Desetimilionové pokuty se valí – GDPR, EIDAS a NIS

Avnet, distributor s přidanou hodnotou a dnes součást Tech Data, uspořádal konferenci pokrývající problematiku GDPR, EIDAS a NIS. Týká se i poskytovatelů cloudových služeb, pokud je využívají orgány státní správy. Ony desetimilionové pokuty se skutečně valí, a to nikoliv v korunách, ale v eurech.
Po vysvětlení, o co v těchto nařízeních jde z úst Aleše Špidly, prezidenta Českého institutu manažerů informační bezpečnosti, a Evy Škorníčkové, právní konzultantky pro IT bezpečnost a ochranu dat představilo několik firem řešení, jak v této problematice pomoci.

Aleš Špidla hned v úvodu zdůraznil, že tak GDPR, tak EIDAS, tak NIS, jsou nařízení EU, nikoliv doporučení. Valí se na nás souběžně a nelze je řešit izolovaně. Kybernetická bezpečnost navíc není primárně otázkou zákonů, nýbrž pudem sebezáchovy instituce, firmy i jednotlivce. Aleš Špidla to ilustroval několika příslovími: V Alláha věř, ale velblouda přivaž (arabské přísloví; Chtěj nemožné, abys dosáhl možného (židovské přísloví); Máte-li pocit, že je všechno v naprostém pořádku, potom jste zcela určitě něco přehlédli (Murphy).

Aleš Špidla

Řešení musí být souběžné

GDPR (General Data Protection Regulation) je další nástroj pro uplatnění a vymáhání kybernetické bezpečnosti v oblasti osobních údajů.

EIDAS je nařízení Evropského parlamentu o elektronické identifikaci a službách vytvářejících důvěru pro elektronické transakce na vnitřním (evropském) trhu s účinností od 1. 7. 2016 a přechodným obdobím pro ČR na dva další roky. Základními znaky pro EIDAS jsou:

• Schopnost identifikovat a autentizovat osoby nebo organizace v rámci elektronických on-line služeb v rámci států EU.

• Schopnost ověřovat platnost zaručených elektronických podpisů a zaručených elektronických pečetí založených na kvalifikovaných certifikátech, které byly vydány v jiných státech EU.

• Schopnost ověřit formáty zaručených elektronických podpisů a zaručených elektronických pečetí stanovené v prováděcím rozhodnutí Komise č. 2015/1506/EU.

• Schopnost podepisovat a pečetit dokumenty tak, aby byly ověřitelné i v jiných státech EU.

• Zajistit prostředky pro používání kvalifikovaného elektronického podpisu a používání kvalifikovaných elektronických pečetí. (do 3Q 2018).

• Schopnost opatřovat podepsané, případně zapečetěné elektronické dokumenty, kterými právně jedná, kvalifikovaným elektronickým časovým razítkem. (do 3Q 2018)

• Schopnost validovat a autentizovat web.

• Schopnost elektronického doporučeného doručování.

• Schopnost zajištění právní prokazatelnosti a dlouhodobé čitelnosti uloženého elektronického dokumentu.

Aleš Špidla poznamenal, že – 74% útoků jde přes zneužitou (špatně zabezpečenou) identitu… a zase ty pokuty – až 2 miliony korun.
NIS – zákon o kybernetické bezpečnosti v novelizované podobě pak má rozšíření záběru:

Platí pro poskytovatele základních služeb (určí NBÚ). ZKB – základní službou je služba, jejíž poskytování je závislé na sítích elektronických komunikací nebo informačních systémech a jejíž narušení by mohlo mít významný dopad na zabezpečení společenských nebo ekonomických činností v některém z následujících odvětví:

• energetika,

• doprava,

• bankovnictví,

• infrastruktura finančních trhů,

• zdravotnictví,

• dodávky a rozvody pitné vody,

• digitální infrastruktura

• chemický průmysl

• veřejná správa.

ZKB – informačním systémem základní služby je informační systém, na jehož fungování je závislé poskytování základní služby.

