Informační bezpečnost – vzdělávejme zaměstnance

Vybavíte si, kdy jste se naposledy účastnili nějakého školení na kybernetickou nebo chcete-li informační bezpečnost? Co si z něj pamatujete? Bylo srozumitelné?

Podle posledního průzkumu mezinárodní poradenské společnosti PwC 63% respondentů takové školení subjektivně vnímá jako nesrozumitelné či středně srozumitelné . Kolik znalostí si zaměstnanec odnese a co si ve skutečnosti zapamatuje?

 

Kdo se přímo nepohybuje v oblasti IT, žije si ve své bublině, kde má pocit, že se ho kybernetická bezpečnost netýká. Pokud vysloveně nevyhledává články na toto téma, mohly mu snadno uniknout informace o stále častějších kybernetických útocích nejen na organizace, ale i na domácnosti. Cíle jsou různé. V květnu převažovaly v České republice útoky cílené na zjištění uživatelských hesel , ale množí se i útoky na chytrá zařízení, která se řadí do skupiny internetu věcí (IoT). Podle společnosti ESET takové zařízení, které je ovládáno prostřednictvím chytrého telefonu, tabletu nebo počítače, vlastní skoro tři čtvrtiny Čechů, ale bezpečnost je důležitá jen pro desetinu z nich. Přestože si 92% dotázaných uvědomuje, že se údaje z těchto zařízení dají zneužít , klesá počet zařízení zabezpečených před kybernetickými hrozbami. Společnost ESET dokonce hovoří o tom, že svá zařízení přestáváme chránit . Bezpečnostní software na chytrém telefonu má pouhých 57% dotázaných, byť jsou tyto aplikace dostupné i v bezplatné verzi.

 

Doznívající pandemie změnila po celém světě organizaci práce ve společnostech. Jsme svědky nového trendu práce na dálku, mnohdy s možností pracovat na svém vlastním zařízení. Toto však přináší nemalé starosti organizacím, které jsou takto nuceny více se věnovat zabezpečení svých sítí a připojených zařízení, včetně takových, nad kterými nemají úplnou kontrolu.

Koncem loňského roku jsme zveřejnili statistiku útoků z našeho honeypotu v článku Kyberkriminalita, hacking, GDPR .

V průběhu jednoho listopadového týdne byl náš Honeypot vystaven více než 81 tisícům pokusů o přihlášení, přičemž tři čtvrtiny z nich byly vedeny z Ruska a více než 80% přihlášení byla prováděna z již kompromitovaných IP adres. Došlo k 135 541 pokusům o přesměrování požadavků. 44,64% případů se týkalo přesměrování na doménu ya.ru s cílem zahltit tuto službu požadavky pomocí velkého množství rozptýlených počítačů (útok DDoS). Čísla nás nemile překvapila už tenkrát, od té doby mnohonásobně narůstají.

 

 

Změnily se i pracovní postupy. Práce je nyní organizována prostřednictvím nejrůznějších cloudových služeb či videokonferenčních platforem, čemuž se rychle přizpůsobili hackeři. Deník Computerworld zmiňuje zprávu bezpečnostní společnosti McAfee, v které je uvedeno, že od ledna do dubna letošního roku vzrostl počet útoků na cloudové služby o 630% .

Výše uvedené údaje odráží fakt, který jsme zaznamenali i ve své praxi. Plošné školení zaměstnanců na téma informační bezpečnosti realizuje velmi malé procento zaměstnavatelů. Taková školení jsou obvykle cílena na management společnosti, nikoliv na všechny zaměstnance využívající ke své práci IT. A přitom za většinou případů prolomení zabezpečení stojí lidská chyba, které by se dalo předejít.

Důrazně apelujeme na plošné zavedení školení informační bezpečnosti a navíc na jeho pravidelné opakování, protože jedině tak se bezpečnostní pravidla dostanou do povědomí i těch zaměstnanců, kteří již dávno opustili školní škamna a o práci s IT vybavením či v prostředí Internetu ví jen tolik, kolik se naučili metodou pokus-omyl.

Kdo jiný než zaměstnavatel by jim měl rozšířit obzory, aby si byli vědomi toho, že ne každý flash disk je bezpečný, že by neměli otevírat každou přílohu mailu, že ne každá mobilní aplikace je důvěryhodná, že údaje na sociálních sítích jsou lehce zneužitelné nebo třeba, že dnes už může být zavirovaný i USB kabel a  nebo že obyčejná nabíječka může odposlouchávat bezdrátovou klávesnici . Pak i ti nejotrlejší přehodnotí svůj nákup drobných elektronických zařízení či součástek někde na Aliexpresu…

Avšak takové školení, aby bylo účinné a účastník si z něj co nejvíce odnesl, musí obsahovat praktický trénink, rady a zkušenosti. Navíc by mělo být srozumitelné a v ideálním případě i zábavné, protože když se u učení bavíme, více si toho potom i pamatujeme. Toho si jsou naši lektoři informační bezpečnosti vědomi a umí připravit školení na míru a dle požadavků vaší organizace.

