Testování zaměstnanců – GDPR a odpady

Množí se nám s dotazy, jak se ve firmě postavit k povinnému testování zaměstnanců. Co na to GDPR? A kam s odpadem? 

Povinnost testovat zaměstnance na přítomnost nákazy COVID-19 je zaměstnavatelům nařízena mimořádným opatřením Ministerstva zdravotnictví MZDR 47828/2020-16/MIN/KAN . Přestože se týká zaměstnavatelů s více jak padesátkou zaměstnanců, dá se do budoucna očekávat, že tato povinnost bude rozšířena i na menší společnosti.

Při plnění uložené povinnosti zajišťovat testování zaměstnanců dochází ke zpracování osobních údajů. Zaměstnavatel je v tomto případě správcem a nepotřebuje souhlas zaměstnance. Záznamy o provedených testech u jednotlivých zaměstnanců pořizuje z důvodu zákonné povinnosti a veřejného zájmu v oblasti veřejného zdraví. Jen je potřeba dát pozor na rozsah evidovaných údajů. 

Na webu Ministerstva průmyslu a obchodu je zveřejněn vzor přehledu o provedených testech . Tyto záznamy mohou obsahovat jméno, příjmení, číslo pojištěnce, údaje o zdravotní pojišťovně, údaje o čase provedení testu a výsledku, případně je možno uvést důvod výjimky z testování. Vyjádření Úřadu pro ochranu osobních údajů k povinnosti evidovat testy naleznete zde 
Pozor, pracujeme se zvláštní kategorií osobních údajů (citlivé údaje), které vyžadují důsledné zabezpečení a rozhodně není možné tyto údaje uchovávat po neomezeně dlouhou dobu.

Evidence by měla být zpřístupněna pouze osobám, jež zaměstnavatel pověřil plněním úkolů spojených s dodržováním mimořádného opatření. 

Co se předávání těchto údajů týče (například pojišťovnám), nepředejme více, než co je požadováno. Informaci o pozitivním testu by měl sám zaměstnanec, jehož se výsledek týká, hlásit praktickému/podnikovému lékaři či jinému poskytovateli zdravotních služeb nebo orgánu hygieny.

Doba, po kterou je nutno vést a uchovávat evidenci, stanovena nebyla.
Z logiky věci je však potřeba ponechat si ji po dobu účinnosti mimořádného opatření k provádění povinného testování zaměstnanců a pro případné kontroly zpracování plateb a nároků, které mohou v důsledku testování vzniknout. Po této době musí následovat fyzická i elektronická likvidace údajů. 

Nezapomínejme, že i v tomto případě jsme povinni zaměstnance informovat o tom, kdo jeho osobní údaje zpracovává, komu budou předávány (např. zdravotním pojišťovnám, orgánům ochrany veřejného zdraví), jaký je právní základ tohoto zpracování a po jakou dobu budou údaje uchovávány. Rovněž mu nesmíme zatajit informace o druhu a povaze testů či způsobu testování.

Na závěr je potřeba zdůraznit, že i toto zpracování by mělo být vedeno v záznamech o činnostech zpracování dle článku 30 obecného nařízení. 

Druhý dotaz našich klientů se týká likvidace kontaminovaného materiálu z antigenních testů. Ministerstvo životního prostředí k této problematice vydalo metodické sdělení , které tento odpad zařazuje jako směsný komunální odpad pod katalogové číslo 20 03 01. Je však potřeba dodržet určité postupy při manipulaci s tímto odpadem:

Veškerý odpad z testovacích výrobků ukládejte do pevného plastového pytle určeného na odpady o minimální tloušťce 0,2 mm (u tenčích pytlů obal zdvojte).
Po naplnění pytle (nejpozději do 24 hodin) pytel pevně zavažte a na povrchu ošetřete dezinfekčním prostředkem.
Pytel odložte do černého kontejneru na směsný komunální odpad. Nikdy odpad nenechávejte mimo sběrnou nádobu!
Po manipulaci s odpadem si důkladně umyjte ruce mýdlem a teplou vodou nebo použijte dezinfekci. 
Starosti vyřešíme za vás.
Využijte našich zkušeností v oblastech implementace systémů řízení, revizí systémů řízení, auditů a školení.

Se značkou Q – COM to myslíme vážně

13. ledna 2021 bylo Úřadem průmyslového vlastnictví vydáno Osvědčení o zápisu ochranné známky Q – COM.

Společnost Q – COM má výlučné právo ochrannou známku používat pro označení obrazového loga společnosti. Může také používat symbol Ⓡ, tedy “registered”, který symbolizuje zapsanou známku. Bez jejího souhlasu nesmí nikdo jiný stejnou nebo zaměnitelnou ochrannou známku používat.

Značka Q – COM má na trhu jistou tradici a nemalou hodnotu. Jednoho dne se bude vyjímat v žebříčku nejlepších globálních značek . Neboť jak řekl Svatopluk Čech: „Sláb jenom ten, kdo v sebe ztratil víru, a malý ten, kdo zná jen malý cíl.“

Starosti vyřešíme za vás.
Využijte našich zkušeností v oblastech implementace systémů řízení, revizí systémů řízení, auditů a školení.

Den bezpečnějšího internetu 2021

SaferInternetDay
SaferInternetDay
Den bezpečnějšího internetu se připomíná druhé úterý v únoru už od roku 2004 a jen v loňském roce se do něj zapojilo 170 zemí po celém světě. V letošním roce připadá na 9. února 2021.
Pod heslem „Společně pro lepší internet“ vyzývá všechny zúčastněné strany, aby se spojily a připomenuly všechny aktivity, které mohou pomoci udělat internet lepším a bezpečnějším místem. Koordinátorem tohoto dne pro Českou republiku je národní Safer Internet centrum, které spravuje sdružení CZ.NIC .
Do této akce jsme se rozhodli zapojit i my ze společnosti Q – COM, která je již více než 20 let předním českým poskytovatelem konzultačních, analytických a auditních služeb v oblasti řízení podniků a informačních technologií.

Aktuálně žijme všichni více v online světě než offline. Prostřednictvím internetu komunikujeme, nakupujeme, platíme, zveřejňujeme o sobě tunu informací a ani si neuvědomujeme, že se vystavujeme obrovskému množství rizik.

Chceme-li něco naučit děti, je potřeba vysvětlovat, ukazovat, sami se tak chovat. Chceme-li něco naučit jejich rodiče, naše zaměstnance, vzdělávejme je!

Vzdělávejme zaměstnance!
Vzdělávejme sami sebe!
Kdy jindy, když ne teď?

Jdete do toho s námi? 
Třeba prostřednictvím školení a kurzů, které připravujeme dle vašich požadavků. Jsme akreditovanou společností pro vzdělávání. Kurzy realizujeme online nebo prezenčně ve vaší organizaci (pokud to situace dovoluje). Zajišťují je naši lektoři s dlouholetou praxí v oboru. Nač jsou zaměřeny?

Q - COMObecné internetové bezpečnosti
Q - COMSprávy hesel
Q - COMCloudů a jejich bezpečnosti
Q - COMPhisingů, virů a kyberútoků
Q - COMOchrany osobních údajů
Q - COMeGovernmentu a datových schránek
Q - COMElektronického podpisu
Q - COMÚvodu do šifrování
Q - COMSociálních sítí

Již několikátým rokem zdarma zasíláme našim klientům, ale i zaregistrovaným odběratelům nepravidelné informační emaily týkající se problematiky informační bezpečnosti, GDPR či jiných zajímavostí z oblasti řízení podniků a informačních technologií.

