Bezpečnost informačních technologií ve firmě ve vztahu k zaměstnancům

24. 2. 2015 | Zdroj: BusinessInfo.cz

Kapitoly článku

V dnešní době probíhá ve firmách v čím dál větší míře digitalizace dokumentace a samozřejmostí je uzavírání smluv pouze formou emailové komunikace. Stoupá tak nejen nárok na vnitřní oddělení společností, která mají na starost informační technologie, ale i na uživatele jejich služeb.

Tento článek reflektuje právní stav ke dni 1. 1. 2014, tedy stav po nabytí účinnosti zákona č. 89/2012 Sb., občanský zákoník (dále jen „NOZ“), zákona č. 90/2012 Sb., o obchodních společnostech a družstvech (zákon o obchodních korporacích) (dále jen „ZOK“), a doprovodné legislativy vztahující se k rekodifikaci soukromého práva.

Podrobný obsah

Elektronizace a digitalizace

Téměř každá společnost se denně setkává se značným množstvím elektronických dat. Tato data jsou využívána jak pro interní komunikaci, tak pro komunikaci směrem ven ze společnosti ke klientům nebo zákazníkům. Může se jednat o otázky úzce spojené s fakturační činností společnosti, ale i o jiné případy, které z právního hlediska můžou zakládat závazkové vztahy.

V souladu s tím, jak roste velikost společnosti, roste i potřeba uspořádání procesů vztahujících se k informačním technologiím. Při jejich sledování je nutné vzít v úvahu stanovení jasných pravidel nakládání s nimi. Výše uvedené se týká nejenom vzniku, užití a přenosu dat, ale také zpracování, uložení a zejména archivace, případně skartace takových dat, která můžou obsahovat, když už ne přímo informace spadající pod definici obchodního tajemství, také citlivé informace o klientech nebo zákaznících.

Elektronizace přináší v každodenní praxi společností potřebu řešení nových, s touto problematikou spojených, problémů. Často se přitom jedná o selhání lidského faktoru. V tomto ohledu ve společnostech často chybí například definice takzvaných kritických dat. Obecně platí, že společnosti by měly mít jasně definovanou strukturu dat, stejně jako jasná pravidla pro užívání elektronických prostředků komunikace.

Důležitou otázkou zůstává forma, ale i obsah všech firemních dokumentů. Důsledkem selhání může být nepříjemné řešení vzniklých problémů, které nebyly ošetřeny např. formou vnitřních směrnic ve společnosti. Zásadně platí vyvratitelná domněnka, že záznamy údajů o právních jednáních v elektronickém systému jsou spolehlivé, provádějí-li se systematicky a posloupně a jsou-li chráněny proti změnám. Byl-li záznam pořízen při provozu závodu a dovolá-li se jej druhá strana k svému prospěchu, opět platí vyvratitelná domněnka, že záznam je spolehlivý.

Pro portál BusinessInfo.cz zpracoval advokát Mgr. Marek Doleček, partner advokátní kanceláře Doleček Kahounová Sedláčková.

Forma a obsah dokumentů

Při vytváření dokumentů ve společnosti platí základní pravidlo, a sice dodržení jejich důvěryhodnosti, integrity a dostupnosti. V každé společnosti by tyto zmiňované pojmy měly být jasně definovány. Jedná se o vnitřní předpisy společností směrem dovnitř společnosti a vhodné definování těchto pojmů ve smlouvách, které společnost uzavírá ve vztahu ke třetím osobám.

Na tomto místě je vhodné zmínit například smlouvu o mlčenlivosti (tzv. „NDA – Non-Disclosure-Agreement“), která je v dnešní době již běžně využívána ve velkých nadnárodních společnostech k ochraně citlivých dat. Její vyhotovení přitom není nijak složité a poradit by si s ní měl každý právník.

Bezpečnost a spolehlivost jsou tedy pojmy, které je potřeba rozlišit a definovat ve smluvní dokumentaci, například i výše uvedenou formou doložky smluvní dokumentace, anebo samostatné smlouvy o mlčenlivosti.

Cílem společností v této oblasti by mělo být zejména dodržení důvěrnosti dat, jejich integrity a dostupnosti. Často je ve smluvní dokumentaci nebo i jiných firemních dokumentech definována správně otázka pravidel, nicméně chybí jasná představa o adresnosti, případně odpovědnosti dotčených osob a souvisejícího právního jednání. V této souvislosti je opět vhodné připomenout vnitřní směrnice společnosti. Tyto zásadní dokumenty by měly výše zmiňované otázky řešit. Řada společností k tomuto účelu využívá kromě standardních interních předpisů (organizační, případně pracovní řád), též například etický kodex (tzv. „Code-of-Conduct“).

V souvislosti s nově přijatou právní úpravou NOZ došlo rovněž k úpravě předsmluvní odpovědnosti. Proti původní právní úpravě přinesl NOZ v rámci ustanovení § 1728 – 1730 do právního řádu České republiky poměrně podrobnou úpravu zakotvení tohoto institutu. Podle původní úpravy byla předsmluvní odpovědnost částečně dovozována pouze v judikatuře Nejvyššího soudu České republiky. Nyní nově zákonodárce stanovil jasná pravidla, jimiž pokryl základní oblasti, stejně tak jako vymezil zřetelné hranice z hlediska náhrady škody.