 

 

Příjemným zpestřením by potom mohla být i novinka na trhu online školení. Cloudová hra Clashing , kterou jsme si zprostředkovaně vyzkoušeli, má potenciál stát se hrou, jež bude bavit a zároveň vzdělávat a zaměstnanci se k ní budou rádi vracet. Online školení informační bezpečnosti v tomto pojetí má podobu karetní hry pro dva hráče s trváním 10 – 15 minut. V rámci souboje mají za úkol buď svou organizaci chránit jako zaměstnanec nebo napadnout z pozice hackera. Aktuálně jsou k dispozici prostředí kancelář, mimo kancelář a home office, ale další budou postupně přibývat. Je to horká novinka od společnosti ANECT, která se právě nasazuje v České spořitelně a další klienti budou přibývat.

Jedná se o cloudovou službu a platí se za 12 měsíců používání dle počtu uživatelů. Minimální počet uživatelů je 20. Cena začíná na částce 1.000 Kč za uživatele a s rostoucím počtem zapojených osob se snižuje.

 


Společnost Q-COM je již více než 20 let předním českým poskytovatelem konzultačních, analytických a auditních služeb v oblasti řízení podniků a  informačních technologií. Na poli informační bezpečnosti poskytujeme tyto služby:

Q - COM Praktické prověření zaměstnanců (sociální inženýrství) a rozbor závěrů.
Q - COM Praktická analýza bezpečnosti a prezentace výstupů.
Q - COM Školení informační bezpečnosti. 
Q - COM Informační newslettery a online text na míru.

 

Starosti vyřešíme za vás.
Využijte našich zkušeností v oblastech implementace systémů řízení, revizí systémů řízení, auditů a školení.

Neváhejte nás kdykoliv kontaktovat

Coronavirus vs. Ochrana osobních údajů

Je v zájmu lidstva omezit šíření přenosných nemocí. Použití moderních technologií v boji proti pandemii coronaviru, jež postihuje velkou část světa, je nevyhnutelné. Vlády, ale i veřejné a soukromé organizace v celé Evropě přijímají opatření k omezení a zmírnění dopadů coronaviru, což může zahrnovat zpracování různých osobních údajů včetně citlivých. Avšak i v těchto výjimečných časech je potřeba pamatovat na ochranu osobních údajů, byť by se to na první pohled mohlo zdát jakkoliv marginální proti palčivějším a naléhavějším potížím vyžadujícím okamžitá řešení.

Z historie totiž víme, že dříve než nejtěžší okamžiky pominou a lidská solidarita a vzájemný respekt klesnou na své standardní hodnoty, objeví se ziskuchtiví prevíti nebojící se využít těch nejcitlivějších osobních údajů ke svému prospěchu. Lidé jsou si toho vědomi a začínají klást otázky v souvislosti s opatřeními pro zamezení nákazy. K některým z nich se vyjádřil i Evropský sbor pro ochranu osobních údajů  (EDPB European Data Protection Board) ve svém prohlášení z 19. března 2020 .

 

Jak se tedy GDPR dívá na zpracování osobních údajů jako je:

zdravotní stav osob, jež jsou nebo mohou být šiřiteli nákazy;
lokalizace šiřitelů nákazy v čase – trasování;
dohledání dalších osob, s kterými byli šiřitelé ve styku;
zpracování prováděná zaměstnavatelem.

 

Pravidla stanovená obecným nařízením o ochraně osobních údajů GDPR v článku 9 odst. 2 písm. i) pamatuje na specifická zpracování údajů o zdravotním stavu osob, jestliže je to nezbytné z důvodů veřejného zájmu v oblasti veřejného zdraví a ochrany před vážnými přeshraničními zdravotními hrozbami. Konkrétní situace zahrnující zpracování osobních údajů a jejich rozsah, jakož i přijímání vhodných opatření upravuje zákon o ochraně veřejného zdraví.

Příkladem vhodného opatření je informování obyvatel prostřednictvím mobilních telekomunikačních sítí ve spolupráci s operátory těchto sítí (varování a výzvy ve formě SMS zpráv).

Jak ukládá zákon o ochraně veřejného zdraví, příslušné orgány ochrany veřejného zdraví jsou oprávněny provádět epidemiologická šetření zaměřená zejména na ověření diagnózy a zjištění ohniska nákazy. Osoby jsou povinny sdělit příslušnému orgánu na jeho výzvu okolnosti důležité v zájmu podobných šetření.

Mezi orgány ochrany veřejného zdraví se řadí ministerstvo zdravotnictví, krajské hygienické stanice, ministerstva vnitra, obrany, průmyslu a obchodu a další (ministerstvo životního prostředí, ministerstvo dopravy, ministerstvo pro místní rozvoj, krajské úřady).

 

 

V České republice, ale jiných zemích je aktuálně vyhlášen nouzový stav, což je období, kdy je možno mimo jiné na nezbytně nutnou dobu a v nezbytně nutném rozsahu omezit některá práva a svobody občanů. Vláda ČR umožnila svým usnesením č. 250 ze dne 18. března 2020 tzv. trasování polohy osob, u kterých byla prokazatelně potvrzena nákaza COVID-19 ve sledovaném období a na základě jejich informovaného souhlasu.

