Zdroj: Právní rádce (listopad 2020)
Autoři: Jan Diblík, Robert Nešpůrek, Roman Cholasta
Pandemie koronaviru přinutila tisíce lidí pracovat z domova. Využívají přitom nejrůznější technologie, jež mohou posloužit jako vstupní brána do IT systémů firem.
Kriminalita se stále častěji přesouvá z reálného světa do on-line prostředí. Každoročně tak přibývá kyberzločinů. Zatímco v roce 2011 policie v Česku řešila přibližně 1500 případů, loni už jich bylo téměř 8,5 tisíce. Odborníci navíc zdůrazňují, že současná pandemie tento trend ještě posiluje. Společnosti stále intenzivněji fungují v kyberprostoru, pracují vzdáleně na home-officech a často si plně neuvědomují, jaká bezpečnostní rizika to s sebou přináší.
Podle ředitele Národního úřadu pro kybernetickou a informační bezpečnost Karla Řehky se v době koronavirové krize zvýšil počet kyberútoků o třetinu. Stejně jako koronavirus pravděpodobně bude mutovat a přizpůsobovat se tak, aby se co nejvíc rozšířil, tak i kyberzločinci neustále zdokonalují své techniky a útoky jsou stále sofistikovanější. Přibývá případů úniku citlivých či střežených informací, hackeři požadují čím dál vyšší výkupné za zpřístupnění zašifrovaného počítače či systémů, manipulují zaměstnance tak, aby získali důvěrná data nebo hesla.
Napadení systémů a citlivých dat má přitom pro danou entitu často za následek významnou finanční škodu, sankci ze strany příslušných orgánů veřejné moci a v mnohých případech i ztrátu důvěry na straně zákazníků. To pak zásadním způsobem ohrožuje její konkurenceschopnost. Kyberútok může mít i závažné právní důsledky. Je proto nanejvýš vhodné útokům předcházet.
Nejlepší ochrana před útoky v kyberprostoru je včasné a preventivní zavedení pravidel, která zabezpečí jak pracovní procesy, tak samotné technologie a data. Zabezpečení společnosti proti kyberútokům nemá přitom žádný konkrétní právní rámec. V obecné rovině stanovuje podmínky například GDPR. Ani zákon o kybernetické bezpečnosti není pro většinu společností relevantní, jelikož se primárně soustřeďuje na veřejné subjekty, dodavatele těchto veřejných subjektů, případně na provozovatele klíčových služeb pro stát.
Pravidla obsažená v tomto zákoně, respektive vyhlášce o kybernetické bezpečnosti, však mohou být dobrým vodítkem pro obsahovou stránku opatření v běžných společnostech. Národní úřad pro kybernetickou a informační bezpečnost letos v létě také publikoval takzvaný Minimální bezpečnostní standard, kde lze také najít inspiraci.
Nezbytná je ale vždy vnitřní analýza společnosti, která identifikuje slabiny. Ty je pak třeba zohlednit v účinných opatřeních systému digitální ochrany. Taková opatření musí být přitom dobře proveditelná a pro zaměstnance hlavně srozumitelná. Měli by chápat a respektovat to, že například není vhodné navštěvovat rizikové stránky, že pracovní mobil nepatří do ruky dětem ani manželovi nebo že na volnou wi-i síť v kavárnách či na letišti by se vůbec neměli připojovat.
Zabezpečení společnosti proti kyberútokům nemá žádný konkrétní právní rámec.
Vedle eliminace rizikového chování zaměstnanců by společnost měla zajistit i náležité technické zabezpečení systémů a dat - pravidelně měnit hesla do iremních účtů a systémů, používat pokročilé technologie šifrování apod. Případným ztrátám důležitých dat a informací (což je častější než jejich skutečné zneužití) předcházet správným nastavením managementu zálohování.
Na důležitosti všechna tato pravidla nabývají právě teď, kdy řada zaměstnanců pracuje ze svých domovů. Radíme proto v rámci obchodních společností nad rámec běžných postupů sestavit bezpečnostní pravidla pro home-office. Například že pracovní e-maily by lidé měli posílat výhradně přes firemní e-mailový účet, že mají využívat pouze důvěryhodné sítě a bezpečné připojení k firemní síti. Ač mohou znít některá pravidla triviálně, nejde vždy o dodržovaný standard.
Společnosti by také měly pečlivě vybírat dodavatele pro IT systémy nebo antivirové programy. Vhodnou cestou může být zavedení certifikace podle norem, respektive rodiny těchto norem ISO/ IEC 27000, které stanovují požadavky na sestavení, implementaci, provoz, monitorování, přezkoumání a systému managementu informační bezpečnosti.
