Expert na IT bezpečnosť firiem: Bez vzdelávania zamestnancov bezpečnosť nevybudujete

Ďalší článok
Jaroslav Oster

Všeobecné nariadenie o ochrane osobných údajov vstúpilo do platnosti 25. mája 2018 vo všetkých členských krajinách Európskej únie (EÚ). General Data Protection Regulation (GDPR) definuje napríklad to, za akých podmienok môžu firmy spracovávať osobné údaje a čo je vlastne ten osobný údaj. Mnohé firmy tak museli zmeniť proces, akým sa napríklad starajú o údaje svojich zákazníkov, prípadne zúžili množstvo údajov, ktoré zbierajú. Priniesol zároveň nemalé pokuty za jeho nedodržiavanie.

O tom, ako vyzerá súčasná realita ohľadom GDPR, sme sa porozprávali s Jaroslavom Osterom, konzultantom pre oblasť informačnej bezpečnosti v spoločnosti Info consult.

V rozhovore sa dozviete:

  • Ako sú na tom slovenské firmy s ochranou osobných údajov?
  • Ako prebieha implementácia GDPR do bežných procesov firiem?
  • Ako vyzerá pokutovanie v praxi?

 

Pred začiatkom platnosti GDPR sa nielen na Slovensku, ale aj v iných krajinách pravidelne hovorilo o kontrolách a nemalých pokutách, ktoré má toto nariadenie priniesť. Ako však vyzerá realita? 

Úrady, samozrejme, konajú ako v jednotlivých štátoch Európskej únie, tak aj u nás na Slovensku, konkrétne náš úrad pre ochranu osobných údajov. Výkon kontroly je prirodzenou súčasťou spektra ich povinností. Takže zjednodušená odpoveď je, že kontroly sa vykonávajú, uskutočňujú ich všetky úrady v Európskej únii a rovnako sú udeľované aj pokuty. Čo sa týka podaní, je evidentné, že od príchodu GDPR narástlo aj uvedomenie dotknutých osôb, teda bežných občanov, ohľadne ich práv. A to úplne logicky generuje nárast podaní voči dozorovým úradom.

Aká je situácia v ostatných členských krajinách EÚ?

Nemám absolútny prehľad vo všetkých krajinách Európskej únie, avšak v rámci mojej práce vnímam aktivity úradov v okolitých krajinách, najmä v Českej republike a v Maďarsku. Ak by som to mal porovnávať, tak určite medzi najaktívnejšie patrí maďarský úrad, ktorý bol aktívny po metodickej stránke už pred zavádzaním GDPR. Rovnako je aktívny aj pri výkone kontrolnej činnosti.

Udelili úrady aj pokuty, ktoré boli vyslovene rekordné alebo ktoré z iného dôvodu stoja za zmienku?

Prvou pokutou, ktorá sa objavila v médiách v období zavádzania GDPR a prekvapila, bola pokuta vyrubená maďarským úradom pre ochranu osobných údajov. Dostala ju nemenovaná spoločnosť pôsobiaca na celom území Maďarska. Dôvodom bolo okrem iného prevádzkovanie priemyselných kamier na monitorovanie priestoru s použitím zvukového záznamu. U nás i v okolitých štátoch padlo za uplynulý rok niekoľko rekordných pokút. Patrí medzi ne napríklad 50-tisícová pokuta pre Sociálnu poisťovňu na Slovensku, pokuta 2,6 milióna eur pre bulharskú finančnú správu a 2,6-miliónová pokuta pre rakúsku poštu. Google dostal pokutu 50 miliónov a British Airways 205,7 milióna eur a ďalšie.

Štátne orgány sa teda nevyhýbajú pokutovaniu aj samotných štátnych organizácií?

Áno, je to tak, za porušenie zákonných povinností je udeľovaná úplne prirodzene sankcia. Zaujímavým postojom v tejto téme bolo napríklad legislatívne opatrenie prijaté v Českej republike, keď bola legislatívne ošetrená horná hranica možnej pokuty samosprávam. Výška hranice bola predmetom mnohých konferencií, na ktorých vystupovali českí spíkri.

Úrady tieto pokuty aj zverejňujú?