NIS se mj. týká i poskytovatelů cloudových služeb. Například orgány veřejné moci, jsou povinny si ve smlouvě, kterou uzavírají s poskytovatelem služeb cloud computingu, zajistit alespoň, že jim budou na základě jejich žádosti bez zbytečného odkladu poskytnuty informace a data, která pro ně poskytovatel služeb cloud computingu uchovává, a bez zbytečného odkladu umožněna jejich kontrola. Zde se hovoří o tom, co si zákazník (státní organizace) musí taxativně dát do smlouvy:

Nezbytnými náležitostmi smlouvy jsou:

• zakotvení povinnosti poskytovatele služeb zohlednit bezpečnostní politiky odběratele služeb,

• stanovení úrovně poskytovaných služeb,

• systém schvalování subdodavatelů služby cloud computingu,

• podmínky ukončení smluvního vztahu z pohledu bezpečnosti,

• řízení kontinuity činností v souvislosti s poskytovanou službou cloud computingu,

• určení vlastníka uchovávaných dat,

• dohoda o důvěrnosti smluvního vztahu“,

• stanovení úrovně ochrany dat z pohledu důvěrnosti, dostupnosti a integrity,

• pravidla zákaznického auditu,

• stanovení povinnosti poskytovatele služeb informovat odběratele o kybernetických bezpečnostních incidentech souvisejících
s plněním smlouvy.

Pokuty zde dosahují až 5 milionů korun.

Aleš Špidla zdůraznil, že je nejvyšší čas a na výmluvy, že se blíží podzimní parlamentní volby, argumentoval tím, že po volbách už se nestihne vůbec nic a dvouletá odkladní lhůta vyprší. Když tuto problematiku IT oddělení za „laskavého svolení“ vedení organizace a laskavého příspěvku finančního oddělení řešit nebude, vystavuje se nebezpečí vysokých pokut a trestní odpovědnosti (§180, §132 Sb.).

GDPR z pohledu práva

Eva Škorníčková, právní konzultantka pro IT bezpečnost a bezpečnost dat, se blíže věnovala GDPR. Toto nařízení bylo schváleno Evropským parlamentem 14. 4. 2016 po čtyřletém vyjednávání. Nahrazuje Spěrnici 95/45 EC s účinností od 25. 5. 2018 a v ČR zákon č. 101/2000 Sb. na ochranu osobních údajů. Jde o nejkomplexnější soubor pravidel na ochranu dat ve světě.

Eva Škorníčková

Tímto výrazným povýšením ochrany dat na úroveň evropského zákona se posiluje právo osob na lepší kontrolu nad jejich osobními údaji. Znamená také harmonizaci pravidel pro 28 států EU a zemí EFTA – Norsko, Island a Lichtenštejnsko (státy evropského hospodářského prostoru), čímž bude 31 národních zákonů zrušeno. Zajistí rovnocennou vymahatelnost práva a stejné sankce pro všechny státy, konzistentní právní úpravu a účinnou spolupráci regulatorních orgánů. Představuje rovnováhu mezi legitimními zájmy správců a zpracovatelů dat a právem osob na soukromí.
Ochrana dat potřebovala tuto reformu, protože od roku 1995, kdy byla vypracována původní směrnice, obrovsky vzrostlo množství zpracovávaných dat i síťový provoz, zejména internetový.

Správní pokuty závisí na řadě faktorů:
• Povaha, závažnost a délka porušení s přihlédnutím k povaze, rozsahu či účelu zpracování
• Úmysl nebo nedbalost
• Počet dotčených subjektů a míra škody
• Kroky podniknuté správcem či zpracovatelem ke zmírnění škod
• Míra odpovědnosti s přihlédnutím na technické a organizační opatření
• Předchozí porušení
• Míra spolupráce s dozorovým úřadem za účelem nápravy
• Kategorie osobních údajů dotčené porušením
• Způsob, jakým se dozorový úřad dozvěděl o porušení.

Pokuta tak může dosáhnout až 20 milionů eur, nebo 4 % z celkového ročního obratu celosvětově za předchozí finanční rok; nebo 10 milionů eur nebo 2 % z celkového ročního obratu celosvětově za předchozí finanční rok.

Směrnice versus nařízení

Eva Škorníčková dále vysvětlila a upřesnila některé další pojmy, například směrnice versus nařízení. Směrnice je dokument přijatý na úrovni EU a má národní implementaci („naklonování“) a může mít místní variace („genetické varianty“. Nařízení je také dokument přijatý na úrovni EU, avšak není potřeba národní implementace a řídí se pravidlem „jeden předpis řídí všechny“.