I vy a vaši kolegové se můžete zaregistrovat k odběru a naše novinky využívat třeba pro školení svých zaměstnanců, jako to již činí mnozí jiní.

V minulosti jste si mohli přečíst:
Den ochrany osobních údajů 2021

Jak to v České republice vypadá s certifikací GDPR. Jaké byly uděleny nejvyšší pokuty za porušení GDPR, proč se mluvilo o štítu soukromí EU – USA a jaký režim GDPR bude nadále panovat ve Velké Británii.

Co čekat od digitalizace a jakou mají malé a střední podniky výhodu proti velkým společnostem. V čem spatřujeme budoucnost digitalizace a představili jsme Pozoruhodný produkt 2021.

Informovali jsme o uniku emailových adres a hesel, který se týká i občanů České republiky. Zároveň jsme zveřejnili návod, jak zjistit, zda se únik týká právě vašich údajů.

Zveřejnili jsme návod co dělat, když byly naše údaje kompromitovány. Jak dál postupovat a jak se takovému problému do budoucna vyhnout. Odpověděli jsme na otázku, proč se kradou hesla.

Nabádali jsme k obezřetnému chování v online světě, ale i když jsme online. Vypíchli jsme několik důležitých zásad, kterými je vhodné se řídit ať už doma, v práci nebo ve škole.

Vybrané novinky zveřejňujeme také na našich sociálních sítích.

V rámci naší podpory při provozování již zavedeného systému řízení bezpečnost informací (ISMS) nebo při přípravě na audit ISMS či certifikaci GDPR (více na našich stránkách ) poskytujeme na poli informační bezpečnosti tyto služby:

Q - COMPraktické prověření zaměstnanců (sociální inženýrství) a rozbor závěrů.
Q - COMPraktická analýza bezpečnosti a prezentace výstupů.
Q - COMŠkolení informační bezpečnosti. 

Myslíte to s bezpečností vážně? Garantujte ji také svým zákazníkům – implementujte a certifikujte systém řízení bezpečnosti informací dle ISO 27001 (ISMS).

#SaferInternetDay

Starosti vyřešíme za vás.
Využijte našich zkušeností v oblastech implementace systémů řízení, revizí systémů řízení, auditů a školení.

Novinky z GDPR – Den ochrany osobních údajů 2021

Den ochrany osobních údajů 2021
Přesně před 40 lety přijala Rada Evropy Úmluvu o ochraně osob se zřetelem na automatizované zpracování osobních údajů jakožto první zákonodárný dokument, který upravoval oblast ochrany osobních údajů. Na tuto úmluvu následně navázaly další zákony v čele s obecným nařízením GDPR.

Připomeňme si právě dnes, proč je ochraně osobních údajů věnována pozornost. Každodenně jsme svědky neustále se prohlubující digitalizace, komunikační technologie pomalu ukrajují z naší anonymity a řečeno trochu nadneseně,  řídí naše životy.

Nekorektní jednání a prospěchářství je staré jako lidstvo samo. Není tedy s podivem, že jsou moderní technologie zneužívány ve snaze o manipulaci lidí, zisk či dosažení jiného cíle. Osobní údaje, potažmo naše soukromí, je v této souvislosti potřeba chápat jako komoditu, kterou je nezbytné chránit, jinak o ni přijdeme.

DEN OCHRANY OSOBNÍCH ÚDAJŮ

28. ledna 2021

Pojďme tedy nahlédnout, co se na poli GDPR v poslední době událo.

Zjistili jsme, jak se to má s certifikací GDPR. Organizace, které mají zájem zdokumentovat a doložit svůj soulad s GDPR nemusí čekat na dokončení zdlouhavého schvalovacího procesu zavedení akreditace zajišťované Českým institutem pro akreditaci, o.p.s. (ČIA). Mají i jiné možnosti.

Dáváte pozor na osobní údaje, které zpracováváte? Někteří berou GDPR na lehkou váhu. Výtečníků, které napadlo rozesílat spam do datových schránek si už Úřad pro ochranu osobních údajů (ÚOOÚ) všiml a pokuty na sebe nenechaly dlouho čekat.

Kapry z českého rybníčku nelze srovnávat s úlovky ze zahraničí. Portál Finance in Bold  na svých stránkách uvádí, že v zemích EU byly v roce 2020 rozdány pokuty ve výši 306,3 milionů EUR. Rozhodně se nejedná o konečné číslo, neboť v žebříčku nejsou ještě zahrnuty všechny země. Co do výše udělených pokut vede Francie, která nehodlá pochybení odpustit Googlu, Amazonu a dalším. Bude zajímavé sledovat, zda zmíněné společnosti skutečně 138,3 milionů EUR zaplatí.   

A když už jsme zabrousili do zahraničí, mrkneme se na to, jaké nástrahy čekají na ty, kteří hodlají předávat osobní údaje do Velké Británie či USA. 

ÚOOÚ jakožto odpovědný dozorový státní orgán v oblasti dodržování českého zákona č. 110/2019 Sb., o zpracování osobních údajů a evropského předpisu č. 2016/679 o ochraně osobních údajů rozhodl, že pro posouzení odborné způsobilosti subjektů, které budou provádět posuzování shody s požadavky GDPR, bude využíváno akreditace zajišťované ČIA.

Aby tento proces mohl být zahrnut do akreditačního systému ČR, bylo zapotřebí, aby ÚOOÚ vytvořil dokument specifikující a doplňující obecné požadavky uvedené v GDPR s ohledem na základní pravidla akreditačního procesu. Vzhledem k faktu, že se jedná o velmi komplexní problematiku, vznikla následně na evropské úrovni pracovní skupina, která měla za cíl připravit evropský dokument jako vodítka pro místní dozorové orgány. Text připravený ÚOOÚ bylo tedy potřeba dle těchto vodítek upravit a předložit Evropskému sboru pro ochranu osobních údajů ke schválení. Ten vydal své stanovisko a doporučení k úpravám dokumentu dne 25. května 2020.

Současný model vychází z předpokladu, že by se základní posouzení odborné způsobilosti realizovalo dle požadavků normy ČSN EN ISO/IEC 17065:2013, která se využívá pro akreditaci certifikačních orgánů certifikujících hmotné a nehmotné produkty, ale také procesy a služby. Tak totiž norma definuje termín produkt. Dá se tedy předpokládat, že oficiální certifikace GDPR nebudou zahrnovat celé organizace, ale jen služby a produkty v konkrétním způsobu použití. 

V kontextu aktuální pandemie se však celá problematika upozadila a v tuto chvíli nemáme informaci o konkrétním termínu zavedení akreditace v oblasti GDPR v České republice. 

Samozřejmě je zde stále možnost nechat si  certifikovat interně nastavená pravidla a procesy týkající se osobních údajů nezávislým certifikačním orgánem neakreditovaně nebo v rámci certifikace systému řízení bezpečnosti informací (ISMS), kterou lze doplnit o certifikaci GDPR dle normy ISO/IEC 27701, jež nastavuje rámec pro zpracování osobních údajů nejen pro správce, ale i pro zpracovatele osobních údajů. Její zavedení v organizaci vede k dosažení kontroly nad zpracováním osobních údajů a nastavení procesů zmírňujících či eliminujících možná rizika. ISO 27701 je rozšířením ISO řady 27000, kde jsou obecná pravidla ISMS uplatňována na osobní údaje v intencích požadavků GDPR.

