Firmy ohrožuje kyberzločin

22. 11. 2017 | Zdroj: BusinessInfo.cz

Především malé a střední firmy se dostávají do obtížné situace. Nevědí, zda se více bát hackerů, nebo pokut vyplývajících z nového nařízení EU na ochranu osobních dat

Počítače a programy pomáhají podnikatelům řídit firmu, na druhé straně se jejich stále větší zapojování stává rostoucí hrozbou pro bezpečnost podniku. Podle zprávy Světového ekonomického fóra se kyberzločin v roce 2017 stal jedním ze tří největších podnikatelských rizik.

Jen za loňský rok stála počítačová kriminalita globální ekonomiku 450 miliard dolarů a ukradena byla data dvou miliard lidí. I když vyčíslení škod v souvislosti s kybernetickým zločinem je podle odborníků vždy poněkud sporné, rostoucí objem útoků zůstává jasným trendem.

Zajištění bezpečnosti systémů, aplikací a dat je pro firmy přímo životně důležité, protože jejich podnikání je čím dál tím svázanější s IT technologiemi,“ říká Jan Dvořák, ředitel počítačové školy Gopas.

V příštím roce navíc vstoupí v platnost Evropské nařízení o ochraně osobních údajů (GDPR) spojené s citelným finančním postihem pro subjekty, kterým uniknou osobní data, jež spravují, takže ochrana dat bude ještě zásadnější. Nové nařízení si vyžádá nemalé finanční náklady na zavedení potřebných opatření, ale i náklady na průběžné dodržování nově stanovených pravidel. A zde více než kde jinde zajistí efektivní fungování investice do potřebného vzdělávání zaměstnanců,“ zdůrazňuje Jan Dvořák.

Bezpečnostní skuliny

I když se na první pohled může zdát, že Česká republika zatím zůstává stranou zájmů velkých hackerských skupin, realita není zdaleka tak růžová. „IT profesionálové si stále zřetelněji uvědomují negativní důsledky toho, že máme přístup kamkoli odkudkoli a z libovolného zařízení. Plná mobilita, používání zařízení zaměstnanců ve firmách (BYOD), využívání veřejných cloudových úložišť, to vše zvyšuje produktivitu a flexibilitu pracovníků, ale přidělává starosti IT specialistům zodpovědným za zabezpečení firemních dat a aplikací,“ říká William Ischanoe, expert na bezpečnostní problematiku.

Hackeři jsou přitom stále vynalézavější. „Variabilita útoků je velká, bezpečnostních skulin přibývá a tradiční nástroje pro zabezpečení často selhávají. Proto je pro profesionály v oblasti IT bezpečnosti nezbytné mít přehled o nejnovějším vývoji a vědět, jakým hrozbám je třeba čelit,“ uzavírá William Ischanoe.

Jedním z největších rizik při používání mobilních zařízení je přihlašování do veřejných Wi-Fi sítí. Především pokud jde o notebooky, mobilní telefony nebo tablety, ze kterých pak lidé pracují také ve firemní síti.

V příštím roce navíc vstoupí v platnost Evropské nařízení o ochraně osobních údajů (GDPR)
spojené s citelným finančním postihem pro subjekty, kterým uniknou osobní data, jež spravují,
takže ochrana dat bude ještě zásadnější,“ říká Jan Dvořák, ředitel počítačové školy Gopas.

Kvůli oblibě otevřených sítí v hotelech, obchodních centrech, restauracích a dalších veřejných místech je to jedna z nejjednodušších cest, jak někomu hacknout zařízení. Jakmile začne připojený přístroj stahovat jakýkoli obsah, můžeme zneužít zranitelnosti v klientských aplikacích a v operačním systému telefonů. A tím do něj získat celkem pohodlný přístup,“ podotýká William Ischanoe.

Pokud firmy chtějí, aby zařízení, která používají jejich zaměstnanci, byla skutečně bezpečná, neměly by tolerovat, aby pracovníci používali jeden přístroj pro práci i zábavu. Jedno zařízení by měli mít lidé vyhrazené na vstupy do firemních systémů, na placené služby, do internetového bankovnictví a druhé potom pro surfování při čekání, sociální sítě, zábavní aplikace.

V době, kdy nový smartphone stojí kolem tisíce korun je otázkou, zda se pro ochranu peněz v bance nebo klíčových dat nevyplatí vyhradit jeden přístroj jako terminál na transakce s bankou a druhý – hlavní telefon – kromě běžného provozu využívat jako zařízení pro sdílení připojení k Internetu, tedy jako Wi-Fi přístupový bod. Výhodou je, že nemusíme ani vytahovat SIM kartu a po stisknutí jediného tlačítka pro sdílení připojení vznikne mnohem bezpečnější prostředí pro vyřizování internetového bankovnictví a všech důležitých věcí z druhého telefonu. Většině lidí to připadá zbytečné – ovšem jen do doby, než o svoje peníze nebo data skutečně přijdou,“ dává William Ischanoe návod, jak bezpečně pracovat s mobilními zařízeními.

Kdo kouká přes rameno?

Používání firemních přístrojů zaměstnanci mimo firmu, ať už jsou jejich vlastní, nebo podnikové, přináší také další riziko. Postupně roste takzvaný visual hacking. S tím, jak se rozšiřuje práce v coworkingových centrech, kavárnách, ale také ve vlacích nebo prostředcích městské hromadné dopravy, totiž roste nebezpečí, že si citlivá data včetně hesel do vnitropodnikových systémů nebo osobních dat zákazníků někdo přes rameno vyfotí, natočí nebo jinak zaznamená.