Doporučujeme také pravidelně provádět takzvané penetrační bezpečnostní testy. Po dohodě s klientem provede specializovaná firma řízený hacking, který odhalí slabá místa. Simulují se přitom jak útoky z vnějšku firmy, tak i útoky zevnitř společnosti. Existují také metody finančního vyhodnocení bezpečnostních slabin v rámci společnosti tak, aby mohlo vedení vyhodnotit priority řešení nedostatků.
Zavedení příslušných interních postupů je ale pouze prvním krokem. Pravidla je poté potřeba neustále aktualizovat a zaměstnance pravidelně školit tak, aby je skutečně dodržovali. A to se týká nejen prevence, ale i případů, kdy už k útoku skutečně došlo. Pro takové situace doporučujeme našim klientům vytvořit krizový plán, který stanoví jasný postup.
Ideální je okamžitě se obrátit přímo na právní a bezpečnostní experty, kteří rychle dokážou pomoci s minimalizací škod a poradí ohledně potřebného postupu. Následně je třeba incident řádně vyšetřit a zdokumentovat. Došlo-li k porušení zabezpečení osobních údajů, může rovněž vzniknout povinnost informovat Úřad pro ochranu osobních údajů. O útoku je vhodné informovat i policii a případně pojišťovnu.
Důležité je také dohlédnout na správné nastavení smluv s dodavateli IT systémů, včetně jejich podpory a údržby, zaměstnanci ale i pojišťovnami. Smlouvy a případné vnitřní předpisy by měly vždy jasně definovat, kdo má jaké povinnosti a za co je kdo odpovědný. To má totiž zásadní význam v případě reálného útoku a řešení jeho následků a související odpovědnosti. Nezbytnou součástí je také skutečné vymáhání nastavených pravidel.
Smlouvy s dodavateli IT systémů by ideálně měly garantovat pravidelné bezpečnostní aktualizace a měly by také zabezpečovat, že je za ně dodavatel v dostatečném rozsahu odpovědný. Vhodné je rovněž podrobně definovat povinnosti související s ochranou dat, šifrováním, zálohováním dat nebo reportováním. To přitom platí nejen u vztahů s dodavateli, ale také se zaměstnanci nebo externími spolupracovníky.
Běžné pojistky často rizika útoků nekryjí, je ale možné uzavřít speciální pojištění proti kybernetickým rizikům. I smlouvě s pojišťovnou je však třeba věnovat potřebnou pozornost, aby pokrývala nejen útoky přímo na počítačové sítě a systémy pojištěného, ale také na systémy, které pojištěný využívá, ale provozují je třetí strany, například u cloudových služeb. Proto doporučujeme smlouvu s pojišťovnou přizpůsobit konkrétním podmínkám tak, aby krytí rizik společnosti vyhovovalo.
Smlouvy s dodavateli IT systémů by ideálně měly garantovat pravidelné bezpečnostní aktualizace a měly by také zabezpečovat, že je za ně dodavatel v dostatečném rozsahu odpovědný.
Odpovědnost členů statutárního orgánu Stále více obchodních společností si uvědomuje, že případný kyberútok může být fatální. Podle průzkumu mezinárodní korporace Allianz Global Corporate & Specialty, který prověřoval největší rizika pro společnosti, odborníci z více než stovky zemí světa označili letos kybernetickou hrozbu za největší nebezpečí. Kybernetické útoky tak předčily dokonce riziko případného přerušení provozu nebo riziko dopadů legislativních změn.
Vedení společností by proto nemělo spoléhat na to, že se jim kybernetický útok prostě vyhne. A to i z toho důvodu, že v konečném důsledku je to právě statutární orgán, který je odpovědný za nastavení vhodné strategie, jež vyloučí případná rizika pro jejich společnost. Vedení by tak mělo přijmout dostatečná opatření pro předcházení kyberútokům. Opačná situace totiž může představovat porušení péče řádného hospodáře statutárních orgánů a jejich odpovědnost za vzniklé škody.
V dnešní době je proto klíčové věnovat otázce kybernetické bezpečnosti dostatečnou pozornost a odpovídající finanční investice. Důsledky kyberútoku totiž mohou být až likvidační. Jakkoliv to nemusí být na první pohled zřejmé, investice do kybernetické bezpečnosti se téměř vždy bohatě vyplatí.
Radka Rainová