Certifikace dle normy ISO/IEC 27701 již v České republice probíhají. Zájem je především z oblasti zdravotnictví a od organizací, které zpracovávají rozsáhlé soubory velmi citlivých údajů. Jedním z certifikovaných je například Ústav zdravotnických informací a statistiky ČR. 

O rekordní pokutě udělené českým Úřadem pro ochranu osobních údajů ve výši 6 milionů korun za rozesílání nevyžádaných obchodních sdělení jsme psali v naší říjnové novince s názvem „Máte pořádek v souhlasech? Padla rekordní pokuta (GDPR)„.

Další z vyšších penalizací na sebe nenechala dlouho čekat a opět se jednalo o spam. Tentokrát si pokutu ve výši 3 111 000 Kč rozdělí jedenáct společností, které zaplevelily datové schránky rozesílanou nevyžádanou reklamou. Nekalé jednání je o to horší, že spameři se chtěli přiživit na období bezplatného rozesílání datových zpráv, které bylo nastoleno kvůli usnadnění komunikace mezi občany a státní správou v době nouzového stavu, aby lidé zbytečně nechodili na úřady. 

Pokuty byly uloženy nepravomocně, dotčené společnosti se tedy mohou proti nim odvolat.

V porovnání s ostatními zeměmi se držíme spíše na chvostu co se výše udělovaných pokut týče. Z dostupných zdrojů lze vyčíst, že kromě výše zmíněných bylo v České republice rozdáno osm dalších v celkové výši půl milionů korun (údaje za druhé pololetí nebyly v den vzniku tohoto článku aktualizovány). Pojďme se tedy podívat na ty největší úlovky ze zahraničních vod.

Přehled udělených pokut za porušení GDPR v roce 2020 v členění dle zemí EU

Přehled, který sestavil portál Finance in Bold (Finbold.com) sice neobsahuje všechny udělené pokuty za porušení pravidel GDPR za rok 2020, ale i tak se jedná o astronomické částky. Dvacítka zemí na 302 pokutách za loňský rok hodlá vybrat či již vybrala 306,3 milionů EUR, tedy 8 miliard korun českých. 

Podíl udělených pokut za porušení GDPR v roce 2020 v členění dle zemí EU

Google dostal v prosinci od francouzského úřadu pro ochranu osobních údajů pokutu 100 milionů EUR (2,6 miliardy Kč) za porušení pravidel pro sledování internetové reklamy, takzvaných cookies, jež používají internetové stránky k ukládání informací o činnosti uživatelů. Je to nejvyšší pokuta, jakou kdy tento úřad udělil.
A nezahálel, neboť si na paškál vzal také amerického internetového prodejce Amazon, kterému vyměřil za stejné porušení pravidel pokutu ve výši 35 milionů EUR (téměř miliarda Kč).
Údajně oba provozovatelé internetových stránek ve Francii nepožádaly předem své návštěvníky o souhlas s uložením reklamních cookies a neposkytly uživatelům jasné informace o tom, jak budou získané informace použity či jak mohou jejich použití odmítnout. Na nápravu mají nyní tři měsíce. Pokud tak neučiní, hrozí jim další pokuta, a to 100 tisíc EUR denně až do doby, než budou úpravy provedeny. Na celkovém objemu pokut se tak Francie podílí 45%.

V Hamburku se zas projednávalo protiprávní zpracování osobních údajů, kdy se společnost H&M nebála intenzivně monitorovat své zaměstnance. Informace o osobních a rodinných poměrech, zdravotním stavu, nemocech či náboženském přesvědčení systematicky zaznamenávala a bohužel si tyto záznamy nepohlídala. V důsledku technické chyby byly na několik hodin zpřístupněny v rámci firemní sítě. Tato chyba bude stát 35,3 milionů EUR (přibližně 920 milionů korun). 

O úniku osobních údajů a údajů karetních dat více než 400 tisíc klientů aerolinek British Airways jsme již také psali. Britský dozorový úřad původně avizoval pokutu 183 milionů britských liber. Po složitém vyjednávání však úřad aerolinkám na sklonku loňského roku uložil pokutu 20 milionů liber (zhruba 580 milionů korun). 

Také britskému hotelovému řetězci Marriott International snížil dozorový úřad prvotní pokutu z 99 milionů liber na 18,4 milionů (530 milionů korun). Zaplatit musí za únik dat stovek milionů hotelových hostů (jména, adresy bydliště, telefonní čísla, emailové adresy, příjezdy/odjezdy a další informace z databáze rezervačního systému jako jsou údaje o cestovních pasech či občanských průkazech).  

Na jihu Evropy uložil italský úřad místnímu telekomunikačnímu operátorovi Wind Tre SpA pokutu ve výši 17 milionů EUR (asi 440 milionů Kč) za porušení více pravidel při zpracování osobních údajů pro marketingové účely. Převážně šlo o marketingové oslovování uživatelů bez předchozího souhlasu a bez možnosti další komunikaci zabránit. 

Jak vidno na případu z Německa, ani přílišný prozákaznický přístup při vyřizování požadavků subjektu údajů na přístup k údajům se nemusí vyplatit. Místní telekomunikační operátor 1&1 Telecom GmbH nastavil příslušný proces způsobem, kdy stačilo zavolat na informační linku, uvést jméno a datum narození klienta a bez jakéhokoliv dalšího ověření dotyčný získal detailní klientská data.
Taková vstřícnost měla přijít na 9,55 milionů EUR (necelých 250 milionů korun). Do procesu byl však v rámci odvolání pokutovaného subjektu přizván i německý soud, dle kterého je současný německý model výpočtu pokuty nepřiměřený, neboť zásadním kritériem je výše obratu společnosti. Za malé prohřešky by byly velké společnosti pokutovány vysokými pokutami a naopak, malé společnosti by za velké prohřešky proti GDPR platily pakatel. Vzhledem k tomu, že se nejednalo o masový únik dat, ale o ojedinělé případy a dotčené osobní údaje jsou mnohdy veřejně dostupné a také že pokutovaná společnost ochotně spolupracovala, byla pokuta snížena soudním rozhodnutím o 90%.

Německý soud tak svým precedenčním rozsudkem poskytl velkým hráčům silnou zbraň až budou žádat o upuštění použití ustanovení Obecného nařízení zohledňující celosvětový obrat ve snaze vyhnout se vyšším pokutám, které by jim jinak hrozily.  

Ještě necelých šest měsíců bude GDPR v platnosti ve Spojeném království.

V praxi to znamená, že nevydá-li Evropská komise rozhodnutí o odpovídající úrovni ochrany osobních údajů ve Velké Británii umožňující jejich bezpečný transfer do Velké Británie, bude tato v brzké budoucnosti považována z pohledu předávání dat za třetí zemi.

Zmíněné rozhodnutí považuje třetí zemi z hlediska úrovně poskytované ochrany osobním údajům za bezpečnou a staví ji na roveň členským státům Evropské unie, kdy předávání osobních údajů do těchto zemí nevyžaduje ze strany předávajícího správce či zpracovatele přijetí žádných dodatečných opatření. Mezi tyto země se řadí Švýcarsko, Kanada, Argentina, Andorra, Izrael, Nový Zéland, Japonsko a další. 