Institut předsmluvní odpovědnosti při respektu k zásadě autonomie vůle a kontraktační svobody navazuje na princip poctivosti, když požaduje, aby k sobě strany v rámci předsmluvního vyjednávání přistupovaly poctivě v souladu se základními zásadami občanského práva, jak určuje i citované ustanovení § 6 NOZ, a vzájemně se v maximální míře informovaly o relevantních právních a skutkových okolnostech.

NOZ tak nově pamatuje například na situace, kdy jedna strana vede předsmluvní vyjednávání, ačkoliv nemá skutečný záměr smlouvu uzavřít, popř. kdy strana odmítne bez spravedlivého důvodu uzavřít smlouvu v okamžiku, kdy se její uzavření jevilo jako vysoce pravděpodobné a druhá strana uzavření smlouvy důvodně očekávala (například těsně před podpisem).

Z uvedeného je patrné, že představa, dle které vůči druhé smluvní straně nemám žádnou povinnost do okamžiku, než s ní skutečně konkrétní smlouvu uzavřu, není přesná a postup v jejím duchu by se nemusel vyplatit. Jak již bylo naznačeno, úprava předsmluvní odpovědnosti má svoje racionální opodstatnění a je v souladu s obecnou koncepcí nového občanského zákoníku, který klade větší důraz na to, aby každý jednal v právním styku poctivě (§ 6 NOZ). V praxi to však může znamenat riziko pro smluvní stranu, která v průběhu vyjednávání z jakéhokoliv důvodu změní svůj názor a odmítne smlouvu uzavřít.

Výše uvedená odbočka do právní teorie má svoje opodstatnění i v elektronické komunikaci. Lze pouze doporučit, aby v rámci jakékoliv komunikace s obchodními partnery, případně klienty bylo počínáno obezřetně a v tomto směru byli zaměstnanci řádně poučeni. Vzhledem k tomu, že elektronická komunikace, která je dnes mezi podnikateli naprostou samozřejmostí, může splňovat parametry předsmluvního vyjednávání, je vhodné například doporučit, aby k obchodní elektronické korespondenci byly připojovány tzv. „disclaimery“, tedy krátká informace na závěr každého e-mailu, která vhodným způsobem upozorní protistranu na míru závaznosti určité komunikace, případně oprávnění daného pracovníka k zamýšlenému právnímu jednání.

Hlavní cíle při řízení firemní dokumentace

Zatímco v dobách minulých se hlavní činnost IT věnovala hlavně servisu technických požadavků, v dnešní době vysoké míry elektronizace se začíná orientovat i na služby s tím spojené, nezřídka závažného odborného charakteru, který není snadno pochopitelný ani pro laiky nebo odborníky ve vedení společnosti. Toho se dotýkají již zmíněné hlavní cíle, které by měly najít svoji reflexi ve vnitřních předpisech společností, jako je pracovní řád, podpisový řád a podobně. Pro správné fungování bezpečnostní politiky společnosti je vhodné zamyslet se nad níže uvedenými oblastmi.

Předjímání situace

V souvislosti s podepisováním dokumentů je velmi vhodné upravit vnitřní předpisy tak, aby nemohlo dojít k jejich zneužití. Například elektronický podpis má v souladu s novou úpravou občanského práva před soudem stejnou hodnotu, jako podpis na papírové listině. Nastavení procesů ve společnosti tak musí odpovídat základní zásadě prevence, zejména v oblasti pravomocí zaměstnanců a jejich dispozice s důvěrnými daty.

Vnitřní předpisy

Při definování vnitřních předpisů jsou důležitými faktory adresnost a odpovědnost. Definice důvěrných informací však nemusí spadat pod definici obchodního tajemství.

Zákoník práce

Z obchodního pohledu je tedy důležité dbát na jasné definování takových pojmů, jakými jsou utajení, diskrétnost a mlčenlivost. NOZ pamatuje na tyto pojmy hned v několika ustanoveních. Ta se týkají zejména takových pojmů, jako je „obchodní tajemství“ (obsaženo přímo v zákoně), „důvěrné informace“ (které je vhodné určit interním předpisem), případně autorská práva a v neposlední řadě i ochrana osobních údajů.

IT bezpečnost

Nesmírná důležitost datové a informační bezpečnosti organizace vyplývá z dnes již běžně užívaných definic systémů ISO9001 a ISO 27000, přičemž nesmíme zapomenout na to, že v těchto systémech dochází ke vzájemnému doplňování se. Praktické uplatnění uvedených definic je v každé organizaci nezbytnou záležitostí.

Výše uvedené plyne ze snahy výrobce dosáhnout co nejvyšší jakosti daného výrobku, čímž očekává splnění všech představ a požadavků zákazníka. Dosažení splnění těchto očekávání je pro každého výrobce samozřejmostí z důvodu základního předpokladu zákazníka, který přirozeně očekává, že výrobnímu procesu ve všech jeho fázích bude věnována přiměřená pozornost.

