Evropská unie představila návrh nové legislativy týkající se ochrany dat, z níž firmám vyplývá řada povinností. Do konce roku 2017 by měly vstoupit v platnost dva nové právní předpisy EU, které upravují informační bezpečnost a ochranu dat: Kyberbezpečnostní směrnice o bezpečnosti sítí a informací (Network and Information Security, NIS) NIS stanoví standard pro zabezpečení informací a ochranu údajů a sjednotí předpisy v rámci jednotlivých členských států. Směrnice přikazuje „provozovatelům kritických infrastruktur“ (organizace z oblastí veřejných služeb, dopravy, veřejného sektoru a finančních služeb) nasadit odpovídající opatření pro správu bezpečnostních rizik a hlášení závažných incidentů na vnitrostátní orgány nebo angažovat speciální nouzový kybertým. Nařízení o obecné ochraně údajů (General Data Protection Regulation, GDPR) GDPR sjednotí stávající nařízení o ochraně údajů v zemích EU do jednoho zákona, který specifikuje jednotné pokyny, jak zacházet s osobními identifikačními údaji. Nová legislativa se bude týkat všech organizací působících v Evropě, a to bez ohledu na to, zda jsou údaje umožňující identifikaci osob uložené uvnitř hranic Evropské unie, či nikoliv. Dojde také k rozšíření definice „osobních údajů“, jejíž součástí budou i e-mailové adresy, IP adresy a veškerý obsah zveřejněný na sociálních sítích. Tyto směrnice a nařízení se stanou vymahatelnými, takže pokud organizace NIS nebo GDPR nesplní, riskují v případě narušení bezpečnosti přísné sankce. Navrhované pokuty jsou 5 % z celosvětového ročního obratu nebo až 100 mil. eur. Aktuální bezpečnostní předpisy pouze navrhují, aby organizace implementovaly „vhodná“ technická bezpečnostní opatření a zvolily odpovídající obchodní postupy, ale už není konkrétně uvedeno, jak přesně postupovat a jak by takové bezpečné řešení mělo vypadat. Ochrana by měla obsahovat uznávaná opatření, jako jsou šifrování dat a firewall, a organizace budou povinny oznamovat narušení bezpečnosti regulátorům i postiženým jednotlivcům do 72 hodin. Ochrana dat V rámci nové legislativy bude za ochranu dat zodpovědný celý dodavatelský řetězec – od dodavatelů k zákazníkům. Odpovědnost za zabezpečení dat nebude tedy možné převádět. To znamená, že organizace zpracovávající velké množství identifikačních informací budou muset instalovat opatření pro zabezpečení dat a kontrolovat i své partnery, aby bylo zaručeno, že také oni zpracovávají osobní údaje bezpečně. Nové právní předpisy EU budou mít zásadní vliv na to, jakým způsobem bude mnoho organizací v členských státech EU řešit své zabezpečení a jak budou informovat o incidentech a ztrátě dat. Zatím však není zřejmé, zda budou muset organizace podle GDPR jmenovat inspektora ochrany údajů, který by byl zodpovědný za správu a ochranu interních dat a shodu s předpisy a procesy. Organizace by zcela jistě měly brát nové právní předpisy jako příležitost přepracovat svůj přístup ke kyberbezpečnosti, protože posílením bezpečnosti mohou získat konkurenční výhodu. Jelikož si této závažné změny jsou vědomi všichni zainteresovaní, od dodavatelů technologií, právních specialistů až po zákonodárce, koná se k tématu kybernetické bezpečnosti řada konferencí, kam jsou zváni zástupci jednotlivých segmentů, aby diskutovali a navazovali kontakty. Řada firem v této změně vidí samozřejmě obchodní příležitosti. Jednu z takových konferencí jsme navštívili. Konference Cyber Security V polovině února se v pražské Grébovce konala konference Cyber Security – Citizens & Customers Data Protection s mezinárodní účastí. Obsahem konference byla diskuze podnikatelů a předních odborníků z oblasti informačních technologií o kybernetické bezpečnosti v České republice, jejích výzvách a volbě vhodné politiky související s řízením dat ve státních institucích i soukromých společnostech provozujících rozsáhlé databáze klientů a zákazníků. Konferenci organizoval Prague Security Institute a probíhala formou moderované diskuze. Účastníci z řad IT specialistů, právníků a zástupců průmyslu a obchodu České republiky, Slovenska, Maďarska, Polska a dalších zemí mohli prodiskutovat názory k této záležitosti. Stěžejními tématy byla kompatibilita zájmů národní bezpečnosti se zájmy obchodníků, jak minimalizovat rizika řádnými investicemi do HW i SW, a diskutovala se také spojitost mezi ochranou infrastruktury a kybernetické bezpečnosti. Dále se hovořilo o tom, jaké jsou klíčové rozdíly e-governmentu a e-commerce, zda budou firmy mít tendence data ochraňovat, nebo si pojistí možné následky jejich