Co však pro Spojené království přestalo platit s příchodem roku 2021 je mechanismus jediného kontaktního místa. Správci a zpracovatelé sídlící pouze ve Velké Británii musí jmenovat svého zástupce v jednom z členských států EU, ve kterém se vyskytují subjekty údajů, jejichž osobní údaje jsou zpracovávány v souvislosti s nabízeným zbožím či službami nebo jejichž chování je monitorováno. Zástupce musí být správcem nebo zpracovatelem zmocněn, že se na něj mohou obracet zejména dozorové úřady a subjekty údajů ohledně otázek souvisejících se zpracováním za účelem zajištění souladu s GDPR. 

Z podobného soudku pochází i červencová informace, že Evropský soudní dvůr prohlásil za neplatné Rozhodnutí 2016/1250 o odpovídající úrovni ochrany poskytované štítem EU-USA na ochranu osobních údajů, který zajišťoval bezproblémový transfer osobních údajů mezi EU a USA. Nadále tak již není možné předávat osobní údaje do USA na základě tzv. štítu soukromí.

Používané standardní smluvní doložky však Evropský soud svým rozsudkem nezrušil, jejich použití ale podmiňuje testem přiměřenosti přijatých opatření v závislosti na okolnostech předání a zemi dovozce údajů. Což znamená, že si má správce či zpracovatel sám prověřit před předáním osobních údajů do třetí země, zda záruky a ochranná opatření v doložkách zajišťují srovnatelnou úroveň ochrany zaručené v Evropské Unii GDPR a Listinou základních práv. 

V případě USA toto posouzení učinil sám Evropský soudní dvůr a došel k závěru, že zde není zajištěna dostatečná ochrana předávaným osobním údajům ani účinná právní ochrana subjektům údajů. 

Z rozhodnutí Komise o standardních smluvních doložkách pak přímo vyplývá, že pokud vývozce a dovozce údajů dojdou k závěru, že standardní smluvní doložky nemohou být ve třetí zemi dodrženy, měly by být doplněny o další opatření nebo přenos údajů zastaven. 

Vzhledem k výše uvedenému by měl každý správce či zpracovatel, který  o předání osobních údajů do USA na základě standardních smluvních doložek uvažuje, řešit s dovozcem údajů dopady rozsudku Evropského soudního dvora a navrhovat řešení v podobě dalších bezpečnostních záruk (např. uložení dat včetně metadat pouze na území EU, šifrování bez zadních vrátek apod.). Nesmí se přitom zapomenout na zásadu transparentnosti a informovat subjekt údajů o konkrétních opatřeních a postupech, komu a do jakých zemí jsou údaje zpřístupňovány/předány, za jakých podmínek, jak jsou jeho údaje chráněny, případně rizika s tím související.

Protože ochranu osobních údajů bereme vážně, nabízíme v týdnu od 1. do 7. února 2021 slevu 15% na služby spojené s GDPR.

I letos platí, že Den ochrany osobních údajů může být stejný jako ostatních 364 letošních dnů, kdy zvítězí naše pohodlnost a nechuť cokoliv měnit.

Ale také to může být den, kdy začneme používat zdravý selský rozum! 

Starosti vyřešíme za vás.

Využijte našich zkušeností v oblastech implementace systémů řízení, revizí systémů řízení, auditů a školení.

Z možnosti nutnost – investujte do digitalizace

Když před několika měsíci vypukla koronavirová epidemie, málo kdo čekal, kam až to dojde a jak zásadním způsobem bude ovlivněn život na celém světě.
Pod tlakem nucené sociální izolace jsme přestěhovali své životy domů a spoléháme na digitální technologie s jejichž pomocí pracujeme, komunikujeme, nakupujeme a trávíme volný čas. Bez moderních technologií již nemůže existovat žádný podnik, město ba dokonce ani stát. Přestože se o digitální transformaci hovoří již několik dekád, dosud se jednalo spíš jen o možnost, která se však nyní stává nutností pro přežití v bezkontaktním prostředí. Kdo digitalizaci zatím příliš neřešil, má nejvyšší čas začít do ní investovat!
Jarní a podzimní vládní protikoronová opatření totiž obzvláště malým a středním podnikům ukázala, že pokud chtějí udržet svůj byznys, neobejdou se bez digitalizovaného podnikového řízení, elektronické komunikace či online prodejního kanálu. 
Naštěstí je na trhu dostatečný výběr řešení, i když těch pozoruhodných  je jen pár. (Čtěte dál, jsme pyšní, že vám jedno takové můžeme nabídnout.)

Ještě vloni malé a střední podniky od investic do technologií čekaly zefektivnění procesů, zlepšení produktivity práce zaměstnanců, přilákání nových zákazníků či získání náskoku před konkurencí (dle studie společnosti SMB Group zabývající se výzkumem, analýzou a poradenstvím zaměřujícím se na přijetí technologií a trendy na trhu malých a středních podniků). 

Stačilo však pár měsíců s pandemií a následnými vládními opatřeními, aby se jejich očekávání změnila. Nyní se od technologií požaduje řešení problémů způsobených nemožností setkat se fyzicky se zákazníky, je potřeba zlepšit schopnost spolupráce zaměstnanců na dálku, zastavit pokles prodejů, omezit ztráty, optimalizovat procesy, obnovit výrobu s omezeným počtem zaměstnanců či začít více využívat on-line marketing k rozvoji podnikání.

K tlaku na získání nových zákazníků se tak přidává potřeba udržet kontakt s těmi stávajícími a umět jim poskytnout co nejlepší podporu on-line. A to už jde bez Pozoruhodného produktu těžko.

Krize přináší příležitosti. Přestože je v tomto období nejistota jedinou jistotou, malé a střední podniky si uvědomují, že investice do inovací je cesta ven z krize. Proto více než 90% respondentů posledního průzkumu Asociace malých a středních podniků a živnostníků ČR (AMSP ČR) plánuje nějaké investice. Nejčastěji se jedná o inovaci technologií či zjednodušení administrativy .

Jak je na tom vaše organizace? Digitalizujete? 

Jak nám aktuální dění ukazuje, kdo zvládl adoptovat digitální technologie, rychleji inovuje a je v případě krize schopen zareagovat a nabídnout nový produkt nebo službu. 

Velké společnosti jsou většinou v digitalizaci dál. Malé a střední podniky však nyní mají výhodu, že mohou přeskočit některé technologie, do kterých dříve investovaly korporace a o nichž již víme, že jim zvoní hrana. Například v minulosti hojně zaváděné serverové aplikace podnikových informačních systémů, jež byly využívány pro spolupráci uživatelů, sdílení informací a řízení procesů začínají být zastaralé. Se vzdáleným přístupem uživatelů a prací na dálku přichází nové výzvy. Malé a střední podniky mají nyní možnost implementovat nové technologie výrazně levněji a rychleji. 

Nemyslíme ovšem ty cloudy, které se neobejdou bez kvalitního správce systému, terminálů, licencí operačních systémů, VPN a řešení problémů s provozováním spojených.

Máme na mysli systémy, které jsou pro cloud postaveny od samotného začátku. Kde vzdálený přístup je možný z jakéhokoliv zařízení s přístupem na Internet prostřednictvím webového prohlížeče.

Nic víc nepotřebujete! Odpadá starost o zabezpečení dat, infrastrukturu a technologie. To vše řeší provozovatel systému. A vám zbyde čas na důležitější projekty.  