Jinými slovy orgány ochrany veřejného zdraví mohou požadovat u telekomunikačních operátorů údaje o pohybu osob (na základě jejich souhlasu) dle lokalizace mobilních telefonů za účelem zjištění ohniska nákazy a vyhledání dalších potenciálně nakažených osob. Doba trvání by měla být omezena na dobu trvání nouzového stavu.

Jak upozorňuje EDPB je důležité přijmout odpovídající bezpečnostní opatření a zásady důvěrnosti zajišťující, že osobní data nebudou zpřístupněna neoprávněným osobám. Toho se drželo i Ministerstvo zdravotnictví, když nařídilo Zlínské hygienické stanici stáhnout ze svého webu údaje o počtu nakažených osob dle jednotlivých obcí Zlínského kraje. Mluvčí ministerstva zdravotnictví Gabriela Štěpanyová k tomu uvedla: „Zveřejňovat počty nakažených podle obcí považujeme za nevhodné, protože je zde vysoké riziko stigmatizace nakažených osob a jejich rodinných příslušníků. Ministerstvo zdravotnictví od začátku epidemie klade vysoký důraz na ochranu nakažených a jejich rodin. Považujeme proto za důležité komunikovat informace o pozitivních případech maximálně na úroveň jednotlivých okresů příslušného kraje.“ Více v článku Novinky.cz .

 

Zákoník práce ukládá zaměstnavateli vytvářet bezpečné a zdraví neohrožující pracovní prostředí, přičemž by měl přijímat opatření k předcházení, odstraňování či minimalizaci rizik – tzv. prevenční povinnost.

V době ohrožení je tedy zaměstnavatel povinen přijmout potřebná ochranná opatření a postupovat v souladu s platnými předpisy, mimořádnými opatřeními Vlády ČR a pokyny orgánů ochrany veřejného zdraví. Ministerstvo zdravotnictví připravilo manuál možných opatření bránících šíření onemocnění COVID-19 na pracovištích.

Za účelem vytipování možných šiřitelů zavádí zaměstnavatelé různá opatření a monitorování zaměstnanců jako jsou dotazníky zjišťující pobyt v rizikových zemích, čestná prohlášení či sledování teploty zaměstnanců. Vznikají i databáze rizikových zaměstnanců. Zaměstnavatelé mají právo zjišťovat, zda byl zaměstnanec nebo jeho blízké osoby v rizikové oblasti. Shromažďování informací o zdravotním stavu zaměstnanců je však možné za předpokladu, že budou sloužit výhradně pro účely ochrany zdraví a předcházení dalšímu šíření nákazy s tím, že opatření musí být přiměřená, zavedená na omezenou dobu a zaměstnanci musí být předem informováni.

Povinnost zaměstnanců/návštěv pracovišť podrobit se měření teploty není zatím v žádném českém předpisu stanovena. Osoba, která měření provádí by měla být o správném provedení měření poučena. V současné chvíli nedoporučujeme pořizovat záznamy naměřených teplot. Případné výstupy by měly zaznamenávat pouze rozhodnutí, zda umožnit práci/vstup na pracoviště nebo ne. Pokud ovšem nejste poskytovatel sociálních služeb, pro kterého MPSV vydalo doporučený postup, který způsob a evidenci měření teplot upravuje.

Tato problematika není napříč Evropskou unií řešena jednotně. Ve Francii mají zaměstnavatelé zakázáno shromažďovat zdravotní údaje zaměstnanců či návštěv. V Německu se měření teploty provádí na základě souhlasu zaměstnance. V Itálii mají zaměstnavatelé uloženo sledovat zdravotní stav zaměstnanců po dobu trvání mimořádného stavu, přičemž informace nesmí být sdíleny s třetími stranami vyjma případů stanovených zákonem.

Zákoník práce zaměstnavateli ukládá informovat své zaměstnance o možných rizicích. Takovým rizikem je i skutečnost, že se na pracovišti vyskytuje nebo vyskytovala nakažená osoba. Udaje o této osobě je potřeba poskytnout v minimálním rozsahu, nezbytném k ochraně zdraví ostatních zaměstnanců. Jak uvádí Úřad pro ochranu osobních údajů , nesmí být  dotčena důstojnost a integrita této osoby. Rozhodně by tedy zaměstnavatel neměl zaměstnancům sdělovat jména nakažených osob či osob v karanténě.

Nakazit se může i přes všechna opatření kdokoliv z nás. Nechceme přece být lynčováni a zveřejňováni s nálepkou „koroňák“! Nečiňme to tedy ani jiným. Mysleme na to, že nemocní a lidé v karanténě mají stejné právo na soukromí jako my.

Starosti vyřešíme za vás. 

Využijte našich zkušeností v oblastech implementace systémů řízení, revizí systémů řízení, auditů a školení.

 

Neváhejte nás kdykoliv kontaktovat

Den ochrany osobních údajů 28. ledna 2020

 


Po roce si opět připomínáme den ochrany osobních údajů. Dnes, jakož i zítra a kdykoliv jindy bychom měli mít na mysli, že budeme-li své osobní údaje dávat lacino, v budoucnu se nám to nevyplatí.

