Digitální hrozby v posledních letech eskalují po celém světě. Jenom prostřednictvím blokačních virů provedli hackeři loni každý den na čtyři tisíce útoků. Ve srovnání s rokem 2015 je to nárůst o 300 procent a rizika nepolevují.

"V minulosti se hackeři soustředili jenom na peníze nebo šlo o aktivismus a chuť se zviditelnit. Dnes jsou peníze sice stále hlavní cíl, ale jsou v útocích různě skryty. Místo vykradení bankovních účtů jde třeba o zpeněžení citlivých informací nebo krádež identity," popisuje motivaci útočníků Karel Obluk, odborník na kybernetickou bezpečnost z Evolution Equity Partners.

 

Povědomí o kyberbezpečí je nízké

Podle Evropské komise čelilo loni alespoň jednomu kybernetickému útoku 80 procent všech evropských společností napříč finančním sektorem, logistikou, energetikou i zdravotnictvím. Letos by měla být čísla ještě vyšší. Řada napadených firem o svá data přišla a do rukou hackerů se dostaly adresy, telefonní čísla nebo bankovní účty stovek tisíc lidí.

Co je GDPR?

General Data Protection Regulation je nové nařízení EU, které výrazně zvýší ochranu osobních dat.

Navzdory rostoucím hrozbám je povědomí o otázkách kybernetické bezpečnosti stále nízké. Průzkumy ukazují, že 69 procent společností netuší, jakým rizikům jsou jejich systémy vystaveny. "Firmy často zabezpečení citlivých dat podceňují. Neřeší třeba vůbec samotný fakt, že může k úniku dojít, a nemají plány, co dělat, když už se zloděj do domu dostane," vysvětluje Obluk.

To by mělo změnit evropské nařízení o ochraně osobních údajů − GDPR −, které přináší nová pravidla, jak mají firmy chránit osobní data klientů či zaměstnanců. Upravit svoje interní procesy a IT systémy podle nových požadavků budou muset všechny státní instituce i soukromníci. Jedním z cílů je nashromážděné údaje zabezpečit právě proti případným únikům.

Seriál HN - k ochraně dat GDPR

15. 11. - GDPR a zaměstnanci
22.11. - Neochotní klienti
29. 11. - GDPR a zahraniční firmy

Jak náročné bude v souvislosti s GDPR změnit nastavení systémů, se odvíjí například od toho, jestli podniky osobní údaje zpracovávají jako svoji hlavní činnost. Důležité také je, jaký typ dat uchovávají.

"Třeba nemocnice budou mít víc práce než výrobní společnosti. Rozsah změn pro jednotlivé správce osobních údajů závisí také na tom, jestli v současné době dodržují zákon o ochraně osobních údajů," vysvětluje Klára Valentová, právnička ze společnosti Vilímková Dudák & Partners.

Pomoci firmám i státním institucím zvládnout požadavky GDPR po technické stránce je úkol pro experty na kybernetiku. Ti jsou však k nové legislativě skeptičtí a upozorňují, že být v souladu s nařízením neznamená, že se případní útočníci k údajům nedostanou.

 

GDPR techniku neřeší

"Nařízení zvýší technickou náročnost a nákladnost hackerských útoků, bylo by ale nebezpečné myslet si, že díky tomu bude nemožné data ukrást," upozorňuje etický hacker Pavol Lupták. Přestože má GDPR zvýšit ochranu zpracovávaných dat, bezpečnost po technické stránce neřeší.

Lupták se zaměřuje na testování bezpečnostních systémů ve firmách a ověřuje, jak náročný útok dokážou odrazit. Z nového nařízení bude profitovat, přesto jeho zavedení nepodporuje. "Vadí mi, že jde o nedobrovolný systém. Myslím si, že ochrana digitálního soukromí je extrémně důležitá, nikdo by do toho ale neměl být nucený. K tomu, aby se lidé začali chovat zodpovědně, je důležitá zkušenost. Stačí jeden phishingový e-mail, kvůli kterému přijdou o pár tisíc eur, a příště si dají pozor," tvrdí Lupták.

Podobného názoru je i Petr Samek, spolumajitel společnosti CNS, která vyvíjí šifrovací systémy. Podle něj GDPR v Česku zahýbe s množstvím investic do zabezpečení dat. "Problém je, že GDPR funguje spíše jako strašák. Firmy od zabezpečení očekávají pouze splnění shora daných požadavků, protože se chtějí vyhnout pokutám, nejde o vlastní rozhodnutí zaměřit se na bezpečnost," uvádí Samek.

Samkova firma zajišťuje zabezpečení dat například pro Generální ředitelství cel nebo zdravotnický řetězec Synlab. Vývoj šifrovacích systémů kvůli GDPR upravovat nemuseli, protože nové požadavky v této oblasti nařízení nezavádí. "Jeho přínos vidím v tom, že firmy budou muset začít řešit to, co měly už dávno samy, protože po nich nyní začnou šlapat úřady," říká Samek.

Splnění podmínek GDPR sice neznamená, že má firma nainstalovaný systém, který data proti hackerům ochrání, je to ale nástroj, který zvyšuje povědomí o problému kybernetických hrozeb. Odborníci se proto shodují, že se jedná o logický krok spojený s tím, že se stále větší část lidského života přesouvá do digitálního světa.

 

Článek byl publikován v listopadovém čísle měsíčníku Právní rádce.