English version
S rozvojem kyberzločinu patří ochrana dat a know-how v každé firmě k největším prioritám. Především pro malé firmy, které nemají na oblast informačních technologií samostatné oddělení a mnohdy ani specializovaného zaměstnance, je těžké skloubit zajištění bezpečnosti elektronických údajů tak, aby nadmíru nezatěžovala zaměstnance a chod podniku. Ke správnému fungování jim může pomoci několik zásad.
Ochrana citlivých údajů je totiž často spojena s určitým dohledem nad prací zaměstnanců a mohla by se dostat do konfliktu s ochranou jejich osobních údajů.
1. Transparentní a zákonný dohled
Zpracování osobních údajů musí mít podle odborníků především právní důvod a musí s nimi být nakládáno transparentně a korektně. „Zaměstnavatelé mají oprávněný zájem na sledování využívání firemních počítačů. Při tom ale zpracovávají osobní údaje svých zaměstnanců. V souladu se zákoníkem práce a GDPR jim tak, vedle dalších povinností, musí poskytnout informace o tomto úkonu. Mohou sledovat například to, jak zaměstnanci pracují s citlivými daty, zda nevyužívají počítače většinu pracovní doby pro osobní účely nebo to, kudy odchází z firmy důležité dokumenty, a to aniž by ohrožovali soukromí svých zaměstnanců,” vysvětluje Jan Diblík z advokátní kanceláře Havel & Partners.
Aby mohla firma osobní údaje shromažďovat, musí pro to mít konkrétní a výslovně vyjádřený účel, který uvede například ve své směrnici a informuje o něm zaměstnance. „Tímto účelem je především ochrana vlastního know-how, majetku, ale za určitých okolností i kontrola plnění pracovních povinností,” popisuje Jan Vobruba, ze společnosti Sodat, která vyvíjí software pro analýzu a monitoring pohybu firemních dat.
2. Omezit okruh zaměstnanců
Dalším krokem vedoucím k větší bezpečnosti dat je určit, kteří zaměstnanci mají mít přístup ke konkrétním datům. Podle odborníků by žádný zaměstnanec neměl pracovat s více údaji, než je nezbytně nutné. Proto ani při využití softwaru pro monitoring a analýzu pohybu dat nepracuje firma s údaji svých zaměstnanců zbytečně. Sbírá jen ty údaje, které jsou v dané situaci potřebné. Omezený je samozřejmě i přístup k těmto konkrétním údajům. Ten mají jen předem určení správci.
3. Stanovit čas archivace
Zpracovávat a ukládat osobní údaje svých zaměstnanců by firmy měly jen po nezbytně nutnou dobu. Po vyhodnocení analýzy se musí data anonymizovat nebo smazat úplně. Výjimkou pak může být situace, kdy analýza dat vede nakonec například k případnému soudnímu sporu.
Zaměstnavatel má povinnost své zaměstnance o využití monitorovacích a analytických systémů informovat. I oni by tak měli mít přehled o tom, jak se s údaji o jejich činnosti pracuje. Zaměstnance chrání například občanský zákoník. Podle zákoníku práce ale zase zaměstnanci nesmějí bez souhlasu využívat například počítače k soukromým účelům, a tak je mají majitelé za určitých okolností právo kontrolovat. Protože tak ale manipulují s osobními údaji osob, musí je o rozsahu kontroly informovat. Zároveň musí zajistit, aby zpracovávané osobní údaje byly v bezpečí před ztrátou a neoprávněným poskytnutím těchto údajů.
“Ochrana firemních dat musí být v rovnováze s ochranou zaměstnanců. Stejně jako zaměstnanec má právo na soukromí, tak i zaměstnavatel má právo na ochranu svého majetku a know-how. Zároveň je také zcela legitimním požadavkem chtít po svých zaměstnancích efektivní výkon,” komentuje Jan Vobruba.
4. Mít pravidla pro práci s internetem
Zásadní otázkou bezpečnosti je užití internetu. Ideálně by zaměstnavatelé měli už předem jasně vymezit pravidla pro práci s internetem. Zaměstnavatel může například některé stránky blokovat, podle toho jakou politiku užití internetu zvolí. Nejde jen o kontrolu efektivity využití času, ale také o bezpečnost sítě.