DEN OCHRANY OSOBNÍCH ÚDAJŮ

28. ledna 2020

 

Za kolik byste prodali kompletní přehled míst s daty, časy a délkou pobytu, která jste v průběhu jednoho měsíce navštívili? Z takového souboru dat se dá spolehlivě vyčíst kde bydlíte, kde pracujete, v kolik hodin odcházíte do práce, kdy a kde vyzvedáváte děti, jak dlouho a kdy bývá vaše obydlí opuštěné nebo třeba kde jste strávili noc.

A co adresář kontaktů v telefonu? Také si u jednotlivých jmen vedete přehled telefonních čísel, adresu domů a do práce, email či narozeniny? Na kolik si ceníte osobních údajů vám blízkých osob?

Většina z nás by tato data vědomě neprodala. A přesto tak činíme dnes a denně a co hůř, zadarmo! Respektive za trochu pohodlí nebo zábavy. Myslíte, že přeháníme?

 

Jste aktivní na sociálních sítích? Ukládáte kontakty do nějaké praktické cloudové aplikace, abyste je měli kdykoliv k dispozici na více zařízeních? Máte chytrý telefon, chytré hodinky, zapnuté GPS určování polohy, protože často někam cestujete? A máte množství aplikací v telefonu, které vyžadují přístup k údajům o poloze, ke kontaktům, k uloženým fotografiím či souborům, aniž by to pro svou primární funkci potřebovaly?

K čemu potřebuje aplikace svítilny přístup k údajům o poloze zařízení? Proč obyčejná hra vyžaduje povolení přístupu ke kontaktům? Jakou ochranu svěřených údajů vám asi nabízí služba, která je zdarma? (Ať už se jedná o cloudovou službu nebo aplikaci k chytrým hodinkám nejmenovaného čínského výrobce či sociální síť.) Čtete licenční ujednání před nainstalováním nové aplikace? Kdo by to dělal, že! Ale potom se nedivme, že máme aplikaci, prostřednictvím které provozovatel legálně stahuje data z našeho zařízení, která prodává třetím stranám…třeba zrovna ta polohová.

Přečtěte si, jak se v Americe čile obchoduje s legálně získaným souborem dat, jež tvoří údaje o geografické poloze dvanácti milionů Američanů – uživatelů mobilních telefonů.

 

Začátkem ledna 2020 vstoupil v platnost kalifornský zákon ochrany soukromí zákazníků CCPA (California Consumer Privacy Act), což je obdoba evropského GDPR. Kdo v Kalifornii zpracovává osobní údaje od více než 50 tisíc zákazníků, musí se jím řídit. Microsoft se nechal slyšet, že bude CCPA dodržovat pro všechny obyvatele USA, Mozilla dokonce celosvětově.

Zajímavá zpráva z oblasti ochrany osobních údajů pochází od Evropského sboru pro ochranu osobních údajů (EDPB), který ve svém registru pro rozhodnutí orgánů dohledu zveřejnil návrh standardních smluvních doložek (zpracovatelská smlouva) dánského úřadu pro ochranu osobních údajů. Stanovisko Sboru k původnímu dokumentu je dostupné v českém jazyce. Aktualizovaný vzor zpracovatelské smlouvy je k dispozici v anglickém jazyce. Tento pokus o standardizaci hodnotíme velmi pozitivně.

Český Úřad pro ochranu osobních údajů rovněž nezahálel a připravil dokument týkající se povinnosti správců provádět posouzení vlivu na ochranu osobních údajů (DPIA) s názvem „Seznam druhů operací zpracování (ne)podléhajících požadavku na posouzení vlivu na ochranu osobních údajů“.

Ani Q – COM nespí, neustále přemýšlíme, jak naše služby vylepšit. Na našich webových stránkách jsme zveřejnili přehled užitečných nástrojů, jež s ochranou osobních údajů a dalšími trápeními, umí rovněž pomoci. Naleznete tam mimo jiné vzor žádosti o poskytnutí informace o zpracování osobních údajů či žádost o výmaz osobních údajů.

CCPA stejně jako GDPR, dokumenty Sboru nebo národních dozorových orgánu jsou však jen nástroje pro ochranu osobních údajů. Hlavní břímě leží na nás!

 

Protože ochranu osobních údajů bereme vážně, v týdnu od 27. ledna do 2. února 2020 nabízíme slevu 15% na služby spojené s GDPR.

 

Den ochrany osobních údajů může být stejný jako ostatních 365 letošních dnů, kdy zvítězí naše pohodlnost, touha po zábavě a nechuť cokoliv měnit.

Ale také to může být den, kdy začneme používat zdravý selský rozum! 

Nastal čas na změnu… 

Využijte našich zkušeností v oblastech implementace systémů řízení, revizí systémů řízení, auditů a školení.