Informační systém již v dnešní době představuje nezbytnou součást každého výrobního procesu. Informační systém neustále a nevyhnutelně naráží na různé negativní vlivy. Existence norem ISO 9000 a ISO 27000 je kupříkladu zaměřená na co největší minimalizaci těchto negativních vlivů.

Pod informační a datovou bezpečností rozumíme stav, který nastane při stanovené úrovni dosažitelnosti, spolehlivosti a integrity všech informací. Nesmíme přitom zapomenout na to, že pod výrazem systém nemyslíme jenom nějakou všeobecnou soustavu hardwarového a softwarového zázemí. Takovým systémem je možné nazvat pouze komplexní systém, který podporuje mnoho faktorů, jako je vývoj všech výrobků, tržní vztahy, vazby na zákazníka a dodavatele.

V případě, že společnost vlastní jakýkoli certifikát jakosti, pak v souvislosti s navázáním na tyto systémy kvality dochází k rozšíření jistých standardních postupů. Konkrétně se jedná o ty standardní postupy, které jsou nezbytnou podmínkou při certifikaci jakosti pro certifikát týkající se bezpečnosti. Propojenost těchto certifikací plyne z použití podobných pravidel.

Jak již bylo stručně zmiňováno výše, v původních konceptech představovaly informační bezpečnost především informační technologie. Velkou důležitost mělo všemožné zabezpečení informačních technologií před různými negativními vlivy, které na ně mohly působit z vnějšího, ale i vnitřního prostředí společnosti.

V současné době je tento původní koncept doplněn spíše o komplexní pohled, ve kterém je nevyhnutelným prvkem role uživatelů a jednotlivých procesů. Jak je patrné z výše uvedeného, pro funkčnost celého systému je nezbytné dosažení jakosti a zároveň robustnosti jednotlivých systémových procesů. Kvalitativně se celý proces posouvá od konceptu ochrany samotných technologií k původcům narušení bezpečnosti, tedy jejich jednotlivým uživatelům.

Při aktivitách spojených především s budováním a údržbou interních informačních nebo bezpečnostních systémů dochází v mnoha případech k problémům souvisejícím s odmítáním podřídit se byrokratickým metodám a postupům. Jde zejména o metody a postupy, jejichž existence přirozeně plyne z certifikačních procesů. Neochota postupovat v souladu s pokyny má za následek mimo jiné tu skutečnost, že uživatelé zmiňovaných standardů se často snaží dodržování nastavených interních pravidel nějakým způsobem vyhnout.

Na tomto místě je proto vhodné zmínit nezbytnost určitých ustanovení pracovní smlouvy, kterým nutně musí být podřízen každý zaměstnanec. Jedině kvalitní pracovní smlouva má v sobě zakomponovaná všechna důležitá opatření, která souvisejí s budováním nejenom informační bezpečnosti společnosti. Na základě existence pracovní smlouvy potom dochází k jasně definované možnosti vymahatelnosti práva a ke stanovení odpovědnosti vzniklé při porušování dohodnutých a stanovených pravidel v případě, kdy dojde k protiprávnímu jednání (a to nezřídka s úmyslem na straně zaměstnance).

Bezpečnostní politika společnosti

Každá struktura bezpečnostní politiky společnosti by měla naplnit určité optimální podmínky. Při vytváření takové optimální struktury používá společnost aktivní pomoc interních specialistů. Tito specialisté požadované struktury bezpečnostní politiky organizace nesou plnu odpovědnost za celou tuto oblast. Nezbytná je také účast vrcholového vedení firmy.

Aby došlo k maximálnímu možnému zvýšení všech účinků opatření, která se týkají bezpečnosti, je v některých případech nevyhnutelné zařídit dohled externích auditorů, kteří jsou nezávislí. Jejich klíčovou úlohou je neustále zjišťovat, zda dochází k dodržování stanovených pravidel. Když společnost vytvoří optimálně fungující systém bezpečnosti, získá především uživatele, kteří se vyznačují kvalitním obeznámením s podmínkami. Tito uživatelé potom aktivně vytváří nová pravidla bezpečnostní politiky.

U mnoha společností v této souvislosti dochází k nevhodnému přístupu, který plyne z paranoidní snahy přehnaně šetřit náklady spojené s provozem společnosti. Důsledkem špatného přístupu bývá nedostatečné využívání externích specialistů. Některé společnosti se mylně domnívají, že není nezbytné využívat služby nezávislých specialistů nebo poradců. Organizace získávají pocit plné spokojenosti s dosaženým stavem.

Pravdou však zůstává, že zpětná vazba pocházející z nezávislého pohledu, je často nenahraditelná. Důsledkem takového přístupu nakonec bývá nedostatečná účinnost bezpečnostních opatření. Z tohoto důvodu nedoporučujeme podceňovat důležitost nezávislých expertů.

Další častou chybou je, když se vrcholové vedení společností snaží přesunout, nebo jinak řečeno delegovat, zodpovědnost za informační bezpečnost na jiné místo, ve většině případů na IT oddělení. V mnoha případech tento chybný krok znovu vede k vzniku nefunkčního a neúčinného systému.

