Revoluční změna: firmám budou za úniky dat hrozit stamilionové pokuty

13. října, 06:00  -  Jiří Zatloukal
13. října, 06:00

Letos na jaře ukradl „ajťák" firmy T-Mobile zaměstnavateli data více než milionu klientů. Šlo o jména, data narození, adresy, telefonní čísla, zákaznické kódy, údaje o tarifech, průměrných útratách a značkách zařízení i čísla účtů. Zloděj následně chtěl informace prodat na černém trhu.

Neúspěšně. Případ vzal rychlý spád a už na konci léta Úřad pro ochranu osobních údajů udělil T-Mobilu pokutu 3,6 milionu korun, protože data dostatečně nezabezpečil. I když jde o jednu z nejvyšších sankcí, které úřad udělil, může operátor mluvit o štěstí.

Kdyby se incident stal za půldruhého roku, kdy v květnu 2018 začne platit nová směrnice Evropské unie o ochraně dat, pokuta by ho mohla bolet víc. Podle Obecného nařízení pro ochranu údajů v EU (neboli GDPR), jak se regule jmenuje, budou moct úřady za nedostatečné zabezpečení osobních údajů pokutovat firmy až do výše čtyř procent ročního obratu mateřské společnosti, ale nejvýše 20 milionů eur. Český T-Mobile, který patří do skupiny Deutsche Telekom s loňskými tržbami 69,2 miliardy eur, by tedy mohl dostat pokutu až 540 milionů korun.

Neodposlouchávejte Angelu

S neobvykle tvrdou směrnicí na ochranu dat koncových zákazníků se budou muset vypořádat všechny tuzemské firmy, jichž je vČesku přes 430 tisíc, a také státní úřady či nemocnice. Všichni, kdo nakládají s daty, budou potřebovat právníky a IT zabezpečení. „Myslím, že náklady se u středně velké firmy se stovkou zaměstnanců budou pohybovat v jednotkách milionů korun“ řekl týdeníku Euro Ivan Svoboda, manažer ICT Security z firmy Anect. Podle něj přitom většina společností vůbec netuší, že se něco zásadního změnilo.

Firmy budou potřebovat právníky, kteří jim pomohou předělat souhlasy pro sběr dat, smlouvy s dodavateli a zkontrolovat řadu dalších materiálů. Dál budou platit za upgrade svých IT systémů. „Zatím je moje zkušenost s firmami taková, že jsou připraveny velmi špatně,“ dodal Svoboda, který se ochranou dat dlouhodobě zabývá. Firmy musejí zajistit, aby se k osobním údajům nikdo nedostal; budou muset lépe kontrolovat přístup k datům nebo je například zašifrovat. A budou mít rovněž povinnost nahlásit napadení Úřadu pro ochranu osobních údajů. Nemusí to přitom být snadné zjistit. K těm jednodušším napadením patří, když firmě někdo „jen“ zašifruje data.

Skončí technologie s lidskou vynalézavostí? Přečtěte si:

Poslední vynález. Skončí s umělou inteligencí lidské bádání?

Dnes jsou populární takzvané ransomware programy, které zašifrují soubory a pak požadují výkupné, aby je majitelům odemkly. Pokud má firma zálohování, obnoví svou databázi a nic se téměř nestalo, nic hlásit nebude. Ve chvíli, kdy ale data někdo zašifruje nevratně, musí to nahlásit.

Horší však je, když se do firmy nabourá útočník z venku. Většina firem si toho nemusí všimnout, i když se v jejich systému bude pohybovat třeba dva měsíce. Škody pak mohou být obrovské, a hlavně firmy, které zpracovávají hodně dat, jako třeba internetové obchody, zabezpečení nevyjde levně.

„Náklady se budou pochopitelně zvyšovat s objemem zpracovávaných dat a expozicí vůči riziku, tj. krádeži či ztrátě dat a z toho plynoucímu reputačnímu riziku, které může být pro společnost likvidační“ říká advokát KPMG Legal Viktor Dušek. IT budou muset posílit všechny firmy, které mají za zákazníky fyzické osoby, například nemocnice, vodárny, firmy, které prodávají plyn, elektřinu, internetové obchody. Čím více zákazníků firma má, tím větší má problém.