 

Neváhejte nás kdykoliv kontaktovat

Kyberkriminalita, hacking, GDPR

Podle údajů Mezinárodní telekomunikační unie využívá Internet 53,6 % světové populace, přičemž v roce 2005 to bylo pouze 16,8 %. Celých 93% světové populace žije v dosahu mobilní širokopásmové (nebo internetové) služby, ale i přesto 3,6 miliardy lidí zůstává bez přístupu k Internetu, a to zejména v méně vyspělých zemích.

Mezi více než 4 miliardami lidí, jež jsou připojeni k Internetu operuje řada aktérů s poněkud odlišnými zájmy než má obvyklý uživatel. Jsou mezi nimi kyberzločinci, teroristé, hackeři využívající své schopnosti ve svůj vlastní prospěch, ale i státy a jimi sponzorované hackerské skupiny.

Podle Zprávy o stavu kybernetické bezpečnosti ČR za rok 2018, jež je dostupná na webu Národního úřadu pro kybernetickou a informační bezpečnost (NÚKIB) , nejvíce ohrožují Českou republiku cizí mocnosti. Konkrétně aktéři napojeni na Ruskou federaci a Čínskou lidovou republiku. Jejich zájem se soustředí na strategické a politické informace, jež by mohly být využity v případě budoucích konfliktů.

K velice podobnému závěru se kloní i Bezpečnostní informační služba (BIS) ve své Výroční zprávě za rok 2018. Přidává navíc informaci o snahách proruských aktivistů šířit dezinformace, konspirační teorie a proruskou propagandu zejména prostřednictvím Internetu a sociálních sítí, čímž je podle zprávy ovlivňováno veřejné mínění, vyvoláván strach a napětí ve společnosti.

 

Pomyslnou druhou příčku obsadili kyberzločinci. Kybernetická kriminalita a kriminalita páchaná na Internetu je již několik let na vzestupu, což deklaruje statistika Policie ČR.

V roce 2018 bylo evidováno v této oblasti 6815 trestných činů, což je v porovnání s předchozím rokem o tisíc skutků více a do budoucna se dá očekávat další růst.

Ostatně stačí se podívat na titulky zpráv týmu pro koordinaci řešení bezpečnostních incidentů v počítačových sítích provozovaných v České republice (CSIRT) za poslední tři měsíce a již nebudeme na pochybách:

Další varianta vyděračských e-mailů
S podvodnými SMS se roztrhl pytel. Útočníci jdou po penězích
Útočníci se zaměřují na zranitelnosti v produktech společností Fortinet
Česká pošta varuje před novým podvodem
Kampaň vydírající uživatele údajným napadením jejich účtů 

 

Výroční zpráva BIS upozorňuje na ruské a čínské aktivity i na poli kybernetické špionáže.

Nejzávažnější byla kompromitace několika koncových počítačů neutajované sítě Ministerstva zahraničních věcí ČR (MZV) prostřednictvím Zastupitelského úřadu ČR v zahraničí. Pravděpodobně se jednalo o ruskou kyberšpionážní kampaň se snahou zajistit si do napadeného systému trvalý skrytý přístup.

Jinou kampaň na neutajovanou síť MZV vedla pravděpodobně čínská skupina prostřednictvím několika druhů škodlivého softwaru na kompromitovaných stanicích. Špioni měli přístup k množství dokumentů, přičemž stopy po těchto pečlivě ukrytých aktivitách bylo dle BIS možno dohledat několik let zpětně.

Další pravděpodobně ruská kampaň byla namířena proti příslušníkům Armády ČR (AČR). Zájem byl soustředěn na jejich soukromé e-mailové účty. Útočnici sice nezískali utajované informace, ale zato množství osobních údajů (bydliště, faktury, osobní kontakty, rodinné zázemí). V jednom případě byla e-mailová schránka příslušníka AČR automatizovaně vybírána prostřednictvím propojení s další e-mailovou schránkou ovládanou útočníky.

 

Mylný by byl dojem, že nás si kyberzločinci nevšimnou, protože jsme „malé ryby“. Právě naopak. Jejich útoky jsou čím dál sofistikovanější a s použitím automatizovaných systémů/robotů jsou schopni zaměřit se ve velkém měřítku na cokoliv, co je k Internetu připojeno, české společnosti nevyjímaje.

Co se uživatelů Internetu týče, měli by si osvojit základní bezpečnostní pravidla – třeba ty naše.

Q – COM tedy přistoupil k aktualizaci svých síťových produktů a protože je rozdíl informace mít a nemít, nachystali jsme útočníkům na naši síť pár pastí – Honeypotů.

Na našem webu jsme zveřejnili článek o tom, co to Honeypot je a jak jsme se poprali s implementací.

Obecně se jedná o fiktivní informační systém, jehož jediným účelem je přitáhnout potenciální útočníky a zaznamenat jejich aktivity, když se s ním budou chtít spojit. Analýzou zaznamenaných aktivit získáváme informace důležité pro našeho správce sítě, který následně realizuje potřebná opatření. Implementace a nastavení honeypotu je poměrně jednoduchou záležitostí, funguje jako preventivní opatření a vůbec to není drahá záležitost.

 

Statistika jednoho z našich Honeypotů přístupných z Internetu na „zajímavých“ rozhraních bohužel koreluje se všemi výše uvedenými informacemi.