V cloudech je budoucnost. Tak vidíme digitalizaci my!

Společnost Q – COM nabízí své služby v oblasti systémů řízení a IT již více než dvacet let. Nejsme vyznavači hesla, že čas jsou peníze. Mnohem více nám záleží na kvalitě našich služeb a spokojenosti našich klientů. Proto do každé zakázky dáváme maximum našich znalostí a zkušeností. Naše informační systémy podporují systémy řízení a procesní i projektové řízení společností a naopak v oblasti systémů řízení umíme řešit také digitální výzvy – digitalizaci procesů, IT bezpečnost a optimalizaci IT.

V nedávném výzkumu napříč EU, který měl za cíl zjistit, jak jsou na tom malé podniky s digitalizací, 73% dotázaných uvedlo, že mají potíže s nastavením a implementací nových technologií a trápí se s migrací z předchozích systémů či s vyřazením starých technologií z provozu. 51% procent dotázaných obtížně hledá správnou technologii, jež by odpovídala jejich potřebám a 38% malých a středních podniků by přivítalo podporu při zaškolení. Toť údaje ze zprávy, kterou financovala Mezinárodní skupina Vodafone Group .

Všechny tyto zmíněné potíže mají společného jmenovatele. Základem je vybrat si kvalitního dodavatele, který zajistí, že se organizace nebudou cítit ztraceny. A přesně o to se snažíme. Proto jsme se v této nelehké době a navzdory obtížné ekonomické situaci rozhodli věnovat většinu úsilí projektu, o kterém jsme přesvědčeni, že má smysl!

Toto naše přesvědčení ještě posílilo začátkem prosince, neboť námi vyvíjený informační systém QML získal ocenění Pozoruhodný produkt 2021, jež uděluje vydavatel stránek BusinessIT.

V kategorii Informační systémy se tak QML zařadil mezi pozoruhodné produkty, které inovativně řeší určitý problém či poskytují zajímavé inovativní funkce. Ve všech případech se jedná o produkty s potenciálem pomoci organizacím posunout se vpřed. Kompletní seznam oceněných produktů je k dispozici na webových stránkách vydavatele . Hodnocení QML sdílíme na webu www.qml.cz.

Webový podnikový informační systém QML, který neustále vylepšujeme, je bez nadsázky antiCovid. V maximální míře totiž podporuje práci na dálku, bez potřeby setkání pracovních týmů. Zaměstnanci mohou pracovat z bezpečí domova nebo třeba z chalupy. Všechny potřebné údaje mají hned po ruce a stačí jim jen zařízení s připojením na Internet a webový prohlížeč.

Takto funguje digitalizace u nás:

Díky propojení s ostatními systémy, které u nás využíváme, mají naši manažeři okamžitý přehled o ekonomických výsledcích, ať se právě nachází kdekoliv. Data však neputují jen do IS QML, ale i obráceným směrem.

Takže Marcela může v klidu fakturovat po nocích, kdy jí děti konečně spí, bez potřeby přihlášení skrz VPN do účetního systému a v rychlosti sfoukne i personalistiku.

Díky propojení se souborovým systémem si Martin z pohodlí domova prohlédne podklady pro příští schůzku uložené na serveru a v modulu Kontakty zkontroluje, s kým se má potkat. Ano, né vždy se osobnímu kontaktu vyhneme, ale snažíme se ho eliminovat, co to jde.  

Obchoďáci zadávají podrobnosti o zakázkách přímo z terénu a kdykoliv mají přehled o proběhlých jednáních a detailech, co se domluvilo. 

Manažeři řídí své týmy prostřednictvím modulu Úkoly. A když není někomu něco jasné, hned se to prodiskutuje v chatu. 

I naši vývojáři řeší požadavky na úpravy či opravy přímo v systému a případně diskutují nad jejich řešením. Klienti zadávají své požadavky přímým kanálem ze své instalace IS QML prostřednictvím speciálně vyvinuté funkce.

A náš „generální“? Těší se, až bude moci jít na tenis, protože ho konečně nezatěžujeme požadavky na investice do technologií z důvodu padající VPNky či přetíženého serveru. Co vyžaduje jeho schválení, to skrz IS QML zvládne i z kurtu. 

IS QML není instantní krabicové řešení. Každé implementaci předchází analýza stávajících procesů a jejich optimalizace. Citlivé nasazení informačního systému je doprovázeno importem dat z dosavadních systémů či jejich propojením.

IS QML upravujeme zákazníkovi na míru dle jeho potřeb a procesů. Není výjimkou, že se naši zákazníci aktivně podílí na dalším rozvoji systému, kdy nám zasílají náměty a požadavky na úpravu.

V průběhu implementace systému jsou realizačnímu týmu k dispozici konzultanti, kteří vše ochotně vysvětlí, ukážou, poradí. Zaškolení koncových pracovníků je naprostou samozřejmostí a i posléze je jim téměř nepřetržitě k dispozici naše technická podpora, která je připravena poradit či vyřešit vzniklé potíže.

Hřeje nás, že byl IS QML oceněn jako Pozoruhodný produkt 2021, ale mnohem více nás těší, že ho obdobně hodnotí i naši zákazníci. 

Starosti vyřešíme za vás.

Využijte našich zkušeností v oblastech implementace systémů řízení, revizí systémů řízení, auditů a školení.

IS QML – Pozoruhodný produkt 2021

Námi vyvíjený informační systém QML získal začátkem prosince ocenění Pozoruhodný produkt 2021, jež uděluje vydavatel stránek BusinessIT. V kategorii Informační systémy se tak zařadil mezi pozoruhodné produkty, které inovativně řeší určitý problém či poskytují zajímavé inovativní funkce. Ve všech případech se jedná o produkty s potenciálem pomoci organizacím posunout se vpřed. 

Kompletní seznam pozoruhodných produktů je k dispozici na webových stránkách vydavatele . Hodnocení QML sdílíme níže. 

QML je webový informační systém pro podporu vzdáleného řízení malých a středních podniků. Díky plně online režimu mají uživatelé potřebné informace po ruce, ať se právě nacházejí kdekoliv. Propojením s ostatními systémy a souborovými uložišti je v rámci QML vytvořeno jedno místo pro sdílení informací. Data však mohou putovat i z QML do jiných systémů, takže například účetní může v klidu fakturovat po nocích, bez potřeby připojení skrz VPN do účetnictví. Obchodníkovi QML umožňuje prohlédnout si z domova podklady pro schůzku a zkontrolovat, co bylo projednáno minule. Informace zadává přímo z terénu a kdykoliv má přehled o provedených pracích a stavu zakázky. A všechny potřebné smlouvy a objednávky? Najde či vystaví také tam. Manažeři řídí své týmy prostřednictvím úkolů. Když není někomu něco jasné, prodiskutují to v chatu. A také generální ředitel může přes QML schválit jakýkoli dokument odkudkoli.

Systém QML nabízí řadu základních modulů a prostřednictvím XML jej lze napojit na externí systémy, například na účetnictví. Zajišťuje tak komplexní online přístup k podnikovému ERP, CRM, personálnímu a docházkovému systému. Všechna data jsou po ruce okamžitě a odkudkoliv. Stačí mít zařízení s připojením na internet a webový prohlížeč. Produkt nabízí i velmi intuitivní ovládání.

Starosti vyřešíme za vás.

Využijte našich zkušeností v oblastech implementace systémů řízení, revizí systémů řízení, auditů a školení.