Z oblasti informačních technologií čtěte více:

Putin vyhání Microsoft. Moskva nahradí Outlook ruským programem

Facebook spustil svoji firemní verzi

Boom technologií dělá z Rumunska ekonomického tygra


Mnoho firem proto bude muset přijmout nové zaměstnance, kteří za tyto věci ponesou zodpovědnost. Jinak to bude na managementu či například jednateli firmy. Problémy přitom podle informací týdeníku Euro mají i některé banky, které teprve začaly zabezpečení pořádně řešit. Přede dvěma lety unikla data z České spořitelny, kdy někdo z vedení vynesl na veřejnost informace o platech. Pro banku to naštěstí skončilo jen ostudou, podle nové směrnice už by padaly pokuty.

Současná tvrdá podoba evropské směrnice GDPR by neprošla, nebýt několika událostí. V květnu 2013 utekl tehdejší zaměstnanec americké Národní bezpečnostní agentury (NSA) Edward Snowden do Hongkongu a s sebou si vzal tisíce tajných dokumentů, které později předal novinářům. Upozornil tak na rozsáhlé sledování amerických i neamerických občanů, které provádějí tajné služby USA. Jen opár měsíců později pak vzniklo podezření, že Američané sledovali mobilní telefon německé kancléřky Angely Merkelové.

Šifrovací past

Směrnice GDPR i proto stojí výrazně na straně koncového spotřebitele a týká se například i firem, které elektronicky data neuchovávají a mají jen papírové formuláře.

Třeba účetní, jež zpracovává daňové přiznání jen několika lidí. Na vyžádání je teď budou muset poskytnout zákazníkovi v elektronické formě, aby se dozvěděl, jaká data o něm firma schraňuje. Ale ani když si údaje uložíte na internet, nemusí to být ještě výhra. „Když dáte data například do vzdáleného datového úložiště (cloudu) a z něho data uniknou, nesete za to trestněprávní zodpovědnost. Právě vtomto je výrazná změna oproti současné legislativě v mnoha zemích“ řekl týdeníku Euro Pavol Balaj, vedoucí sekce Business Development antivirové společnosti Eset.

Podle něj by se tak už nemělo stávat, že lidem budou chodit nevyžádané e-maily s nabídkou šitou na míru, přestože jste s dotyčnou firmou nikdy nekomunikovali. Měla by také skončit praxe, kdy podepíšete smlouvu s operátorem, který vaše osobní údaje následně prodá, azačnou vám na e-mail chodit marketingové nabídky od jiných firem.

Směrnice současně v Evropě otevírá obrovský trh pro nové zabezpečovací programy. Chtějí ho obsadit hlavně antivirové firmy jako Eset či Symantec, McAfee, Avast nebo Kaspersky. Vezmeme-li jen Česko, kde působí přes čtyři sta tisíc firem a stovky státních úřadů, potenciál je obrovský. Při průměrné ceně licence na šifrovací programy mezi 30 a 40 eury dosahuje trh velikosti stovek milionů korun.

Velká bitva o klienty se strhne i proto, že firmy navíc šifrování nemění zdaleka tak často jako antivirový program, protože jsou s tím spojeny větší komplikace a náklady. „Je stokrát lehčí změnit antivirový program než změnit šifrovací program.

Mít antivirový program je jako mít přítelkyni a mít šifrovací program je jako vzít si tu přítelkyni a mít sní dvě děti a společný dům.

Můžete ji opustit, ale bude to dražší a bude to bolet,“ říká David Tomlinson, manažer šifrovací firmy Deslock, kterou nedávno slovenský Eset koupil.


Mohlo by vás zajímat

  • Majitel textilky Juta a senátor Hlavatý: V Senátu by…

  • Jan Hawelka: kavárenská hvězda z Mostu

  • Aleš Kučera: Chvíli potrvá, než se lidé naučí se státem…

  • Ondřej Kania: Otevřeme další dvě školy

  • Martin Burda: Bankám v Česku ujíždí vlak

  • Mnislav Zelený Atapana: Přítel amazonských indiánů

  • Jan Bílý: Nebuď uštvaný manažer. Buď král!

  • Jaroslav Žlábek: Na jedno nabití ujedeme 1000 kilometrů

  • Daniel Stein Kubín: Slova jsou jen slova, surf a poušť…

Hry pro příležitostné hráče