V průběhu jednoho týdne byl náš Honeypot vystaven více než 81 tisícům pokusů o přihlášení, přičemž tři čtvrtiny z nich byly vedeny z Ruska – převážná většina z datového centra v Peťersburgu. Následovaly lokality Seychely, Belize, Nizozemí a Čína, které se na celkových pokusech podílely téměř 23%. Nejčastějším používaným klientem je některá z verzí SSH klientů se zveřejněnými zdrojovými kódy. Zajímavostí pak je, že desítky připojení byly provedeny z aplikací běžících na malých zařízeních Raspbian, které jsou útočníky využívány pro svou jednoduchost a dostupnost právě pro vyhledávání zranitelných systémů. Většina přihlášení (více než 80%) byla prováděna z již kompromitovaných IP adres (dle serveru abuseipd.com mnohonásobně nahlášených za podezřelé).Úspěšně se přihlásil každý uživatel, který použil přihlašovací jméno root a libovolné neprázdné heslo, což se povedlo v 95,87% případů. Další zkoušená přihlašovací jména byla admin, support, user. Z celkového počtu pokusů však představují velmi malou část.Nejvíce zkoušenou kombinací uživatelského jména a hesla bylo root – admin, a to v 77 739 případech (95,52%). Následovala dvojice admin – admin se 128 pokusy. Zaznamenali jsme další zkoušená hesla jako support, user, 1234, admin123, password a 12345.Většina úspěšných přihlášení 99,9% nepokračuje v další práci na systému. Jedná se tak pouze o roboty vyhledávající otevřené nebo napadnutelné systémy. Z vysoké míry podobnosti prováděných příkazů je vidět, že i základní „hacking“ provádějí roboti. Rekordmanem je systém, který spustil po přihlášení více než 180 různých příkazů a snažil se napadený systém ovládnout či zneužít pro svou činnost. Některé robotické systémy se pokoušely stáhnout soubory s předpřipravenými dávkovými úlohami pro úspěšné ovládnutí a získání stroje. Bylo zaznamenáno 47 pokusů o stažení ze Spojených států a 21 z Belize. V obou případech se jednalo o skripty z datových center, kde robotické systémy evidentně získaly přístup k některému z hostovaných systémů. Trochu překvapením byla skutečnost, že došlo k 135 541 pokusům o přesměrování požadavků. 44,64% případů se týkalo přesměrování na doménu ya.ru s cílem zahltit tuto službu požadavky pomocí velkého množství rozptýlených počítačů (útok DDoS). Jak jste na tom vy? Víte o svých zranitelnostech?

 

Útočníci přichází se stále se zlepšujícími a novými metodami útoků a současně se jim neustále rozšiřuje možné pole působnosti, do kterého přibyla například tzv. zařízení internetu věcí (IoT), která se pomalu stávají běžnou součástí našeho života a pronikají i do našich domovů.

Pozornost by měla být věnována nasazování chytrých elektroměrů a dalších chytrých měřičů, jež jsou prostřednictvím Internetu spravovány na dálku (měřiče vody, plynu, tankovací stojany), jež sice představují způsob optimalizace toku, ale zároveň také velmi slabé a lákavé místo pro hackerský útok. Zajímavý článek na toto téma byl nedávno zveřejněn na idnes.cz

Ostatně žádné zařízení připojené na Internet není v dnešní době v bezpečí. A co teprve když obsahuje citlivé údaje třeba o zdravotním stavu pacientů…

 

Opakujícím a neklesajícím fenoménem jsou krádeže identit či odcizení citlivých osobních údajů prostřednictvím informačních technologií. A když už jsme se dotkli tématu osobních údajů, nemůžeme opomenout informace z národních úřadů pro ochranu osobních údajů:

British Airways musí zaplatit pokutu ve výši více než 5 miliard korun za špatně zabezpečený web, kdy útočníci získali čísla platebních karet a jejich bezpečnostního kódu, údaje o platbách, adresách a letenkách zhruba půl miliónu zákazníků.
Známý hotelový gigant Marriot pak za podobný únik zaplatí 2,7 miliardy korun.
Francouzský úřad vyměřil společnosti Google pokutu již v roce 2018, a to ve výši 1,2 miliardy korun.

 

Chtěli jsme si udělat obrázek, jak si na tom ve vyměřování pokut stojí Česká republika v porovnání s ostatními zeměmi podléhajícími GDPR.

Našli jsme zdroj informací. Byť zde nejsou zastoupeny všechny země, ani zahrnuty všechny udělené pokuty, pro základní představu jsou údaje dostačující.

Co se množství udělených pokut týče, jsme jednoznačně na špici. Pokud však srovnáme částky, které byly za porušení GDPR vybrány, držíme se stále při zemi.

Český Úřad pro ochranu osobních údajů obdržel 638 ohlášení porušení zabezpečení osobních údajů dle GDPR za období od 25. 5. 2018 do 13. 11. 2019. Jen od 28. 1. 2019 jich přišlo 321.

Uloženo bylo 17 pravomocných rozhodnutí o pokutě v celkové výši 629 tisíc korun a 6 napomenutí.