Za osobní údaje se považují veškeré informace vztahující se k identifikované nebo identifikovatelné fyzické osobě; nevztahuje se na osobní údaje zesnulých osob a anonymizované údaje. Vztahuje se na šifrované osobní údaje, protože někdo zná šifrovací klíč. Osobní údaje mají jednotlivé prvky. Mezi obecné prvky patří jméno, pohlaví, věk a datum narození, osobní stav, občanství, IP adresa a fotografický údaj. Mezi organizační osobní údaje patří pracovní nebo osobní adresa, pracovní nebo osobní telefonní číslo, pracovní nebo osobní e-mail, ověřovací identifikační údaje a identifikační čísla vydaná státem. Citlivé osobní údaje pak jsou speciální kategorií, protože vypovídají o rasovém či etnickém původu, politických názorech, náboženském nebo filozofickém vyznání, členství v odborech, zdravotním stavu, sexuální orientaci, trestních deliktech či pravomocném odsouzení, genetické a biometrické údaje a osobní údaje dětí.
GDPR má značně rozšířený dosah, tento nový zákon platí pro podnik v EU, nabídku zboží a služeb rezidentům EU a monitorování chování rezidentů EU. Vyplývají z něj také příké závazky pro zpracovatele dat. Zatímco současné právo neukládá žádné povinnosti pro zpracovatele (poskytovatele služeb), nová zákon stanoví přímou odpovědnost zpracovatelů, což má velký dopad na cloudové služby a stanovuje povinné smlouvy a jejich náležitosti mezi správci a zpracovateli. Zpracováním osobních údajů se rozumí jakákoliv operace nebo soubor operací s osobními údaji, který je prováděn s pomocí nebo bez pomoci automatizovaných postupů, spočívajících v shromáždění, zaznamenání, uspořádání, strukturování, uložení, přizpůsobení nebo pozměnění, vyhledání, nahlédnutí, použití, zpřístupnění přenosem, šíření nebo jakékoliv jiné zpřístupnění, seřazení či zkombinování, omezení, výmaz nebo zničení.
Zpracování těchto údajů se doporučuje se souhlasem subjektu dat. Souhlas musí být svobodný, konkrétní, informovaný, jednoznačný, případně vyjadřující přání.

Státní úřady mohou zpracovávat osobní údaje jen ve veřejném zájmu nebo pro splnění právních povinností – například daňový úřad, policie atd.

Práva subjektů osobních údajů byla také výrazně posílena. Jde o přístup, opravu, výmaz a „právo být zapomenut“, omezení zpracování, přenositelnost údajů a vznesení námitky. Vztahuje se na všechny osobní údaje včetně tzv. nestrukturovaných, tj. uložených např. v přílohách k e-mailu a na různých úložištích. Toto právo však také může být ze strany nespokojených zákazníků nebo zaměstnanců zneužíváno… Oznámení (privaci notice) by proto mělo upravovat postup, jakým může subjekt osobních údajů uplatnit svoje práva.

S tím souvisí nové požadavky na zodpovědnost, a sice nutnost přijmout vhodná opatření k prokázání souladu (compliance). Osobní data však lze zpracovávat anonymně, na základě pseudonymizace, aby již nemohla být přiřazena ke konkrétnímu subjektu dat. Zodpovědnost za zpracování osobních údajů bude mít povinný pověřenec pro ochranu osobních údajů, který je povinný pro veřejné orgány. Bude mít za úkol monitorování souladu, řízení činností interní ochrany dat, školení pracovníků ve zpracování dat a provádění interních auditů.

GDPR v organizaci může v organizaci dosáhnout na CRM, ERP, COM, HRM, ZIS, tj. bezpečnostní oddělení, finanční, IT a technické, klientské, legislativní a právní, logistické a výrobní, marketingové, obchodní, personální oddělení.