Vedení společnosti má za hlavní úkol zabezpečit pravidelně se opakující odborná školení, která jsou určená pro ty zaměstnance, kteří se zabývají provozem a rozvojem technologií, přičemž tato školení podléhají pravidlům bezpečnostního auditu. Výsledkem školení pak má být vznik obecného povědomí uživatelů, které souvisí se vznikem rizik a možných bezpečnostních incidentů.

Na základě zmiňovaného povědomí potom dochází k celkovému zlepšení procesu obecné bezpečnosti. U uživatele, který je jasně obeznámený s možnými nástrahami v různých oblastech, například v sociálním inženýrství, dochází k mnohem lepší orientaci a schopnosti řešit problém vzniklý konkrétním cíleným útokem spojeným se snahou překonat bezpečnostní systém.

Další velkou výhodou kvalitně školeného uživatele bývá jeho optimální chování v čase, kdy se nenachází přímo v organizaci. Je mnohem více schopen střežit si své soukromí a bývá patřičně opatrný při výkonu svých soukromých aktivit. Na základě výše uvedených skutečností je možné konstatovat, že organizace dbající na kvalitní budováni a udržovaní bezpečnostního systému chrání nejen své záležitosti, ale také neméně důležité záležitosti svých pracovníků. Proto lze takové chování ve všeobecnosti považovat za žádoucí chování firmy vůči svému zaměstnanci.

Nesmíme zapomenout na nezastupitelnost vysoce kvalifikovaných lidí, kteří by ve společnosti rovněž neměli chybět. Tito lidé představují nezpochybnitelnou konkurenční výhodu v oblasti správy informačních technologií. Společnost se může pochlubit vysoce zajištěnou bezpečností informačních technologií právě v tom případě, kdy v ní za žádných okolností nechybí vysoce školení odborníci v celé IT oblasti. Za další nesmírně důležitou vlastnost těchto odborníků lze považovat jejich loajalitu vůči zaměstnavateli, který musí pociťovat, že se na své zaměstnance může ve všem spolehnout.

Pro portál BusinessInfo.cz zpracoval advokát Mgr. Marek Doleček, partner advokátní kanceláře Doleček Kahounová Sedláčková.

Systémová pravidla bezpečnostní politiky organizace

Každý uživatel IT systému musí mít stanoveny jasné hranice, které už nesmí překročit. Takové vytyčené hranice, mezi kterými se uživatel může pohybovat, jsou stanoveny prostřednictvím pravidel a požadavků, která jsou určena pro celý provoz informačních systémů.

Restrikce vyplývající z povinností, které jsou definovány na základě bezpečnostní politiky organizace, můžou být dané již v pracovních smlouvách. Na tomto místě platí, že nesmí být nijak měněny a jejich důležitým úkolem je zakotvit v interních pravidlech společnosti tak, aby se staly jeho neměnnou součástí. Pro organizační struktury ve všeobecnosti platí, že se navzájem z mnoha různých důvodů odlišují, a na základě této skutečnosti je možno konstatovat, že pravidla by měla být vypracována samostatně pro jednotlivé druhy aktivit společnosti.

Již zmiňovaná souvislost bezpečnostních pravidel s pracovní smlouvou znamená, že každá pracovní smlouva by měla obsahovat určité náležitosti (či alespoň jejich formální popis), které mají být její neoddělitelnou součástí. Mezi základní pravidla je v této souvislosti možné zařadit alespoň:

  • komunikace prostřednictvím emailu,
  • pravidla související s přístupem na internet,
  • pravidla uplatňovaná při využívaní výpočetní techniky,
  • podporované programové vybavení,
  • evidence hardwaru a softwaru,
  • pravidla určená pro využití vlastních zařízení,
  • mnohé citlivé údaje, jako například personální data anebo know-how,
  • pravidla a školení určená pro používání certifikátu a elektrického podpisu zaměstnance.

Pro elektronickou komunikaci přitom platí, že pokud bereme do úvahy ochranu práv a svobod občana, ve všeobecnosti má e-mailová komunikace soukromý charakter. V praxi to znamená, že zaměstnavatel nemá právo jakékoliv kontroly e-mailové pošty svých zaměstnanců. Zaměstnavatel sice může kontrolu e-mailové komunikace požadovat, v takovém případě by ale měla být tato kontrola již zmíněná v jednotlivých pracovních smlouvách všech zaměstnanců, od kterých zaměstnavatel takovou kontrolu vyžaduje.

Co se týče pravidel souvisejících s přístupem na internet, tato pravidla mají být taktéž jasně určená v pracovních smlouvách zaměstnanců. V ideálním případě by taková pracovní smlouva měla obsahovat předem pojmenované chování, které je v souvislosti s přístupem na internet nepřístupné, nebo zakázané; zaměstnavatel má pak právo takto definované chování považovat za hrubé porušení pracovní kázně.

V případech, kdy je zaměstnanci přidělena výpočetní technika určená ke splnění pracovních úkolů, opětovně se požadují jasně stanovená pravidla, na základě kterých je zaměstnanci co nejpřesněji definováno, jakým způsobem může s touto technikou manipulovat.