Úrady v jednotlivých štátoch EÚ obvykle zverejňujú anonymizované rozhodnutia prostredníctvom svojich webových stránok, verejnosť sa však o výsledkoch konania a tiež výške udelených sankcií dozvedá z médií.

Ako by ste aj mimo GDPR z pohľadu vašej praxe ohodnotili slovenské firmy, čo sa týka ochrany samotných osobných údajov? Myslíte si, že vôbec chápu, prečo je ochrana týchto údajov potrebná?

Povedomie slovenských firiem by som v súčasnej dobe hodnotil ako značne rozpoltené, často ide skôr o snahu naplniť zákonné požiadavky, než v realite pochopiť dôvod zavádzania princípov bezpečnosti do firemných procesov vrátane témy ochrany osobných údajov.

A ako hodnotíte samotnú implementáciu GDPR do bežných procesov firiem? Je tam badať istý posun?

V slovenských firmách je prístup k implementácii GDPR rôznorodý. V značnom počte prípadov ostala filozofia prístupu na úrovni predošlej legislatívy. Teda len na úrovni snahy vyriešiť byrokratické procesy a to bez zvýšenej snahy riešiť otázku informačnej bezpečnosti a pristupovať k nej komplexne. Samozrejme, v komerčnom sektore existuje nemalý počet spoločností, ktoré začali tému riešiť komplexne s ohľadom na všetky požiadavky zavádzania opatrení – organizačných aj technických. Pochopili, že základným rizikom informačnej bezpečnosti je neznalý používateľ informačného systému, teda zamestnanec, ktorý používa informačný systém ako pracovný nástroj. V menších a stredných firmách začínajú tiež postupne chápať, že informačná bezpečnosť sa nedá budovať bez zodpovedajúceho vzdelávania zamestnancov – používateľov.

Venujete sa bezpečnostnému vzdelávaniu vo viacerých firmách na Slovensku. Je niečo, čo vás na školeniach alebo na stretnutiach prekvapilo?

Mnoho spoločností sa začína venovať problematike interného vzdelávania zamestnancov v témach informačnej bezpečnosti. Mnohokrát sa však dopúšťajú menších alebo väčších chýb, napríklad:

  • Aktivitu pojmú ako jednorazovú, napríklad jednorazovo odprezentujú konkrétnu tému (napríklad otázky GDPR). Odignorujú pritom základnú skutočnosť, že na požadovaný objem vedomostí i očakávaných zručností zamestnanca má vplyv celý rad meniacich sa faktorov. Napríklad zmena legislatívy, zmena rizikových faktorov a v neposlednom rade aj zmena zariadení, ktoré zamestnanci používajú a taktiež zmeny interných riadiacich procesov.
  • Vzdelávanie prebieha nezáživnou formou, napríklad prečítaním zákona alebo smerníc základných princípov ochrany osobných údajov.
  • Koncepcia vzdelávania je postavená bez poznania skutočného stavu bezpečnostného povedomia – spoločnosti koncipujú vzdelávacie potreby bez merania úrovni vedomosti zamestnancov.
  • Zamestnanci, ktorí absolvovali nejakú vzdelávaciu aktivitu, nemajú následne prístup k obsahu. Dokonca často ani k interným smerniciam! A to aj napriek tomu, že sú zapojení do vnútrofiremnej siete, kde zdieľanie obsahu nepredstavuje žiadny zásadný problém – či už formou priamo zdieľanej dokumentácie, alebo zavedením e-learningu.
  • Poznatky nadobudnuté z rôznych udalostí, ako napríklad bezpečnostné incidenty alebo identifikované nedostatky organizačných či technických opatrení, nie sú následne žiadnym spôsobom premietané do procesu zvyšovania bezpečnostného povedomia, často žiaľ ani do procesov zlepšovania opatrení.

V oblasti budovania bezpečnostného povedomia zamestnancov je určite zarážajúcou perličkou z mojej praxe argument manažmentu v istej firme, ktorý bol postavený na myšlienke intuitívneho vzdelávania zamestnancov v znení: „Naučia sa to sami, na internete sa dá nájsť mnoho informácií o bezpečnosti.“

Ak by ste sa teraz v praxi stretli s firmou, ktorá si až teraz uvedomila, že musí riešiť ochranu osobných údajov, na ktoré tri oblasti by ste jej odporučili sa zamerať?

