Firmy musejí investovat do ochrany před kybernetickými útoky

Pražský advokát Petr Šabatka v rozhovoru mimo jiné říká: „Z osobních údajů se stala komodita. Nejde ale už jen o základní údaje o člověku jako jméno, datum narození a kontaktní údaje, ale spíše o data vzniklá profilováním, analýzou vaší elektronické stopy, kterou v prohlížeči nebo v aplikaci svým chováním zanecháte. Když máte třeba nové auto se zabudovanou navigací, bývá dnes běžné, že systém automaticky sbírá údaje, kam obvykle míříte nebo jak rychle jezdíte. Obvykle s odůvodněním, aby se služba zlepšila.“

LIDOVÉ NOVINY: Letos v červnu zasáhl hackerský útok i vaši kancelář DLA Piper. Jaké to bylo?

ŠABATKA: To se skutečně stalo. Neunikla žádná klientská data, naši IT odborníci bleskově zasáhli a naše systémy vypnuli. Pár dní jsme neměli přístup k e-mailům, ale to se rychle vyřešilo. Práce se nezastavila, ale nebylo jednoduché toho docílit. Byla to velká zkušenost.

LIDOVÉ NOVINY: Je únik klientských dat pro právní firmu noční můrou?

ŠABATKA: To je peklo, to se nikdy nesmí stát! V historii se myslím nestalo, aby se klientská data nějaké advokátní kanceláře objevila na internetu. To by bylo natolik závažné nabourání důvěry, že by klienti houfně ukončovali spolupráci. Advokátní kanceláře proto musejí masivně investovat do bezpečnosti, aby šly příkladem.

LIDOVÉ NOVINY: Může mít hackerský útok pro firmu jiné dopady než únik dat?

ŠABATKA: Kolegové z USA a ze západní Evropy říkají, že hackeři trochu mění své cíle. Dříve útočili především na technologicky sofistikované firmy, které měly průmyslově a vědecky hodnotná data. Dnes přibývá útoků na „obyčejnější“ nebo menší firmy, které třeba vyrábějí nějaké strojírenské nebo potravinářské produkty.

Už nejde tolik o jejich know-how jako o osobní údaje a o nabourání jejich interních informačních systémů, které jsou hackeři schopni naprosto paralyzovat. Továrna pak nevyrábí, stroje stojí, zboží se neprodává. Firma je pak nucena zaplatit výkupné, jen aby mohla začít znovu fungovat. A máme informace, že řada firem platí, jsou to milionové částky v dolarech. Vyhne se tak skandálu, zastavení výroby nebo sankcím od regulátora.

LIDOVÉ NOVINY: Zaměřují se dnes právní firmy na poskytování poradenství i v oblasti obrany před kybernetickými útoky?

ŠABATKA: V západních zemích je to velký trend. Advokátní kanceláře mají sestavené týmy spolu s odborníky na IT a forenzními experty. Předpokládám, že to přijde i k nám. Právníci pomáhají jak s prevencí útoků, tak s řešením jejich následků. U prevence jde hlavně o minimalizaci rizika, až 70 procent kyberincidentů má původ uvnitř firmy. Obvykle nejde o úmysl, ale o nedbalost pracovníků nebo managementu, o špatně nastavenou politiku s hesly nebo nezabezpečené datové úložiště. Stačí, když jeden zaměstnanec otevře zavirovanou přílohu a požár je na střeše.

Pak nastupují právníci, kteří řeší konkrétní problém. Vše je třeba prošetřit a klientovi například poradit, jak postupovat s ohledem na právní regulaci. Například nové evropské nařízení o ochraně osobních údajů (GDPR) stanoví jak povinnost ohlásit útok příslušnému úřadu, tak nárok poškozených osob na náhradu škody. To vše je práce pro advokáty a její objem v budoucnu poroste.

LIDOVÉ NOVINY: GDPR je žhavé téma, advokátní kanceláře se předhánějí, která rozumí ochraně osobních údajů lépe. Čím to je, že se najednou zvedlo téma, o kterém v Česku takřka nebylo slyšet?

ŠABATKA: Část toho poprasku je hnaná poradenským byznysem. Nejsou to jen advokáti, radit s GDPR chtějí i konzultační a IT firmy… Nicméně faktem je, že jde o novou evropskou regulaci formou nařízení, která od května příštího roku bude přímo účinná ve všech členských státech.

Evropská unie tím dává jasně najevo, že osobní údaje je třeba brát vážně, nařízení je velmi komplexní a přináší dost hrozivé sankce. To je v Česku velká novinka. Když loni dostal T-Mobile pokutu 3,6 milionu korun od Úřadu pro ochranu osobních údajů (ÚOOÚ) v souvislosti s odcizením dat jeho zákazníků, byla to rekordní pokuta, která ale je pro takovou firmu vzhledem k jejímu obratu zanedbatelná. Nově hrozí až 20 milionů eur nebo čtyři procenta z obratu, to je zásadní rozdíl.

