce osobních údajů musí být připraven i na situaci, když ke zneužití osobních údajů jeho klientů skutečně dojde. Správce a jeho zaměstnanci by měli vědět, jak zjistit, co se vlastně stalo, jak tuto situaci vyhodnotit a jak na ni rychle a adekvátně reagovat.

Reakce se přitom může týkat jak samotného správce osobních údajů, tak i například otázky, kdy vše oznámit policii, Úřadu pro ochranu osobních údajů a postiženým subjektům. Příkladem může být situace, kdy se kybernetickým zlodějům podaří ukrást internetovému obchodu čísla kreditních karet jeho zákazníků. Je tento správce osobních údajů schopen zajistit, aby bezprostředně nedošlo ke krádeži dalších dat? Umí zhodnotit rozsah škody? Kdy vše oznámí poškozeným zákazníkům, aby je případně ochránil před dalším zneužití jejich dat? Oznámí vše i bankám? A co Úřadu pro ochranu osobních údajů? Z výše uvedeného případu americké pojišťovnu Anthem je přitom evidentní, že hackeři následně útočí i na klienty oběti předchozího útoku, jejichž osobní údaje již mají k dispozici.

Jak plyne z výše uvedeného, jedná se o poměrně velké množství citlivých otázek. Jak přitom správně tušíte, pokud k takové situaci skutečně dojde, začít s přípravou reakce je většinou poměrně pozdě. Jaké jsou tedy základní rady?

Na variantu zneužití dat by správce osobních údajů a jeho zaměstnanci měli být především připraveni předem. Správce by pro takovou situaci měl mít připravené vnitřní postupy a jeho zaměstnanci odpovědní za informační technologie by měli být schopni včas a adekvátně kybernetický útok rozpoznat a rychle na něj reagovat. Pokud již ke zneužití údajů došlo, prvním cílem by mělo být zamezit dalším škodám a zneužití dalších údajů. Dalším krokem by měla být analýza škod a kontaktování Policie ČR. Následný postup již závisí na rozsahu škody a schopnosti poškozené společnosti zjistit skutečné následky.

Kritická infrastruktura

Povinnosti některých velkých společností nekončí tím, že budou připraveny proti kybernetickým zlodějům. Nový zákon o kybernetické bezpečnosti, který nabyl účinnosti v lednu tohoto roku, a další předpisy stanovují totiž i dodatečné povinnosti, a to proti větším kyberútočníkům. Těm, kteří by svými útoky mohli narušit významnou či dokonce strategickou infrastrukturu v zemi, ohrozit životy tisíců lidí, způsobit škody v řádech desítek miliard korun nebo zásadně zasáhnout do života statisíců lidí v ČR.

Podle jednoho odhadu se přitom nejedná o zanedbatelný počet subjektů, ale o celých 5 % společností v ČR. Energetika, doprava, bankovnictví, telekomunikace, strojní průmysl, potravinářství, chemický průmysl a další odvětví by nově měla zvážit, zda útok na jejich byznys nemůže mít strategické dopady pro celou Českou republiku.

Rizika rostou

Přesun celých oblastí lidské činnosti do kyberprostoru má řadu výhod. Elektronická zdravotní dokumentace, elektronická státní správa, komunikace, bankovnictví… vše přes internet, snadno a rychle. S efektivitou a pohodlím rostou ale i rizika. Na to musí myslet nejen zákazníci, ale i správci jejich osobních údajů.

KŠB

Váš názor
Na tomto místě můžete zahájit diskusi. Zatím nebyl zadán žádný názor. Do diskuse mohou přispívat pouze přihlášení uživatelé (Přihlásit). Pokud nemáte účet, na který byste se mohli přihlásit, registrujte se zde.
Aktuální komentáře
21.01.2025
17:30Ze zpráv a spekulací kolem Trumpovy politiky dnes těží hlavně malé firmy  
17:04Výjimečné průměry a návratnost akciového trhu
15:03Invesco: Aristotelův seznam – 10 nepravděpodobných, ale možných výsledků pro rok 2025
14:43Výroba aut loni v Česku stoupla o 3,9 procenta na rekordních 1,453 milionu vozů
14:23Důvěra investorů v německou ekonomiku klesla výrazněji, než se čekalo
13:25Goldman Sachs: Další růst trhu se musí spoléhat na zisky, výnosy dluhopisů by měly zamířit zase dolů
12:50Výroba elektřiny v ČR loni klesla o čtyři pct, oslabují hlavně uhelné zdroje
12:41Volkswagen varuje před škodlivými dopady amerických cel na dovoz z Mexika. Trumpova politika bude nutit evropské automobilky k přesunu do USA
12:10Futures naznačují pozitivní úvod na amerických trzích  
10:57Jak si vsadit na Trumpovu inauguraci: Sektory, které by mohly v prvních dnech růst
9:06Rozbřesk: Donald Trump první den v práci: vyšší cla nepodepsal, ale slíbil. Eurodolar během inaugurace na houpačce
8:55Trump odložil zákaz TikToku, chce maximalizovat těžbu ropy a plynu
8:43Trumpovy kontroverzní kroky, nástup macho éry a evropské futures smíšené  
8:31FT: Aktiva klimatických fondů se loni snížila, Trump vyvolává pesimismus
8:11Ifo: Největší obavy mají z Trumpa ekonomové v Severní Americe a západní Evropě
6:02Tengler: Celková Trumpova politika a další faktory by měly přinést růst bez inflačních tlaků
20.01.2025
17:58Rozpad některých ekonomických „pravidel“
17:19Evropské akcie začaly týden úspěšně, americká cla prý nepřijdou hned  
16:20JPMorgan: Americké zisky v letošní výsledkové sezóně překonají Evropu
15:44Průzkum: Americké firmy čekají zhoršení hospodářských vztahů mezi USA a Evropou

Související komentáře
    Nejčtenější zprávy dne
    Nejčtenější zprávy týdne
    Nejdiskutovanější zprávy týdne
    Kalendář událostí
    ČasUdálost
    11:00DE - Index očekávání ZEW