Hledat v komentářích
Investiční doporučení
Výsledky společností - ČR
Výsledky společností - Svět
IPO, M&A
Týdenní přehledy
 

Detail - články
Jsou data vašich klientů v bezpečí?

Jsou data vašich klientů v bezpečí?

13.04.2015 5:30
Autor: Lukáš Hoder, KSB

Rok 2014 byl na západ od nás ve znamení úspěšných kyberútoků na soukromý sektor. Nejednalo se zdaleka jen o pikantní útok severokorejských hackerů na filmové studio SONY, ale především o v Česku méně medializované případy krádeží soukromých dat z velkých amerických společností.  Největší americký řetězec zboží pro kutily Home Depot nebo druhá největší síť supermarketů v USA Target utrpěly závažné škody, když jim hackeři ukradli data o milionech kreditních karet a emailových adresách jejich zákazníků. Nastolený trend přitom pokračuje i v roce 2015. V únoru došlo k útoku na druhou největší americkou zdravotní pojišťovnu Anthem, při kterém byla ukradena data až 80 milionů klientů.

Důsledkem úspěšných útoků ve třech výše uvedených případech jsou desítky žalob zákazníků, bank a dalších poškozených, řada vyšetřování federálními úřady, a hrozící škody ve výši desítek až stovek milionů dolarů. Společnosti nejen že neochránily soukromá data svých zákazníků, ale nebyly ani připravené na situaci, že k úspěšnému útoku může dojít. Přesně to jim přitom regulační úřady při konečném účtování přičtou k tíži. Jaká je situace v Česku?

Správce údajů odpovídá vždy (takřka)

Podle českého zákona o ochraně osobních údajů je každý správce osobních údajů povinen přijmout taková opatření, aby se k těmto údajům nikdo neoprávněný nedostal. Co znamená “přijmout opatření”? Podle jednoho rozhodnutí Nejvyššího správního soudu to znamená “zajistit”, tedy bez ohledu na vše ostatní “garantovat”, že ke zneužití nedojde. Pokud tedy ke zneužití nakonec dojde, hrozí, že Úřad pro ochranu osobních údajů a soudy budou situaci vykládat tak, že odpovědnost správce je objektivní - tedy bez ohledu na jeho zavinění.

Přesto zákon umožňuje, aby se správce odpovědnosti zbavil (“vyvinil”), a to pokud dokáže, že vynaložil “veškeré úsilí, které bylo možno požadovat”, aby ke zneužití osobních údajů nedošlo. Jedná se o poměrně přísné kritérium. Musí se jednat o “veškeré” úsilí a zároveň důkazní povinnost leží na správci osobních údajů. Správce údajů tedy musí sám prokázat, že například efektivně proškolil své zaměstnance, jejich znalosti zkontroloval a zajistil, že skutečně vědí, jaké bezpečnostní předpisy musí dodržovat. Mezi povinnosti správce patří v tomto smyslu samozřejmě i řada dalších opatření, které společně tvoří ono zákonem vyžadované “veškeré úsilí”.

Co dělat?

Správce osobních údajů musí být připraven i na situaci, když ke zneužití osobních údajů jeho klientů skutečně dojde. Správce a jeho zaměstnanci by měli vědět, jak zjistit, co se vlastně stalo, jak tuto situaci vyhodnotit a jak na ni rychle a adekvátně reagovat.

Reakce se přitom může týkat jak samotného správce osobních údajů, tak i například otázky, kdy vše oznámit policii, Úřadu pro ochranu osobních údajů a postiženým subjektům. Příkladem může být situace, kdy se kybernetickým zlodějům podaří ukrást internetovému obchodu čísla kreditních karet jeho zákazníků. Je tento správce osobních údajů schopen zajistit, aby bezprostředně nedošlo ke krádeži dalších dat? Umí zhodnotit rozsah škody? Kdy vše oznámí poškozeným zákazníkům, aby je případně ochránil před dalším zneužití jejich dat? Oznámí vše i bankám? A co Úřadu pro ochranu osobních údajů? Z výše uvedeného případu americké pojišťovnu Anthem je přitom evidentní, že hackeři následně útočí i na klienty oběti předchozího útoku, jejichž osobní údaje již mají k dispozici.

Jak plyne z výše uvedeného, jedná se o poměrně velké množství citlivých otázek. Jak přitom správně tušíte, pokud k takové situaci skutečně dojde, začít s přípravou reakce je většinou poměrně pozdě. Jaké jsou tedy základní rady?

Na variantu zneužití dat by správce osobních údajů a jeho zaměstnanci měli být především připraveni předem. Správce by pro takovou situaci měl mít připravené vnitřní postupy a jeho zaměstnanci odpovědní za informační technologie by měli být schopni včas a adekvátně kybernetický útok rozpoznat a rychle na něj reagovat. Pokud již ke zneužití údajů došlo, prvním cílem by mělo být zamezit dalším škodám a zneužití dalších údajů. Dalším krokem by měla být analýza škod a kontaktování Policie ČR. Následný postup již závisí na rozsahu škody a schopnosti poškozené společnosti zjistit skutečné následky.