V některých případech se může stát, že zaměstnanec začne považovat výpočetní techniku přidělenou mu zaměstnavatelem k plnění pracovních úkolů za své osobní vlastnictví. Takto nevhodné pochopení pravidel snadno vede ke vzniku různých zásadních bezpečnostních incidentů narušujících bezpečnostní politiku společnosti. Technické restrikce zamezující neoprávněným uživatelským zásahům se ukazují jako málo účinné. Proto i tato oblast musí být ideálně zachycena v pracovní smlouvě zaměstnance.

Jednoznačně definována by měla být rovněž pravidla pro využití programového vybavení různých zařízení, která by stanovila rámec podporovaného a jednotného softwaru. Tato skutečnost úzce souvisí s tím, jakým způsobem jsou definovány jednotlivé pracovní činnosti a jejich vybavení jednotným softwarem. Může tak být správně zajištěna zastupitelnost uživatele a zároveň usnadnění správy vnitřních záležitostí společnosti.

Na druhé straně je možné říci, že pravidla určená pro využití vlastních zařízení, obstaraných nebo vlastněných zaměstnanci, jsou velmi obtížně definovatelná. Vlastní zařízení, která zaměstnanci používají při výkonu svých pracovních povinností a činností, představují desítky nových požadavků potřebných na zajištění bezpečnostní politiky. Za takové vlastní zařízení, které zaměstnanci nejčastěji používají, můžeme právem považovat, v dnešní době značně běžné a populární, „chytré“ mobilní telefony obsahující mnoho funkcí.

Nové požadavky jsou však mnohokrát protichůdné. Je jasné, že výše uvedený přístup s využitím vlastních zařízení zaměstnanců má mnoho nezastupitelných výhod. Mezi hlavní výhody můžeme považovat fakt, že dochází k zvýšení produktivity a atraktivnosti pracovních pozic. Nevýhodou používání vlastních zařízení bývá zvýšená šance vzniku bezpečnostních incidentů. Stane-li se, že např. notebooky zaměstnanců budou napadeny škodlivým softwarem, vznikne během komunikace s počítačovou sítí v kanceláři riziko pro celou společnost.

Mezi velmi citlivé údaje, kterým je potřeba věnovat zvýšenou pozornost, patří osobní data (např. zaměstnanců, nebo klientů) a know-how. Pro tyto údaje platí, že pro ně musí být v interních předpisech organizace jednoznačně definováno umístění datového a případně záložního úložiště. Na základě jasného definování úložiště výše uvedených dat jsou potom dána i jasná pravidla, která je nutné dodržovat při manipulaci s citlivými údaji. Pro tato pravidla je charakteristické, že musí být schválená a podepsaná vrcholovým vedením společnosti.

Aby měla společnost jistotu, že bude možné snížit bezpečnostní riziko na minimum, musí mít jasně definovaná pravidla a s tím související důkladné školení pro používání certifikátu a elektronického podpisu zaměstnance. Tato pravidla a školení jsou také nutnou podmínkou pro snížení uvedeného bezpečnostního rizika. Běžnému uživateli obvykle chybí technické znalosti. Proto v těchto případech často dochází k situaci, v níž uživatel podcení význam a právní důsledky spojené se zneužitím této technologie.

Technická pravidla pro zvýšení bezpečnostní politiky organizace

Co se týče datového úložiště a serverových aplikací platí, že tyto musí být založené na vysoce bezpečných a pokud možno heterogenních platformách. Na základě této skutečnosti je možné říct, že na znalosti systémových administrátorů jsou kladeny mnohem vyšší nároky. Musíme však vyzdvihnout i výhodu takto definované infrastruktury, na základě které dochází k výraznému snížení možnosti vzniku bezpečnostního incidentu.

Za často uváděné a nesmírně důležité pravidlo je možno považovat zálohu dat, v ideálním případě mimo místo, kde se vyskytuje hlavní server. Nejlepší je situace, kdy tato záloha dat je umístěná v jiném objektu. Při dodržení výše uvedeného jednoduchého pravidla máme jistotu, že nedojde ke ztrátě dat, k níž může jinak velice snadno dojít na základě nahodilého bezpečnostního incidentu velkého rozsahu, například při požáru nebo povodni.

Optimalizace informační bezpečnosti a trendy na ochranu bezpečnosti informačních technologií

Bezpečnostní politika společnosti definuje souhrn základních metodik, pravidel, zodpovědností a zásad, jejichž primárním úkolem je ochrana před úmyslným útokem zevnitř nebo zvnějšku s cílem poškodit organizaci a jejich zaměstnance. Další nedílnou částí je ochrana před neúmyslnou chybou. Platné a trvale udržované interní směrnice, které reflektují směr vývoje informačních technologií a předvídají jejich trendy v oblasti bezpečnostních incidentů, by měly mít za cíl pomoci zaměstnancům snáze rozpoznat možná rizika.