Stamiliony uniklých údajů – emailové adresy a hesla

V listopadu 2020 bylo možno na několika hackerských fórech stáhnout sbírku obsahující více než 226 emailových adres a hesel. Kolekce ukradených přihlašovacích údajů byla nazvána jako Cit0Day. Podle nezávislých šetření jsou tato data skutečně pravá. Souborům se důkladně věnoval Troy Hunt – odborník na počítačovou bezpečnost, jejichž rozbor zveřejnil na svých stránkách .

Cit0Day obsahuje také seznam více než tří stovek webů s doménou .cz, kterých se únik databází emailových adres a hesel týká. Ve většině případů jsou získané přihlašovací údaje v nezabezpečené (nezahashované) formě – v otevřeném textu. Pro naše čtenáře jsme ze zveřejněných souborů připravili seznam dotčených  českých webů s počtem uniklých údajů. 

Hash představuje otisk datové zprávy (vytvořený matematickou funkcí). Matematické funkce jsou pouze jednocestné – z otisku nelze získat půdní zprávu. Otisky různě dlouhých zpráv jsou stejně dlouhé. Různé datové zprávy vytvoří různé hashe. (Otisky jsou unikátní.) Hash se používají pro zabezpečení hesel, ověření unikátnosti či neporušenosti datových zpráv, apod.

Jak je vidno, únik se týká i nemalého počtu uživatelů a provozovatelů z České republiky. Počet kompromitovaných údajů z více než 300 českých domén překračuje 3,2 milionu, přičemž nadpoloviční většina údajů byla získána v nezabezpečené podobě (otevřeném textu).

Letos jsme již jednou psali o tom, jak zjistit, zda v souvislosti s naší emailovou adresou neuniklo heslo a jaké kroky po tomto zjištění učinit. Článek Ukradená hesla – vaše možná také, který obsahuje i doporučení jak vytvořit silné heslo a jak hesla spravovat, aniž bychom si je všechna pamatovali, je kdykoliv k dispozici na našich webových stránkách

Hodí se však připomenout, že výše zmíněný odborník Troy Hunt zdarma provozuje webové stránky HaveIBeenPWNed.com, na kterých si můžete ověřit, zda váš email byl součástí některého z dosud odhaleného úniku nebo se zaregistrovat k odběru upozornění, pokud se tak v budoucnu stane. Ostatně díky této registraci jsme byli upozornění, že se aktuální únik týká i našich soukromých emailových adres. 

Databáze hashů kompromitovaných hesel je veřejně dostupná a připravena k využití. Například náš informační systém QML  sám ověřuje nová hesla oproti databázi HaveIBeenPWNed.com.

Pokud se váš email nachází v seznamu uniklých hesel, a patříte k těm uživatelům, kteří používají jedno heslo, důrazně doporučujeme změnit hesla! A to nejen do emailové schránky samotné, ale ke všem službám, k nimž se prostřednictvím tohoto emailu přihlašujete.

Starosti vyřešíme za vás.

Využijte našich zkušeností v oblastech implementace systémů řízení, revizí systémů řízení, auditů a školení.

Máte pořádek v souhlasech? Padla rekordní pokuta (GDPR)

V českém rybníčku se téma GDPR zase jednou dostalo nad hladinu. Vodu zčeřila zpráva, že Úřad pro ochranu osobních údajů uložil rekordní pokutu ve výši 6.000.000 Kč  společnosti zabývající se prodejem ojetých automobilů za opakovaná, nevyžádaná rozesílání obchodních sdělení.

Výše uvedená společnost totiž ve své marketingové kampani obeslala 459 779 adresátů prostřednictvím prostředků elektronické komunikace. Úřad se zaměřil na právní důvod, na základě kterého společnost svá obchodní sdělení zasílala. Ta však nebyla schopna prokázat udělené souhlasy.

Nejmenovaná společnost se proti rozhodnutí odvolala, nicméně rozklad byl zamítnut a rozhodnutí bylo v srpnu potvrzeno. Zajímají-li vás podrobnosti, ÚOOÚ prvoinstanční i druhoinstanční rozhodnutí zveřejnil zde . Potrestaná společnost již údajně uloženou pokutu v plné výši uhradila. 

Víte, kdy souhlas potřebujete a kdy ne? A víte, že musíte být připraveni prokázat udělený souhlas? 

Jak to máte vy?

Máte-li databázi kontaktů, do které se vám zákazníci sami svobodně přihlásili a udělili Vám souhlas pro zasílání obchodních či marketingových sdělení, potom můžete tuto databázi dále používat. Je však potřeba pohlídat, zda souhlasům neskončila jejich platnost. Jestli však svobodný souhlas nemáte, skončila jeho platnost nebo je vaše evidence zanedbaná, bude nutné získat souhlasy nové. Avšak jedná-li se o kontakty zákazníků či obchodních partnerů, s kterými aktivně spolupracujete, a účel zaslaného e-mailu se této spolupráce týká, není souhlas nutný, protože se jedná o váš oprávněný zájem. Což je případ tohoto sdělení, které právě čtete. Důležité však je, že ve všech případech musí mít adresát možnost se ze zasílání e-mailů odhlásit.

Je čas na inventuru, jaká data se u vás ve společnosti vyskytují a jak je o ně postaráno. A nejde jen o osobní údaje, ale i o další informace, které každodenně využíváte. Jsou v bezpečí? Kdo k nim má přístup? Jak se zpracovávají? Zajisté se u vás najdou i nějaké prohřešky proti bezpečnosti, nad jejichž nápravou by bylo vhodné se zamyslet… 

Q – COM je připraven vás nenechat ve štychu a pomoci s tím nelehkým úkolem. GDPR je převážně o revizi datových toků a nastavení interních pravidel, procesů a směrnic. My víme, jak na to.

Nastal čas na změnu…

Využijte našich zkušeností v oblastech implementace systémů řízení, revizí systémů řízení, auditů a školení.

Ukradená hesla – vaše možná také

Přestože se pomalu prosazují alternativní způsoby přihlašování, heslo stále zůstává zásadním bezpečnostním prvkem nejen pro jednotlivce, ale i ve velké části firem.

Používáme desítky různých služeb, ke kterým se přihlašujeme heslem. Obvykle jsme nuceni dodržovat požadavky na složitost (velká a malá písmena, číslice, délka hesla, speciální znaky) a často jsme vyzývání ke změně hesla. Poslední standard pro tvorbu hesel  tuto zažitou praxi ruší a přináší nový přístup k heslům, protože všechny tyto výše uvedené faktory vedou k tomu, že valná část uživatelů svá hesla zjednodušuje, opakuje nebo využívá jedno heslo pro více služeb.

 

Koncem ledna odvysílala TV Prima reportáž o nárůstu kybernetických útoků na firmy a také domácnosti. Jak jsme psali v naší nedávné novince „Kyberkriminalita, hacking, GDPR“ , hackeři mohou napadnout jakékoliv zařízení, které je připojeno k internetu. Snaží se získat přístupy k bankovním účtům či jiným službám, osobní údaje, čísla platebních karet a samozřejmě hesla. Dle společnosti ESET  je každý desátý kybernetický útok v České republice zaměřen na získání uživatelského hesla, a to nejčastěji prostřednictvím trojských koní, kteří získávají hesla z prohlížečů. A že se jim to daří!