K zajištění schody s GDPR existuje doporučený přístup:
1. Definice rozsahu posuzování
2. Analýza stávajícího stavu zpracování osobních údajů
3. Příprava projektových záměrů a harmonogramu implementace
4. Vypracování projektových záměrů

GDPR nemusí být strašákem v podobě black boxu, s problematikou může pomoci buď GDPR superexpert, nebo tým expertů s průřezovými znalostmi a dovednostmi z více než jedné oblasti. Pro jednotlivé oblasti se pak doporučuje zajistit specialisty s kombinací znalostí know-how GDPR.

Kdo a jak může pomoci?

Následovaly prezentace technologických firem, které nabízejí technická řešení.

Jako první vystoupil Petr Zahálka, zástupce pořádajícího distributora Avnet, který měl obecnou přednášku o řešeních cyber security. Poskytuje například přístupové ochrany kamerovými systémy a požární opatření, ochranu osob a ochranu dat před jejich ztrátou, jako například zálohování, před jejich odcizením a před zneužitím.

Ondřej Číž z VMware seznámil s výsledky telefonického průzkumu ohledně GDPR, který tato společnost provedla v únoru až březnu 2017 v ČR a SR mezi firmami nad 100 zaměstnanců s jejich IT, HR a právními odděleními. VMware přitom svými technologiemi (NSX) pokrývá článek 18 – právo omezení procesů, článek 24 – zodpovědnost regulátora, článek 25 – ochrana dat návrhem řešení a vlastnostmi, článek 26 – součinnost regulátora, článek 32 – zabezpečení procesů a článek 35 – ochrana dat a posouzení případných dopadů.

Ondřej Kubeček ze System4U představil řešení AirWatch by VMware – Enterprise Mobility Management a návaznost na GDPR a BYOD.
Petr Hněvkovský z HPE ukázal, co všechno může přinést HPE Software GDPR Framework, zejména díky strukturovanému přístupu a mapováním schopností a řešení na funkční architekturu.

Jakub Jiříček z PaloAlto Networks uvedl případovou studii, jak tato platforma pomohla se zajištěním souladu s GDPR, zejména díky detekci s následnou nápravou a prevencí se zastavením případného útoku.

David Polášek z Trask Solutions podotkl vysokou míru právní nejistoty v současné době a ukázal na čtyři věci, kterým by se organizace měly věnovat už dnes – evidovat rozhodnutí týkající se práv osob (zájmy organizace vs. práva subjektu), nenechat přitom ujíždějící vlak zrychlovat, sladit souhlasy s regulací a provést datovou inventuru.

Daniel Joksch a Michal Gurther z IBM uvedli, že IBM participovala na vyjednáváních GDPR v EU a snažila se zmírnit jeho požadavky. IBM má řešení pro GDPR ohledně bezpečnosti, práci s daty a může nabídnout konzultace a služby, ucelené portfolio softwarových produktů a zejména zkušenosti a expertní tým IBM.

Tomáš Hlavsa ze společnosti Atos představil, jak může tato firma pomoci při právní analýze, revizi procesů, datovém auditu, reportu a návrhu nápravných opatření a při zavádění opatření, aby organizace dosáhla souladu s GDPR a EIDAS.

Petr Zahálka z Avnetu ještě seznámil, jak Symantec ochrání data organizace zákazníka před ztrátou.

Josef Honc, také Avnet, distribuce Veritas, uvedl klíčové průzkumy Veristasu ukazující tři hlavní problémy, jaké se s daty nesou:
Problém číslo jedna – většina organizací nemá tušení, jaké informace mají, jakou mají cenu, nebo proč je udržují. Ale budou je udržovat napořád.

Problém číslo dva – většina organizací nemá tušení, kde jsou jejich citlivé, regulované nebo nejcennější informace.
Problém číslo tři – když organizace potřebují skutečně nalézt informace, trvá to příliš dlouho, stojí příliš mnoho a většinou chybí výsledky nebo jich je příliš mnoho. Nebo obojí.

Jak z toho ven?

Jak už před zhruba dvěma roky prohlásil Aleš Špidla na jedné konferenci ICD Security: „Krabici vám rád prodá každý, jde ale o to, kdo vám technické řešení správně nastaví“. Odpovědí může být, že v případě, kdy se do toho vloží renomovaný výrobce s distributorem s přidanou hodnotou a dobrým prodejním partnerem, kteří mají v dané oblasti dostatečné know-how, může zákazník očekávat dobrý výsledek.