1. Upracte si v dátach, kompetenciách a využívaných technológiách.
2. Začnite riešiť bezpečnosť aj ako technologickú otázku a nie výhradne ako byrokratický proces.
3. Venujte sa vzdelávaniu svojich zamestnancov, pretože najväčšie riziko v súčasnosti je práve zamestnanec!

Mali by sa firmy na Slovensku pripraviť na ďalšiu legislatívu v tejto oblasti?

Je nutné podotknúť, že GDPR sa v prvom rade dotklo spracovateľských procesov vo firmách, samozrejme, aj slovenských. Ďalší vývoj legislatívy v oblasti informačnej bezpečnosti, prirodzene, prináša aj ďalšie fakty a ďalší vývoj legislatívy pre vybrané spektrum spoločností a firiem. Jednou z noriem, ktorá sa úzko dotýka problematiky informačnej bezpečnosti, je aj zákon o kybernetickej bezpečnosti.

Ten platí od apríla 2018 a je o povinnostiach súvisiacich so zavádzaním procesov riadenia informačnej bezpečnosti pre spoločnosti, ktoré sú poskytovateľmi takzvaných základných a digitálnych služieb. Napríklad spoločnosti z oblasti bankovníctva, dopravy, pošty, farmaceutického priemyslu či zdravotníctva. Na základe tohto zákona rade subjektov pripadla povinnosť riešiť otázky zabezpečenia informačných technológií v súlade s požiadavkami daného zákona. Dôraz je tu nutné klásť na slovo „povinnosť“.

Vráťme sa späť k GDPR, registrujete podobnú legislatívu aj v iných častiach sveta?

Vývoj legislatívy na celom svete úplne prirodzene musí a aj reaguje na vývoj informačných technológií a postupnej digitalizácie. Samozrejme, netýka sa to výsostne problematiky ochrany osobných údajov. Ochrana osobných údajov je len parciálnou témou celého spektra otázok informačnej bezpečnosti. Využívanie informačno-komunikačných technológií predstavuje v praxi rad ďalších rizík. Môžeme tu rozviesť diskusiu na tému ochrany duševného vlastníctva, na ktorom môže stáť existencia celej firmy. Logicky taktiež tému obchodného tajomstva a celý rad ďalších aktív, ktoré by mala chrániť nielen každá komerčná, ale každá fungujúca spoločnosť.

A v tomto má zásadnú úlohu aj štát, ktorý musí pre danú oblasť vytvárať legislatívne zázemie a riešiť aj tú menej príjemnú stránku, a to trestnosť. Určite v nasledujúcom období bude vývoj legislatívy dynamický nielen v svetovom, európskom, ale i v slovenskom priestore.

K GDPR sa pozitívne alebo negatívne vyjadrilo mnoho subjektov alebo profesionálov z oblasti IT alebo bezpečnosti. Aký je váš názor na toto nariadenie?

Európske nariadenie nevzniklo samoúčelne, dlhodobý vývoj v jednotlivých európskych štátoch poukazoval na značnú roztrieštenosť národných legislatív, čo predstavovalo celý rad problémov, čo sa týka vzájomnej spolupráce. Vplyv GDPR je pozitívny minimálne v tom, že je tendencia zjednotiť základné princípy ochrany osobných údajov a zvýšiť povedomie obyvateľov Európskej únie v oblasti ochrany osobných údajov a informačnej bezpečnosti vo všeobecnosti. V čom určite vidím obrovský prínos, je skutočnosť, že prijatie GDPR vyvolalo zvýšenú celospoločenskú diskusiu a záujem o informačnú bezpečnosť ako takú zo strany občanov EÚ aj zo strany subjektov, teda prevádzkovateľov.


JAROSLAV OSTER je absolventom Fakulty elektrotechniky a informatiky Technickej univerzity v Košiciach a pôsobí ako konzultant pre oblasť informačnej bezpečnosti v spoločnosti Info consult, s.r.o. Od roku 2000 pôsobí tiež ako súdny znalec v IT problematike. Aktívne sa podieľa na rade vzdelávacích projektov zameraných na problematiku informačnej bezpečnosti a prevenciu počítačovej kriminality v zdravotníckom sektore, samospráve i komerčnom sektore a taktiež sa venuje vzdelávaniu súdnych znalcov.