Kritická infrastruktura

Povinnosti některých velkých společností nekončí tím, že budou připraveny proti kybernetickým zlodějům. Nový zákon o kybernetické bezpečnosti, který nabyl účinnosti v lednu tohoto roku, a další předpisy stanovují totiž i dodatečné povinnosti, a to proti větším kyberútočníkům. Těm, kteří by svými útoky mohli narušit významnou či dokonce strategickou infrastrukturu v zemi, ohrozit životy tisíců lidí, způsobit škody v řádech desítek miliard korun nebo zásadně zasáhnout do života statisíců lidí v ČR.

Podle jednoho odhadu se přitom nejedná o zanedbatelný počet subjektů, ale o celých 5 % společností v ČR. Energetika, doprava, bankovnictví, telekomunikace, strojní průmysl, potravinářství, chemický průmysl a další odvětví by nově měla zvážit, zda útok na jejich byznys nemůže mít strategické dopady pro celou Českou republiku.

Rizika rostou

Přesun celých oblastí lidské činnosti do kyberprostoru má řadu výhod. Elektronická zdravotní dokumentace, elektronická státní správa, komunikace, bankovnictví… vše přes internet, snadno a rychle. S efektivitou a pohodlím rostou ale i rizika. Na to musí myslet nejen zákazníci, ale i správci jejich osobních údajů.

KŠB

Váš názor
Na tomto místě můžete zahájit diskusi. Zatím nebyl zadán žádný názor. Do diskuse mohou přispívat pouze přihlášení uživatelé (Přihlásit). Pokud nemáte účet, na který byste se mohli přihlásit, registrujte se zde.
Aktuální komentáře
28.09.2022
22:00Wall Street přerušila šestidenní propad a rostla nejrychleji v tomto měsíci  
16:52Co říkají reálné výnosy o možné našponovanosti akciového trhu?
15:01Bloomberg: Apple upouští od zvýšení výroby iPhonů, poptávka po nich slábne
11:30Riziko recese stoupá. Goldmani i BlackRock se otáčí k akciím zády, doporučují investiční dluhopisy
9:33Evropská banka pro obnovu a rozvoj zhoršila výhled růstu ekonomik a varovala před inflací
8:51Poškození plynovodů Nord Stream bylo asi úmyslné, prohlásila švédská premiérka
7:09Probíhají strukturální změny, které ještě nejsou plně odraženy v cenách akcií, tvrdí investor Jensen
27.09.2022
22:01Wall Street uzavírá smíšeně. S&P 500 ukázal nová minima  
17:38Děravý Nord Stream, příprava na akci BoE a klesající ceny domů  
17:32Poloměkké, nebo polotvrdé přistání?
16:54Wall Street se snaží o obrat, rostoucí ropa pomáhá energetikám  
16:54Spotřebitelská důvěra v USA v září opět vzrostla, přispěl k tomu levnější benzin
16:22Podíl Londýna na primárních nabídkách akcií v Evropě klesl nejníže za 12 let
15:40Cílené útoky na plynovody Nord Stream 1 i Nord Stream 2? Úniky na více místech, potvrzeny silné podmořské výbuchy
15:36UNIMEX GROUP, uzavřený investiční fond, a. s.: Pololetní zpráva k 30.6.2022
13:46Akcie mohou jít nahoru i přes korekce ziskových očekávání, domnívá se ekonomka. Probíhají strukturální změny
12:09Summers: Postup Fedu je vítaný, Velká Británie začíná připomínat rozvíjející se zemi
11:54Nálada německých exportérů v září znovu klesla, je nejníže od května 2020
11:38EPH Financing CZ, a.s.: Oprava výroční zprávy společnosti za rok 2021
11:31RMS Mezzanine, a.s.: Konsolidovaná pololetní zpráva společnosti za 1. pololetí roku 2022

Související komentáře
    Nejčtenější zprávy dne
    Nejčtenější zprávy týdne
    Nejdiskutovanější zprávy týdne
    Kalendář událostí
    ČasUdálost
    Bed Bath & Beyond Inc (08/22 Q2, Bef-mkt)
    CarMax Inc (08/22 Q2, Bef-mkt)
    Micron Technology Inc (08/22 Q4, Aft-mkt)
    8:00H & M Hennes & Mauritz AB (08/22 Q3)
    14:00DE - Harmonizovaný CPI, y/y
    14:30CZ - Měnové jednání ČNB, zákl. sazba
    14:30USA - HDP, q/q a
    14:30USA - Nové žádosti o dávky v nezam.
    22:15NIKE Inc (08/22 Q1)