Získané údaje jsou dále využívány k pokusům o přístup do dalších služeb, vydírání, krádežím identit, tvorbě seznamů, se kterými se dále obchoduje na darknetu. Ostatně sami provozovatelé online služeb jim práci usnadňují, když jsou schopni hesla svých klientů uchovávat v nezašifrované podobě – tedy ve formě prostého textu, jak se k tomu vloni přiznal Facebook  a následně i Google . Občas nějaký ten seznam s přístupovými údaji unikne. Jako se tomu stalo v lednu 2018, kdy se na internetu „povalovala“ databáze, ze které Troy Hunt, odborník na počítačovou bezpečnost, identifikoval 772 milionů unikátních e-mailových adres s příslušným heslem v textovém formátu. To znamená, že kdokoliv by se za použití těchto údajů mohl přihlásit k příslušné online službě a vydávat se za daného uživatele. Děsivé že?

O onom masivním úniku toho bylo napsáno hodně a tématu se chytily i zpravodajské televizní pořady. Přesto řada lidí dodnes neví, že Troy Hunt provozuje webové stránky HaveIBeenPWNed.com, na kterých si můžete ověřit, zda váš e-mail byl součástí některého z dosud odhaleného úniku. Databáze kompromitovaných hesel je veřejně dostupná a připravena k využití.
Například náš informační systém QML  sám ověřuje nová hesla oproti databázi HaveIBeenPWNed.com

Jednoduše zadáte váš e-mail a pak už se jen divíte, ve které databázi se objevuje nebo které online službě, jež s důvěrou využíváte, data unikla.

Dokonce si můžete ověřit, zda uniklo i vaše heslo, pokud věříte prohlášení , že stránka neposílá vámi zadané heslo nikam, kam nepatří. Využívá k tomu operace na počítači uživatele a na server odesílá jen část kontrolního součtu hesla. Sám Troy Hunt přiznal, že zvažoval, zda stránku pro ověření úniku hesla vůbec vytvářet. Nakonec se rozhodl, že výhody převažují nad nevýhodami… Zvažte sami. Každopádně zde zjistíte pouze počet výskytů vašeho hesla v databázi, ale ne odkud heslo pochází, či ke které e-mailové adrese se váže.

Pokud chcete zjistit, jaké heslo uniklo v kombinaci s vaším účtem, je zde online nástroj od Avast. Na webových stránkách  zadáte vaši e-mailovou adresu, na kterou vám Avast odešle zprávu obsahující informaci, zda byl e-mail kompromitován a prostřednictvím které služby. Následně se ve vygenerovaném seznamu můžete doklikat i k heslu, které jste pro tuto službu v době úniku využívali.


Co dělat, pokud byly naše údaje kompromitovány? Především změnit heslo všude, kde jste ho používali a dále se řídit níže uvedenými pravidly:

Své přihlašovací údaje nejlépe ochráníte, budete-li se řídit selským rozumem.
Hesla jsou slabým prvkem zabezpečení, mohou být prolomena nebo ukradena. Používejte unikátní hesla!
Hesla nikomu nesdělujte a neposílejte. Pokud si je potřebujete zaznamenat, používejte správce hesel.
Na veřejných Wi-Fi sítích používejte VPN připojení. Vámi zadávané přihlašovací údaje by neměl nikdo zachytit.
Kde to jde, tam využijte dvoufaktorové zabezpečení účtu (SMS zpráva, speciální aplikace, hardwarový klíč).
Při výběru bezpečnostních otázek volte takové, na které se nedá dohled na internetu odpověď (sociální sítě apod.).
Pořiďte si antivirový program i na chytrý telefon či tablet a pravidelně stahujte aktualizace.

 

K poslednímu bodu si společnost ESET nechala vytvořit průzkum, z kterého vyplynulo, že bezpečnostní program má v počítači či notebooku 83% dotázaných uživatelů, zatímco v mobilním telefonu jen 45%. Na pravidelné aktualizace zapomíná až čtvrtina majitelů počítačů a mobilů.

 

I přesto, že se provozovatelé prohlížečů snaží zvýšit bezpečnost svých produktů, rozhodně nedoporučujeme ukládat hesla přímo v prohlížeči. Mnohem bezpečnější způsob je použití správce hesel, což je aplikace, která si bude pamatovat všechna svěřená hesla (uložena v zašifrované databázi), případně pomůže s jejich generováním. Na uživateli je, aby znal jen jedno jediné heslo, kterým se k této službě přihlásí. Dobrá zpráva je, že dnes už existují aplikace, které umožní mít správce hesel nejen na počítači, ale i v mobilu nebo na jiném zařízení, takže svá hesla máte neustále po ruce. Osobně máme velmi dobrou zkušenost s aplikací KeePass .

Názory na tvorbu hesel se různí. Měli bychom používat hesla silná, ideálně náhodně generovaná, což může být pro mnoho lidí nezapamatovatelné. S tím sice může pomoci správce hesel, ale přece jen jsou služby, ke kterým je velmi vhodné mít silné heslo, které si pamatujeme (třeba právě pro přístup do správce hesel).

Možností jak takové silné heslo vytvořit je mnoho. Třeba alternativa dlouhé věty jako MojedvedetisejmenujiGustavaJitka. Další možností je z této věty podle určitého klíče heslo utvořit – například z prvních dvou písmen Mo2desejmGuaJi.

 

Krádeže hesel, osobních údajů, identit či biometrických údajů budou nadále na vzestupu. Nicméně jedná se jen o špičku ledovce. Analytici společnosti Kaspersky  na základě výsledků roku 2019 zveřejnili svou prognózu, nač se budou kybernetické útoky soustředit v letošním roce:

ransomware už nebude data znepřístupňovat, vybere si pro vydírání citlivé údaje;
hackeři se budou skrývat za cizí identitu;
pozornosti neujde povinné zpřístupnění infrastruktury bank třetím stranám;
do nekalé činnosti bude zapojena i umělá inteligence.

 

Brněnský dodavatel IT technologií Anect je v podstatě stejného názoru a přidává další hrozby:

ransomware se zaměří na cloud;
útočit se bude mimo zabezpečené firemní sítě na mobilní zařízení pracovníků;
porostou i útoky na IoT (internet věcí) a SCADA systémy;
útoky si budeme moci dokonce i objednat.

 


Jedním ze základních prvků omezení bezpečnostního rizika stále zůstává vzdělávání zaměstnanců. Nemálo bezpečnostních incidentů vzniká v důsledku nevědomosti, nepozornosti či nezodpovědnosti.

Můžete mít nastavena sebelepší technická či procesní bezpečnostní opatření, ale jakmile zaměstnanci nedodržují stanovená pravidla, v tu chvíli jste vynaložili prostředky na jejich zavedení zbytečně.

Bavíme-li se o kybernetické bezpečnosti, tak právě nyní, kdy spousta organizací zavedla práci z domova svých zaměstnanců, je potřeba vybavit je potřebnou technologií s adekvátním zabezpečením, ale i ponaučením, jak se mají v online světě chovat.

Společnost ESET upozorňuje, že řada firem v souvislosti s růstem práce na dálku využívá funkci vzdálené plochy pro přístup k datům nebo aplikacím. Tento způsob připojení je však terčem útoků, neboť se jedná o technologii s podceňovaným zabezpečením. Útočníci jsou si toho vědomi a snaží se touto cestou proniknout do interních sítí. V České republice to jsou stovky takových útoků denně, celosvětově se jedná o více než dvojnásobný nárůst od začátku roku .