V případě podezření nebo vzniku bezpečnostního incidentu poskytuje správně nastavená bezpečnostní politika nástroj pro restriktivní opatření, zvyšuje jistotu kvalitní ochrany majetku společnosti proti poškození nebo zničení. Bezpečnostní politika organizace představuje jednu z konkurenčních výhod, která deklaruje kvalitu firmy.

V této souvislosti je však vhodné mít na paměti, že správně definovaný systém jakosti a bezpečnosti organizace rozhodně není jen souhrnem norem, definic, softwarových produktů a restrikcí. Rozhodující je systém, který stojí na správně vyškolených zaměstnancích a kvalitních pracovních smlouvách.

Datová bezpečnost je záležitostí, která se již dávno netýká jenom korporací a velkých firem. V současné době je to faktor týkající se téměř každého podnikatele, který zároveň při své činnosti využívá informační technologie. Čím dál tím častěji dochází ve firmách ke krádežím a zneužití citlivých firemních informací. V oblasti kybernetické bezpečnosti dochází nejčastěji k problémům v níže vyjmenovaných oblastech:

  • Zastaralý hardware a software
  • Neexistující ochrana specializovanými nástroji
  • Neloajální zaměstnanci
  • Vlastní zařízení zaměstnanců (např. notebook, telefon)
  • Nevhodným způsobem nastavené procesy ve společnosti

V mnohých společnostech se i přes rychlý vývoj informačních technologií běžně stává, že firmy používají zastaralý hardware a software. Vedení v takových společností si často neuvědomuje, že společnost vystavují bezpečnostnímu riziku v tom okamžiku, kdy dojde k zastavení dodávání bezpečnostní aktualizace od výrobce příslušného hardwaru a softwaru. V momentě, kdy dojde k zániku technické podpory, tento operační systém se stane velmi snadno napadnutelným narušitelem zvenčí. Zastaralý hardware pak mohou ve zvýšené míře ohrožovat i různé poruchy a z tohoto hlediska by měla být samozřejmostí průběžná výměna.

Mezi jednu z nejdůležitějších položek majetku společnosti beze sporu patří její duševní vlastnictví. Když dojde k jeho ztrátě, pro společnost to může mít až likvidační důsledek. Společnosti mu i přes tuto skutečnost mnohokrát věnují minimální pozornost. Je přitom zřejmé, že ochranu citlivých firemních dat je možné řešit s pomocí specializovaného programového vybavení. Jedním z hlavních úkolů bezpečnostního programu bývá sledování využívání firemních USB disků či notebooků. Takto sledovaná data je pak možné šifrovat. I přes nesmírnou důležitost bezpečnostního softwaru dochází ve firmách k neustálému odkládání jeho zavedení, často až do chvíle, kdy dojde ke skutečné ztrátě důležitých dat.

Jak již bylo uvedeno a blíže popsáno, v mnoha společnostech se stává samozřejmostí použití vlastních počítačů a mobilních telefonů zaměstnanců. Využívaní vlastní techniky představuje pro firmu velkou výhodu, která spočívá ve snížené nutnosti společnosti starat se o svůj hardware. Je však v souvislosti s tímto trendem nutné myslet také na zvýšená rizika, která toto řešení přináší. Řešení situace spočívá ve vzájemné dohodě zaměstnance a zaměstnavatele o nastavení a dodržování bezpečnostních pravidel ve společnosti.

Dopad špatně nastavených procesů ve společnosti na její řádný chod je zřejmý. Problémům je možné se efektivně vyhnout pouze v tom případě, když je důležitost kvalitní firemní politiky a jejich interních předpisů myšlena opravdu vážně. Administrátor má být vybaven dostatečnými pravomocemi a má mít vybudovanou autoritu pro uplatňování a dodržovaní všech bezpečnostních postupů, už jenom z toho důvodu, že ve společnostech často dochází k podceňování otázky bezpečnosti ze strany jejího vedení.

Bezpečnost informačních technologií je často brána jako něco méně důležitého, jako nějaký doplněk práce odpovědných zaměstnanců. Ve skutečnosti by přitom mělo jít o zcela opačný postup, kdy prioritní místo by u správce informačních technologií měla mít bezpečnost firemních dat a velkou pozornost by měli příslušní zaměstnanci také věnovat zabezpečení počítačů ve firemní síti i na všech datových úložištích.

Všechny tyto výše uvedené aspekty musí být ošetřeny ve vnitřních předpisech, a to nejen z pohledu jejich definování, ale také stanovení odpovědnosti za jednotlivé oblasti Zaměstnanci musí mít možnost se s daným předpisem seznámit.

Sebelépe napsaná směrnice uložená někde v šuplíku nebude aplikovatelná. Ochranu informací ve společnosti tak lze shrnout do třech oblastí, na které je potřeba při tvorbě interních předpisů pamatovat – je to právní kontext a smluvní ochrana, na druhém stupni vnitřní směrnice a pracovní smlouvy a v neposlední řadě i ochrana technologie ve vlastnictví společnosti – ať už procesně (šifrování, správné nakládání s elektronickým podpisem), nebo preventivně (instalace programů, které např. zamezí neoprávněnému úniku dat). Tyto oblasti již byly podrobněji popsány výše.