Sledovat tak může zaměstnavatel jak stahování, tak nahrávání jednotlivých souborů, a to v případě podezření na nehospodárné využívání prostředků některým ze zaměstnanců. I zde platí, že by kontrola měla probíhat v minimální nutné míře. Pokud však pojme vážné podezření, má právo i na to, sledovat k jakým účelům využívají zaměstnanci svoje telefony, elektronickou poštu i další platformy komunikace.
„I zde je ale nutné dbát na právo na soukromí zaměstnanců, a pokud jde o soukromou poštu, byť doručenou na pracovní e-mail, nemá zaměstnavatel oprávnění k její kontrole,“ dodává Jan Diblík. Specializované programy například umožňují v případě podezření monitorovat přílohy e-mailu, ne však monitorování obsahu e-mailu. Stejně tak má zaměstnavatel právo kontrolovat pohyb dat na externích USB zařízeních, které mohou narušit bezpečnost interního IT systému.
5. Zvážit bezpečnostní audit
Především průmyslové firmy využívající roboty a další technologie napojené na informační systémy by měly podle odborníků zvážit provedení nezávislého bezpečnostního auditu. Ačkoliv se problematikou kybernetické bezpečnosti u průmyslových firem v současnosti zabývá celá řada komerčních subjektů, ať už formou seminářů, školení, či jiného způsobu osvěty, podle expertů by měla v této věci vzrůst především role státu.
„Měl by to být právě stát, kdo vytvoří pracovní skupiny a na základě jejich doporučení se ve spolupráci s různými zájmovými sdruženími budou připravovat zákonné podklady a stanovovat různé standardy pomocí norem a jiných doporučení,“ sdělil odborník na kybernetickou bezpečnost Jaroslav Otcovský ze společnosti Asseco Solutions.
Nedávný průzkum společnosti Kaspersky Lab odhalil, že byla v roce 2017 napadena více než třetina bezpečnostních systémů v evropských průmyslových firmách. Často se přitom jednalo o cílené útoky. Provozní technologické systémy jsou přitom mnohem zranitelnější než běžné operační systémy, což z nich dělá pro útočníky lákavý cíl.
6. Nešetřit na bezpečnosti
Firmy by podle odborníků neměly na kybernetickém zabezpečení šetřit. „S pokračující digitalizací je každá společnost přirozeně méně odolná proti virtuálním bezpečnostním rizikům. Způsob práce bude brzy záviset na stálém a důvěrném digitálním kontaktu mezi dodavateli, partnery a zákazníky. To přináší celou řadu kybernetických hrozeb, jejichž potenciálními nositeli už nejsou jen lokální subjekty, ale mohou to snadno být lidé i organizace z celého světa,“ připomíná Jan Všetička ze společnosti Canon CZ.
O tom, že se digitální ochrana stává celosvětově poptávanou komoditou, svědčí i data z posledních let. Zatímco v roce 2004 měl globální trh s kybernetickou bezpečností hodnotu 3,5 miliardy dolarů, v současnosti se jeho hodnota odhaduje na více než 120 miliard dolarů. Je tedy zřejmé, že i když kanceláře budoucnosti přinášejí větší pružnost, rychlost, efektivitu a úsporu času, hrozby jsou také stále silnější a komplexnější.
7. Informovat o kybernetickém útoku
Firmy zasažené kybernetickou kriminalitou jsou jen málokdy ochotné sdílet informace či spolupracovat s ostatními. Podle zprávy Sapio Research pro rok 2018 by 84 procent podniků uvítalo, kdyby je společnost, s níž spolupracují, o případném kybernetickém útoku informovala. Ale jen 37 procent z nich uvedlo, že by takové informace poskytlo, kdyby byla napadena data jejich vlastní firmy.
Nedostatečné sdílení přitom podle odborníků není vhodnou cestou. Skupiny složené ze zástupců různých organizací, které by analyzovaly hrozby a konzultovaly možná řešení, jsou podle expertů mnohem lepší volbou, chtějí-li organizace úspěšně čelit rostoucímu počtu hrozeb.
Dalibor Dostál