odcizení, jak odstranit či zmírnit rizika spojená s outsourcingem správy dat ve veřejném sektoru a samozřejmě jak ovlivní situaci zákonem stanovená odpovědnost za ukládaná data vůči třetím stranám. Tomáš Flídr, IT expert z Českého institutu manažerů informační bezpečnosti, například k otázce, jaké jsou rozdíly mezi e-government a e-commerce, říká: „Nevidím zásadní rozdíl mezi veřejnou a soukromou sférou. Využívají se stejné technologie, stejné metody managementu dat. Zásadní rozdíl je v odpovědnosti a povinnostech. Soukromé firmy musejí zabezpečit svůj informační systém před útoky zvenku a zároveň, aby nebyl zneužit zevnitř. Veřejné instituce mají kromě toho odpovědnost mnohem širší, stát totiž ručí za bezpečnost celého kybernetického systému. Naskýtá se otázka, kde jsou skutečné hranice kybernetického prostoru? Státní území je chráněno bezpečnostními složkami, ale nic takového v kybernetickém prostoru neexistuje. Další důležitou povinností státu je ochrana lidských práv a ochrana osobních dat. Řešením všech problematických oblastí je blízká spolupráce mezi privátními entitami a státními institucemi.“ Zabezpečit, nebo pojistit? Pan Flídr k této záležitosti sděluje: „Myslím, že je nutné pojistit i zajistit. Soukromé firmy však mají zajímavý přístup a ptají se v první řadě, kolik stojí pokuta, a domnívají se, že pojištění vše pokryje. Je třeba zdůraznit, že nezabezpečená IT struktura ohrožuje především jejich podnikání. Rovněž by mělo být zřejmé, že jen dobře zajištěná IT struktura bude pojištěna.“ Jan Kameníček, generální ředitel Hewlett Packard Česká republika, hovořil o budoucnosti a rizikách, která digitální svět čekají: „Průmysl 4.0? – Výroba bude postupně řízena téměř zcela automaticky, 20 % lidské práce bude nahrazeno stroji, do 10 let bude nahrazen i lidský mozek. Tato záležitost zcela zásadně změní B2B i B2C podnikání a obrovské množství lidí přijde o práci. Internet věcí? – V současné době je již pět miliard lidí napojených na internet, vbrzku nebude dostatek IP adres. Elektromobily budou za 10 let zcela běžným dopravním prostředkem, auta budou samořiditelná, zdravotní sensory budou podávat informace o člověku 24 hodin denně, chytré domy budou energeticky soběstačné. EU však musí sestavit digitální agendu, která umožní vytvořit takové zdroje a infrastruktury, jež budou toto vše schopny zajistit. Cílem by mělo být co nejhustší pokrytí internetem, jak jen je možné. Zároveň bude nutné sestavit takové analytické systémy, které budou velmi rychlé a velmi efektivní. Big data? – Aktuální situace se vůbec nedá srovnávat s tím, co bude za 10 let. Vznikne obrovské množství dat, které bude propojeno a bude se muset analyzovat. Zároveň bude třeba zajistit jeho 100% bezpečnost. Systémy budou muset zahrnovat minimálně třívrstvou ochranu. Firma HP zajišťuje bezpečnostní systémy pro velké korporace; vím, o čem mluvím, a vím, jak obtížné bude se na takovou situaci připravit.“ Odpovědnost třetích stran Někteří účastníci konference nevidí v nové legislativě jen pozitivní přínosy. Například Tomáš Čupr, provozovatel několika velmi úspěšných e-shopů, říká: „Mám z této situace obavy. Velice rád bych své podnikání rozšířil do dalších evropských zemí a představa, že bych měl v každé zemi angažovat místního specialistu na kyberbezpečnost, mě děsí. Velmi to komplikuje mé podnikání.“ Dále se hovořilo o poškození dobrého jména a značky v případě, že jsou zneužita data zákazníků, výhodách a nevýhodách outsourcingu, chybách uživatelů systémů z neznalosti, a jak tomu zabránit. Samozřejmě jedním z nejdiskutovanějších problémů byla odpovědnost třetích stran, jak je identifikovat a podržet jejich loajalitu s poskytovatelem citlivých informací. Jaká práva a povinnosti má stát, který sbírá obrovské množství dat, která jsou občané povinni předávat, a nikdo neví, jak a pro jaké účely je s nimi nakládáno, a mnoho dalších aktuálních otazníků kolem celé záležitosti. Kybernetická bezpečnost v ČR Česká republika je na tom, co se týče kybernetických útoků, velmi dobře. Zaznamenány jsou maximálně dvě ohrožení za rok. Čeští uživatelé IT systémů i sociálních sítí jsou důvěřiví a cítí se neohroženi. Nicméně situace se může například v souvislosti s povinností podávat daňové přiznání elektronicky a s fenoménem migrující Evropy velmi dramaticky změnit. Bouřlivé diskuze na toto téma budou zcela jistě probíhat ještě několik měsíců a doufejme, že se situace do konce roku 2017 vyjasní a všichni budou na práci s osobními daty náležitě psychicky i technologicky připraveni. /IS/