Pro portál BusinessInfo.cz zpracoval advokát Mgr. Marek Doleček, partner advokátní kanceláře Doleček Kahounová Sedláčková.

Kybernetická bezpečnost

Pro úplnost je vhodné v tomto článku uvést několik informací o kybernetické bezpečnosti. V oblasti bezpečnosti informačních technologií je v médiích obvykle zmiňován zákon č. 181/2014 Sb., o kybernetické bezpečnosti, v platném znění (dále jen „ZOKB“), a to ve vztahu k pravomocem kybernetického centra a zásahům do soukromí občanů. Jedná se o poměrně nový zákon, který byl připravován delší dobu a jeho dopady na samotnou praxi ukáže čas. V tomto článku je možné zmínit se o některých jeho dopadech pro firmy a na požadavky zákona na zajištění bezpečnosti.

ZOKB je sám o sobě milníkem v české legislativě, krokem k vyšší bezpečnosti v digitálním prostředí státních institucí i firem. Většina lidí, pokud se v dané problematice orientují, má obavy ze zásahu kybernetického centra do soukromí občanů. Zákon však naopak významně zvyšuje standard bezpečnosti a dostupnosti služeb, které jsou v takzvaném kyberprostoru občanům poskytovány. ZOKB si však klade mimo jiné za cíl zajistit bezpečnost, ať už formou organizačních nebo technických opatření.

Ve firmách v České republice chybí, co se bezpečnosti týče, dostatečná míra systematičnosti a organizovaného přístupu. Tím je ohrožena bezpečnost občanů a jejich dat spíše než zásahy v médiích populárního „velkého bratra“.

Vedení jednotlivých společností obvykle vnímají bezpečnostní rizika jako problémy, které lze vyřešit jednorázovým úsilím. Zhruba třetina osob odpovědných ve společnosti za realizaci, resp. výkon opatření k bezpečnosti přistupuje proaktivně a systém řízení rizik je pro ně způsobem, jak zajistit efektivnější dosažení cílů společnosti a vyvážit míru rizik a investic. V návaznosti na zaměření tohoto článku je klíčové uvědomit si, že bezpečnost spočívá v míře pokrytí rizik, ne v řešení jednotlivých technických problémů. A právě systém řízení rizik je jedním ze základních požadavků nového zákona.

Kroky společností, které se řídí pouze zákonnými povinnostmi v oblasti bezpečnosti, jsou obvykle vnímány jako nesystémové, avšak doposud se jednalo o legislativu zaměřenou na užší oblast (například týkající se bezpečnosti údajů pacientů nebo platebních údajů). ZOKB by měl nabídnout kompletní návod, jak postavit základy bezpečnosti ve společnosti a dále ji vylepšovat. Zákon se v některých ohledech podobá například standardu řízení bezpečnosti informací ISO 27001. Dokonce společnosti, které dosáhnou poslední verze certifikace ISO 27002, mají shodu s tímto zákonem téměř zabezpečenou.

Zákon rozděluje požadavky zajištění kybernetické bezpečnosti na technická a organizační opatření, a právě na organizační opatření je potřeba se zaměřit. Dá se říci, že pokud je ve společnosti implementováno nějaké bezpečnostní IT řešení, je mnohem vyšší šance na úspěch takového projektu, pokud existuje jeho podpora ze strany vedení společnosti, nebo osob odpovědných za vedení projektu.

Implementace řešení pro podporu systému řízení bezpečnosti informací, který je pro efektivní soulad se zákonem potřebný, je pouze polovičním úspěchem. V této oblasti je jedním z důležitých faktorů podpora vedení společnosti, aby nedošlo k situaci, kdy je pouze problém přesunut na IT oddělení a hrozí, že projekt se s velkou pravděpodobností nikdy nedokončí.

Jak již bylo naznačeno výše, nevyhovující stav znalostí a vzdělání v oblasti bezpečnosti je jedním z hlavních důvodů, proč je potřebné je v některých společnostech upřednostňovat. Jedním z požadavků zákona je školení zaměstnanců (§9 ZOKB – Bezpečnost lidských zdrojů). Právě tato oblast dnes na světovém trhu značně posiluje, a to ve smyslu samotného způsobu školení a předávání znalostí zaměstnancům.

Nejedná se již o přístup ve stylu krátkého proškolení zaměstnance ve zkušební době, ale o systematické a srozumitelné vzdělávání. Hrozby se neustále mění a samotné proškolení uživatelů již nestačí, nýbrž je potřeba je kontinuálně vzdělávat. Hledání možností, jak bezpečnost implementovat dovnitř firmy a předávat znalosti srozumitelnou a poutavou formou, je cesta, jak efektivně snížit náklady na pokrytí rizik.

IT bezpečnost, jakožto oblast virtuálního, nehmatatelného světa, navíc v kontextu rizik, tedy negativního myšlenkového procesu, je pro pochopení značně náročná. V rámci školení bezpečnosti se osvědčuje použití metafor, abstrakcí a příběhů z hmatatelného světa s navázáním vlivů na cíle společnosti.