LIDOVÉ NOVINY: GDPR je tedy pro firmy jasný signál, ať si v osobních údajích udělají pořádek?

ŠABATKA: Přesně tak. Je to vyvrcholení procesu, kdy od devadesátých let obrovsky narůstal a nadále narůstá objem dat, která firmy sbírají a zpracovávají nejen o svých zákaznících, ale právní regulace na tento trend nestíhala reagovat a byla doposud jen velmi vlažná. GDPR to mění. Je to podobné, jako když máte na zahradě kůlnu a v ní hromadu nářadí, všechno zpřeházené a nemůžete najít ani kladivo. A najednou přijde manželka a řekne vám, že si musíte udělat v šuplících pořádek, haraburdí vyházet, dát na kůlnu závoru a zalátat díry ve zdi. (směje se)

Je to ale vážné téma, protože jde o osobní údaje lidí, na kterých jde vydělávat a které lze zneužít. Tolik oficiální verze. Zákulisně se ale otevřeně mluví o tom, že to je „lex Google“. Já s tím souhlasím a GDPR vnímám i jako snahu o regulaci byznysu na internetu s cílem zbrzdit rozlet gigantů datové ekonomiky.

LIDOVÉ NOVINY: Jde tedy i o regulaci lukrativního byznysu s osobními údaji? Shromažďuje je dnes už takřka každá aplikace v telefonu.

ŠABATKA: Z osobních údajů se stala komodita. Nejde ale už jen o základní údaje o člověku jako jméno, datum narození a kontaktní údaje, ale spíše o data vzniklá profilováním, analýzou vaší elektronické stopy, kterou v prohlížeči nebo v aplikaci svým chováním zanecháte. Když máte třeba nové auto se zabudovanou navigací, bývá dnes běžné, že systém automaticky sbírá údaje, kam obvykle míříte nebo jak rychle jezdíte. Obvykle s odůvodněním, aby se služba zlepšila.

Lidé o sobě na internetu i v běžném obchodním a spotřebitelském styku sdělují enormní objem informací, které podnikatelé zpracovávají. Stoupá tím hodnota osobních údajů a spolu s tím i riziko jejich zneužití. GDPR se to snaží nějak řešit.

LIDOVÉ NOVINY: Máte pocit, že si lidé více uvědomují, kolik dat je o nich shromažďováno?

ŠABATKA: Popravdě to příliš nevidím. Určitě bychom v naší praxi zaznamenali, kdyby u klientů přibylo takové agendy. Lidé jsou stále velmi pasivní a nevědí, co se s jejich daty děje. Není to tak, že by ve velkém svá práva vymáhali. Přitom je mají už dnes. Například málokdo ví, že už dnes může zjistit, jaká data a za jakým účelem o vás podnikatel shromažďuje. A že i když mu jednou udělíte souhlas s jejich zpracováním, můžete jej kdykoliv odvolat.

GDPR tato práva dále rozpracovává a přináší i některé praktické instituty pro běžné uživatele. Typicky jde o povinnost zajistit přenositelnost dat. Pokud máte profil na nějaké internetové službě, měla by vám umožnit jej se všemi svými daty přenést do jiné služby. Člověk by měl mít možnost vzít si svůj balík osobních údajů a s tím odejít. Ještě se ale neví, jak to bude v praxi vypadat.

LIDOVÉ NOVINY: GDPR tedy není jen strašák pro firmy, ale bude mít i přínos pro běžné uživatele?

ŠABATKA: Obecně by měli mít větší jistotu, že jejich údaje budou zabezpečeny lépe než v minulosti. Že jsou uložena v bezpečí, a nikoli na ploše počítače asistentky generálního ředitele. (směje se)

LIDOVÉ NOVINY: Bude pro lidi jednodušší domáhat se nápravy, pokud jim v důsledku kybernetického útoku vznikne újma?

ŠABATKA: Nařízení zakotvuje konkrétní právo domáhat se náhrady škody způsobené v případě, že podnikatel neudělá vše správně. GDPR dává určitá vodítka, jak by měly firmy postupovat. Mělo by být například běžné, že zákaznická data jsou v systémech pod pseudonymy. Kdyby pak unikla ven, hacker by se v obrovském objemu neuspořádaných dat neměl šanci vyznat.

Pokud podnikatel selže, poškozený má právo na náhradu újmy. Zakládá ji přímo evropské nařízení a dané ustanovení bude vykládat Soudní dvůr EU, takže lze očekávat, že to bude fungovat trochu jinak než naše náhrada škody. Výše kompenzací budou zřejmě vyšší. Pro firmy je to strašák, hrozí jim nejen vysoká pokuta od ÚOOÚ, ale může přijít i tato civilní žaloba.