K únikům informací přitom nedochází jen na veřejnosti, ale i na pracovišti, kdy citlivá data na monitoru vidí kolegové, kteří k nim sami nemají přístup. Na trhu se proto v poslední době objevily takzvané privátní filtry pro počítačové monitory, notebooky, tablety i mobily. Technologie je založena na omezení zorného úhlu celé obrazovky, a blokuje tak pohled z obou stran obrazovky počítače. „V bočním úhlu 30 stupňů začíná filtr na obrazovce černat a ostatní tak uvidí jen černou obrazovku,“ vysvětluje Ruedy Styger ze společnosti 3M.

Reálně to znamená, že spolucestující v letadle či vlaku nebo lidé sedící v kavárně u okolních stolů nemohou sledovat a číst zobrazená data. Filtr lze ale snadno sejmout, což se hodí, pokud je naopak potřeba ukázat kolegům informace z monitoru, například prezentaci a podobně.

Pokuta až 550 milionů

Od příštího roku budou mít firmy ještě výraznější motivaci, proč své počítačové systémy a další citlivá data chránit. Zmíněná norma GDPR totiž zavádí drastické pokuty pro podniky, kterým data uniknou. Útok hackera tak může být pro firmy skutečně smrtící. Kromě toho, že přijdou o jednu z nejcennějších komodit, svoje interní data, mohou dostat pokutu až ve výši 550 milionů korun.

Podnikatelé se proto nástupu nové normy obávají. „Nové nařízení o ochraně osobních údajů je zapotřebí, na druhé stranu ale půjde o další finanční a administrativní zátěž, která dopadne na podnikatele. Vzhledem k množství změn považujeme již dnes za téměř nereálné, aby se všechny firmy stihly na nová pravidla fungování připravit,“ říká Marta Nováková, prezidentka Svazu obchodu a cestovního ruchu České republiky.

Kam se hrabe EET

Nebezpečí vyplývající z opominutí této změny jsou přitom podle ní mnohem větší než u jiných novinek, se kterými se museli podnikatelé vyrovnat. „Srovnáme-li EET a GDPR co do šíře rozsahu, hloubky dopadu a výše pokut za neplnění, je proti tomu EET procházka růžovým sadem. Je tak s podivem, že při zavedení EET stát zorganizoval masivní osvětovou kampaň, avšak nyní před nabytím účinnosti GDPR žádná systematická osvětová a vzdělávací kampaň neběží a ani se neplánuje,“ porovnává Milena Jabůrková, viceprezidentka Svazu průmyslu a dopravy ČR.

Kromě rizik za pokuty navíc legislativní novinka znamená vyšší náklady na zavedení opatření, kterým firmy možnosti odcizení dat sníží. A nejedná se o malé částky. Podniky například musejí investovat do takzvaných vstupních auditů, které posoudí, jak jsou na GDPR připravené. „Obecně půjde o průměrnou investici v řádu tisíců korun pro živnostníky a v řádu desítek až stovek tisíc pro firmy a veřejnou správu. V souhrnu se pak náklady mohou vyšplhat až na šest miliard,“ vypočítává Jakub Kejval z poradenské společnosti Bureau Veritas.

Co je důležité vědět o GDPR

  • GDPR se netýká pouze velkých firem, nýbrž všech, které nakládají s osobními údaji. Není důležité, zda máte tisíc, nebo jednoho zaměstnance.
  • Za osobní se považuje každý údaj, pomocí něhož lze identifikovat konkrétního člověka. Spadají sem e-mailové adresy, telefonní čísla, IP adresy, geolokační údaje, portrétní fotografie, kamerové záznamy atd.
  • Nařízení se týká EU, ale i třetích zemí, pokud zde probíhá zpracování dat, jež se vztahují k osobám v zemích EU. Tedy typicky v případě outsourcingu IT v Indii.
  • Správce i zpracovatel osobních údajů musejí vést evidenci záznamů o nakládání s osobními údaji.
  • Osobní údaje lze zpracovávat jen pouze za předpokladu výslovného sdělení souhlasu dotyčné osoby, nebo pokud je zpracování dat důležité pro splnění smlouvy či právní povinnosti (např. mzdová evidence), pro ochranu zájmů daného člověka (např. údaje o pacientovi, který nemůže dát souhlas) či pro splnění veřejného zájmu (např. obecní kamerový systém se záznamem).
  • Pokuty za porušení GDPR mohou dosáhnout deseti milionů eur nebo dvou procent z celkového ročního obratu (v případě závažnějších porušení 20 milionů eur a čtyř procent).
  • Český zákon o ochraně osobních údajů bude většinově novým evropským nařízením nahrazen s účinností k 25. květnu 2018.
  • Paušální získávání souhlasu subjektu údajů pro veškerá zpracování, která správce bude provádět k různým účelům, by bylo v rozporu s GDPR.
  • Dosavadní souhlas se zpracováním osobních údajů bude platný, pokud odpovídá dikci GDPR.
  • Podle GDPR není možné bez souhlasu přebírat údaje zveřejněné na internetu (ani v případě veřejných rejstříků, kdy musí subjekt údajů strpět jich publikování).


Převzato z časopisu Profit. Autor článku: Dalibor Dostál.

Tisknout Vaše hodnocení:

Související články

Diskuse k článku

+ Nový příspěvek