Dopad na IT prostředí

ZOKB vyžaduje další znalost tří prováděcích vyhlášek, které jej provází. Například Vyhláška o kybernetické bezpečnosti stanovuje celkem 21 bezpečnostních politik, ze kterých je 10 společných pro všechny povinné osoby.

Povinná osoba uvedená v § 3 písm. e) ZOKB stanoví bezpečnostní politiky v následujících oblastech – systém řízení bezpečnosti informací, organizační bezpečnost, řízení dodavatelů, klasifikace aktiv, která zahrnuje pravidla pro bezpečné nakládání s aktivy, bezpečnost lidských zdrojů, řízení provozu a komunikací, řízení přístupu, bezpečné chování uživatelů, používání kryptografické ochrany a nasazení a používání nástroje pro detekci kybernetických bezpečnostních událostí.

Přestože je zákon téměř ideálem postupů a opatření v kybernetické bezpečnosti, nebude jeho naplnění snadné ani levné, pokud již společnost nemá většinu z požadavků vyřešenou. Jednotlivé firemní politiky a jejich požadavky na počet softwarových nástrojů, které jsou potřeba k jejich realizaci, přesahují minimálně desítku řešení.

Společně s organizačními opatřeními, která budou klást vyšší časové nároky na zaměstnance společnosti, se jedná o značné zdroje, které si plnění požadavků zákona vyžádá. Přestože je zákon nyní cílen spíše na větší společnosti a instituce, i pro ně bude často znamenat nové investice, neboť ani tyto subjekty většinou nedosahují plné shody se zákonem v aktuální podobě.

Jednou ze slabších oblastí společností je systém řízení bezpečnosti informací, jehož implementace bývá technicky zajištěna vhodným řešením pro ochranu dat. Prevence ztráty dat a její řešení pokrývají takové oblasti jako klasifikace dat, řízení práce s daty a příslušná hlášení bezpečnostních incidentů.

Vzhledem k nárokům na zapojení celé společnosti a zejména, jak již bylo zmíněno, na výši podpory vedení společnosti se jedná o jeden z náročnějších projektů v IT bezpečnosti. Právě kvůli nízké angažovanosti osob mimo IT oddělení tyto projekty v historii selhávaly. Splnění výše uvedených podmínek a vhodná motivace zaměstnanců může zachránit celý projekt a vzhledem ke značně sníženému riziku úniku dat i samotnou společnost.

Systém řízení bezpečnosti informací je jmenován na prvním místě v bezpečnostních politikách ZOKB, a není náhodou, že k naplnění zákona bude do značné míry vyhovovat, pokud již společnost splnila nároky kladené směrnicí ISO 27002. Tento standard pokrývá bezpečnostní rizika významné kategorie – bezpečnosti dat.

Obecně ZOKB klade požadavky, které se dají kategorizovat jako požadavky na řízení, kontrolu a monitoring osob nebo aktiv (např. data nebo informační systém). Společnost by se tedy měla zaměřit na řešení, které bude mít technicky největší kontrolu nad činnostmi koncových uživatelů a jejich prací s daty a aplikacemi. Projevuje se zde opět návaznost na přesné vymezení činností a odpovědnosti zaměstnanců v pracovní smlouvě a správná definice pojmu uživatele, a nikoliv procesu, nebo zařízení. Díky schopnosti řídit a kontrolovat práci uživatelů a aplikací s daty z výše uvedeného plyne i vhodnost využití procesů při implementaci ISO 27001.

Bezpečnost nespočívá v jednorázovém opatření

Zákon o kybernetické bezpečnosti je významným krokem směrem k bezpečnějšímu digitálnímu prostředí. Klade velké nároky na zdroje pro povinné osoby, které momentálně pokrývají pouze část požadavků, proto bude nutné hledat efektivní řešení pro podporu naplnění požadavků. Je ale postaven na solidních základech a nabízí inspiraci i podnikům, které nejsou povinnými osobami. Pomůže zvýšit povědomí o bezpečnosti a vhodných praktikách i o tom, že bezpečnost není pouhé jednorázové technické řešení problému, ale naopak organizační úsilí podpořené adekvátními technickými řešeními.

Důsledky porušení odpovědnosti

Jak plyne z výše uvedených informací, důsledky nedodržení zákonné úpravy nebo prevenční povinnosti pak spočívají v závažných následcích – snížení důkazní síly v případě sporu, vyslovení neplatnosti právního jednání soudem, neaplikovatelnost některých právních domněnek, nebo dokonce přímo trestní odpovědnost (ať už jednotlivých osob, nebo společnosti, vzhledem k tomu že lze stíhat i právnické osoby).

Pro portál BusinessInfo.cz zpracoval advokát Mgr. Marek Doleček, partner advokátní kanceláře Doleček Kahounová Sedláčková.

Tento článek reflektuje právní stav ke dni 1. lednu 2014, tedy stav po nabytí účinnosti zákona č. 89/2012 Sb. občanský zákoník, v platném znění (dále také jen „občanský zákoník“) a doprovodné legislativy vztahující se k rekodifikaci soukromého práva.

Přehled všech témat Právního průvodce

Tisknout Vaše hodnocení:

Související články

Diskuse k článku

+ Nový příspěvek