Souhrnná výše udělených pokut Úřadem ode dne 25. 5. 2018 za porušení GDPR, ale i zákona č. 101/2000 Sb. a zákona č. 480/2004 Sb. činí necelých 7,5 miliónů korun (částka zahrnuje i pořádkové pokuty).

Zdroj: www.uoou.cz/

 

V kontextu výše uvedeného je zřejmé, že dnešní doba prostě potřebuje všechny ty nepopulární regulace typu GDPR, e-Privacy, IoT a další.

Byť by se mohlo zdát, že tento newsletter nepřinesl mnoho pozitivních informací, na všem se dá najít něco dobrého…
Třeba skutečnost, že patříme mezi tu polovinu světové populace, která může a umí s Internetem pracovat. Že jsou mezi námi lidé, kteří se snaží prosadit pravidla umožňující naše další fungování v džungli jedniček a nul. A v neposlední řadě, že existují nástroje, které nás v kybernetickém světě chrání před všemožnými hrozbami.

Nebo ne? Jak jste na tom vy?

Školíte své lidi?
Monitorujete zranitelnosti svých produktů?
Už máte vlastní Honeypot?
Provádíte penetrační testy?

Nastal správný čas na audit, penetrační test, či zkoušku sociálního inženýrství… My víme, jak na to.

 

Nastal čas na změnu… 

Využijte našich zkušeností v oblastech implementace systémů řízení, revizí systémů řízení, auditů a školení.

 

Neváhejte nás kdykoliv kontaktovat

Novela normy pro řízení IT služeb

V září loňského roku vyšla nová verze mezinárodní normy ISO/IEC 20000-1:2018, přičemž jejího oficiálního překladu do češtiny jsme se dočkali letos v říjnu. Byla zařazena do soustavy českých technických norem jako ČSN ISO/IEC 20000-1:2019 a nahrazuje předchozí verzi normy z roku 2012.

O novele se hovoří jako o nové generaci standardu, neboť oproti předchozím verzím, které řešily oblast IT, se tato více zaměřuje na bezpečnost, rizika a řízení změn. Díky tomu je norma uplatnitelná nejen za účelem zlepšení kvality poskytovaných IT služeb v celém jejich životním cyklu, ale i na další oblasti s cílem zefektivnit podnikové procesy a následné manažerské rozhodování. 

 

Struktura normy byla kompletně přepracována ve jménu tzv. sdílené struktury (Annex SL) pro sjednocení jednotlivých systémů (například systém řízení kvality, systém řízení bezpečnosti informací a další).

Nová verze se více zaměřuje na řízení a zajištění kvality služeb, přičemž ctí požadavky IT dle ITIL. Norma již tolik nelpí na návrhu a implementaci postupů a procesů.

Odpovědnost se přesouvá na top management, přičemž je zdůrazněno přesnější stanovení rolí a také detailnější popis požadavků na vstupy a výstupy.

Norma definuje nový systém řízení služeb, který podporuje správu životního cyklu služeb, tedy procesy, jejichž účelem je plánování, návrh, přechod, dodávka a zlepšování služeb. Systém byl ze čtrnácti procesů rozšířen na dvacet, avšak požadavky na procesní schéma a dokumentaci zeštíhlely. Díky tomu se budou procesy v organizaci definovat snadněji.

Toto však nejsou jediné změny. Rovněž došlo k úpravě terminologie, nové jsou i požadavky na řízení rizik a příležitostí, byla odstraněna struktura PDCA (Plan – Do – Check – Act) a v neposlední řadě byl požadavek na politiku neustálého zlepšování nahrazen požadavkem stanovit kritéria pro hodnocení příležitostí pro zlepšování.

Cílem změn je lépe pochopit potřeby zákazníků a nabídnout lepší služby umožňující neustálé zlepšování. 

 

Přechodné období pro implementaci této revize končí 29. 9. 2021. Počáteční a re-certifikační audity mohou certifikační orgány provádět dle staré normy do 31. 3. 2020.

 

Pokud přemýšlíte jak zlepšit kvalitu, zvýšit efektivitu nebo snížit náklady u poskytovaných IT služeb, je certifikace dle normy ČSN ISO/IEC 20000-1:2019 skvělou volbou neboť je méně normativní a více zaměřena na praktický užitek v podobě poskytování efektivních a kvalitních IT služeb, než na dokumentované procesy. 

S přípravou na certifikaci, ale i re-certifikaci vám díky našim mnohaletým zkušenostem se systémy řízení umíme pomoci.

 

Nastal čas na změnu… 

Využijte našich zkušeností v oblastech implementace systémů řízení, revizí systémů řízení, auditů a školení.

 

Neváhejte nás kdykoliv kontaktovat

Zaměstnavatele z GDPR hlava bolet nemusí

Dle vyjádření Evropské komise podniky údajně rozvíjejí kulturu dodržování předpisů v oblasti ochrany osobních údajů a občané jsou si čím dál více vědomi svých práv. Většina členských států zavedla podpůrný právní rámec pro ochranu osobních údajů. V České republice jím je zákon č. 110/2019 Sb., o zpracování osobních údajů. Přehled zásadních změn a výjimek jsme přehledně shrnuli na našich webových stránkách . Mohlo by se zdát, že vše funguje…

Nicméně protože opakování je matka moudrosti a názory ÚOOÚ se vyvíjí (ostatně i naše), podíváme se na GDPR z pohledu zaměstnavatele, protože personální agenda představuje v mnoha organizacích nejrozsáhlejší oblast zpracování osobních údajů.