Na téma zodpovědného chování v online i offline světě nabízíme školení a nedávno jsme o něm psali „Rozmohl se nám tady takový nešvar – nezodpovědnost“ .

Vzdělávejte své zaměstnance! Přeposílejte jim naše e-maily nebo jim zajistěte školení! Aktuálně nabízíme tato témata:

GDPR nejen pro vedoucí pracovníky;
Zodpovědné chování online i offline – v práci jako doma;
Elektronická komunikace;
Úvod do bezpečnosti informací.

 


Nastal čas na změnu… 

Využijte našich zkušeností v oblastech implementace systémů řízení, revizí systémů řízení, auditů a školení.

 

Neváhejte nás kdykoliv kontaktovat

Informační bezpečnost – vzdělávejme zaměstnance

Vybavíte si, kdy jste se naposledy účastnili školení na kybernetickou nebo chcete-li informační bezpečnost? Co si z něj pamatujete? Bylo srozumitelné?

Podle posledního průzkumu mezinárodní poradenské společnosti PwC 63% respondentů takové školení subjektivně vnímá jako nesrozumitelné či středně srozumitelné . Kolik znalostí si zaměstnanec odnese a co si ve skutečnosti zapamatuje?

Kdo se přímo nepohybuje v oblasti IT, žije si ve své bublině, kde má pocit, že se ho kybernetická bezpečnost netýká. Pokud vysloveně nevyhledává články na toto téma, mohly mu snadno uniknout informace o stále častějších kybernetických útocích nejen na organizace, ale i na domácnosti. Cíle jsou různé. V květnu převažovaly v České republice útoky cílené na zjištění uživatelských hesel , ale množí se i útoky na chytrá zařízení, která se řadí do skupiny internetu věcí (IoT). Podle společnosti ESET takové zařízení, které je ovládáno prostřednictvím chytrého telefonu, tabletu nebo počítače, vlastní skoro tři čtvrtiny Čechů, ale bezpečnost je důležitá jen pro desetinu z nich. Přestože si 92% dotázaných uvědomuje, že se údaje z těchto zařízení dají zneužít , klesá počet zařízení zabezpečených před kybernetickými hrozbami. Společnost ESET dokonce hovoří o tom, že svá zařízení přestáváme chránit . Bezpečnostní software na chytrém telefonu má pouhých 57% dotázaných, byť jsou tyto aplikace dostupné i v bezplatné verzi.

 

Doznívající pandemie změnila po celém světě organizaci práce ve společnostech. Jsme svědky nového trendu práce na dálku, mnohdy s možností pracovat na svém vlastním zařízení. Toto však přináší nemalé starosti organizacím, které jsou takto nuceny více se věnovat zabezpečení svých sítí a připojených zařízení, včetně takových, nad kterými nemají úplnou kontrolu.

Koncem loňského roku jsme zveřejnili statistiku útoků z našeho honeypotu v článku Kyberkriminalita, hacking, GDPR .

V průběhu jednoho listopadového týdne byl náš Honeypot vystaven více než 81 tisícům pokusů o přihlášení, přičemž tři čtvrtiny z nich byly vedeny z Ruska a více než 80% přihlášení byla prováděna z již kompromitovaných IP adres. Došlo k 135 541 pokusům o přesměrování požadavků. 44,64% případů se týkalo přesměrování na doménu ya.ru s cílem zahltit tuto službu požadavky pomocí velkého množství rozptýlených počítačů (útok DDoS). Čísla nás nemile překvapila už tenkrát, od té doby mnohonásobně narůstají.

Změnily se i pracovní postupy. Práce je nyní organizována prostřednictvím nejrůznějších cloudových služeb či videokonferenčních platforem, čemuž se rychle přizpůsobili hackeři. Deník Computerworld zmiňuje zprávu bezpečnostní společnosti McAfee, v které je uvedeno, že od ledna do dubna letošního roku vzrostl počet útoků na cloudové služby o 630% .

Výše uvedené údaje odráží fakt, který jsme zaznamenali i ve své praxi. Plošné školení zaměstnanců na téma informační bezpečnosti realizuje velmi malé procento zaměstnavatelů. Taková školení jsou obvykle cílena na management společnosti, nikoliv na všechny zaměstnance využívající ke své práci IT. A přitom za většinou případů prolomení zabezpečení stojí lidská chyba, které by se dalo předejít.

Důrazně apelujeme na plošné zavedení školení informační bezpečnosti a navíc na jeho pravidelné opakování, protože jedině tak se bezpečnostní pravidla dostanou do povědomí i těch zaměstnanců, kteří již dávno opustili školní škamna a o práci s IT vybavením či v prostředí Internetu ví jen tolik, kolik se naučili metodou pokus-omyl.

Kdo jiný než zaměstnavatel by jim měl rozšířit obzory, aby si byli vědomi toho, že ne každý flash disk je bezpečný, že by neměli otevírat každou přílohu mailu, že ne každá mobilní aplikace je důvěryhodná, že údaje na sociálních sítích jsou lehce zneužitelné nebo třeba, že dnes už může být zavirovaný i USB kabel a  nebo že obyčejná nabíječka může odposlouchávat bezdrátovou klávesnici . Pak i ti nejotrlejší přehodnotí svůj nákup drobných elektronických zařízení či součástek někde na Aliexpresu…

Avšak takové školení, aby bylo účinné a účastník si z něj co nejvíce odnesl, musí obsahovat praktický trénink, rady a zkušenosti. Navíc by mělo být srozumitelné a v ideálním případě i zábavné, protože když se u učení bavíme, více si toho potom i pamatujeme. Toho si jsou naši lektoři informační bezpečnosti vědomi a umí připravit školení na míru a dle požadavků vaší organizace.

Příjemným zpestřením by potom mohla být i novinka na trhu online školení. Cloudová hra Clashing , kterou jsme si zprostředkovaně vyzkoušeli, má potenciál stát se hrou, jež bude bavit a zároveň vzdělávat a zaměstnanci se k ní budou rádi vracet. Online školení informační bezpečnosti v tomto pojetí má podobu karetní hry pro dva hráče s trváním 10 – 15 minut. V rámci souboje mají za úkol buď svou organizaci chránit jako zaměstnanec nebo napadnout z pozice hackera. Aktuálně jsou k dispozici prostředí kancelář, mimo kancelář a home office, ale další budou postupně přibývat. Je to horká novinka od společnosti ANECT, která se právě nasazuje v České spořitelně a další klienti budou přibývat.

Jedná se o cloudovou službu a platí se za 12 měsíců používání dle počtu uživatelů. Minimální počet uživatelů je 20. Cena začíná na částce 1.000 Kč za uživatele a s rostoucím počtem zapojených osob se snižuje.


Společnost Q-COM je již více než 20 let předním českým poskytovatelem konzultačních, analytických a auditních služeb v oblasti řízení podniků a  informačních technologií. Na poli informační bezpečnosti poskytujeme tyto služby:

Q - COM Praktické prověření zaměstnanců (sociální inženýrství) a rozbor závěrů.
Q - COM Praktická analýza bezpečnosti a prezentace výstupů.
Q - COM Školení informační bezpečnosti. 
Q - COM Informační newslettery a online text na míru.

Starosti vyřešíme za vás.
Využijte našich zkušeností v oblastech implementace systémů řízení, revizí systémů řízení, auditů a školení.

Neváhejte nás kdykoliv kontaktovat