Nač si tedy má dát zaměstnavatel pozor, aby ho z GDPR nebolela hlava?

 

Pro účel zpracování osobních údajů v rámci personální agendy není žádoucí vyžadovat po zaměstnanci podepsání souhlasu.

Projděte si vzory pracovních smluv, dotazníky/formuláře, zda v nich není souhlas se zpracováním osobních údajů zapracován nebo zda nějaký souhlas se zpracováním osobních údajů po zaměstnancích nepožadujete.

Provádíte-li zpracování osobních údajů, protože vám to ukládá zákon, smluvní vztah nebo se jedná o váš oprávněný zájem (pozor aby jste byli v souladu s oprávněným zájmem zaměstnance), souhlas nepotřebujete. Naproti tomu zasíláte-li zaměstnancům elektronickou výplatní pásku na soukromý e-mail, evidujete soukromá telefonní čísla pracovníků pro urychlené obsazení směny nebo používáte fotografie zaměstnanců pro marketingové účely či jsou obsaženy ve firemním adresáři nebo vnitropodnikové aplikaci, potom se bez souhlasu neobejdete.

Jaké náležitosti by měl souhlas obsahovat, se dovíte zde . Nebo můžete mrknout na náš souhlas se zpracováním osobních údajů za účelem zasílání obchodních sdělení .

 

Jedno z nejčastěji vytýkaných porušení GDPR je nedostatečné informování zaměstnanců o tom, jak jsou jejich osobní údaje zpracovávány.

Zaměstnancům musí být prokazatelným způsobem předány informace o správci jejich osobních údajů, účelu zpracování, právním základu pro zpracování, komu jsou osobní údaje předávány a v jakém rozsahu, o době, po kterou budou osobní údaje zpracovávány. V neposlední řadě je potřeba zmínit i práva, která subjekt údajů/zaměstnanec v oblasti ochrany osobních údajů má. O těch jsme psali zde .

Mimochodem dle GDPR musíte vhodným způsobem informovat všechny subjekty údajů, jejichž osobní údaje zpracováváte tedy rovněž: zákazníky, obchodní partnery, návštěvníky vašich webových stránek, účastníky marketingových kampaní atd. Rozsah informací je stanoven článkem 13 GDPR .

 

Monitorujete-li služební vozidla pomocí GPS, a to v rozsahu potřebném pro ochranu a správu majetku, pak je to oprávněný zájem zaměstnavatele.

Pokud umožňujete zaměstnanci využívat vozidlo i pro soukromé účely, je potřeba vzájemná práva a povinnosti upravit dohodou o použití vozidla. Je nezbytné zaměstnance na použití GPS sledování upozornit, a to prokazatelným způsobem. Zaměstnavatel je i nadále oprávněn zpracovávat osobní údaje pro stanovený účel jímž je ochrana a správa majetku, evidence jízd, prokázání bezpečnostních přestávek atd., ale nesmí docházet k intenzivní či stálé kontrole zaměstnanců, která by narušovala jejich soukromí.

Jako u všech zpracování i zde platí, že data lze zpracovávat pouze po dobu odpovídající účelu, a to i přesto, že spousta provozovatelů systémů tuto povinnost nereflektuje. Údaje o soukromých jízdách je nezbytné považovat za důvěrné a ideálně nepřístupné. Nezapomínejme, že odpovědnost za zpracování má vždy správce osobních údajů.

 

Dle zákoníku práce zaměstnanci nesmí bez souhlasu zaměstnavatele užívat pro svou osobní potřebu výrobní a pracovní prostředky zaměstnavatele včetně výpočetní techniky ani jeho telekomunikační zařízení. Dodržování tohoto zákazu je zaměstnavatel oprávněn přiměřeným způsobem kontrolovat – například sledovat množství a velikost odeslané a přijaté pošty zaměstnancem nebo domény navštívených internetových stránek. Sledování nesmí být systematické a založené na ruční kontrole údajů a dat.

V případě zavedení sledovacích nástrojů je však zaměstnavatel povinen o tom zaměstnance informovat.

 

Zaměstnavatel je oprávněn vyžadovat od uchazeče o zaměstnání informace o trestněprávní bezúhonnosti, jestliže to ukládá právní předpis pro výkon určité pracovní pozice (policisté, hasiči, zdravotní sestry, učitelé, advokáti atd.) či je pro to dán dle zákoníku práce věcný důvod spočívající v povaze práce, jež má být vykonávána a je-li tento požadavek přiměřený.

Plošné vyžadování doložení bezúhonnosti u všech typů prací není v souladu s GDPR ani s pracovněprávními předpisy.

Co se uchovávání Rejstříku trestů týče, dle názoru ÚOOÚ je možné po účelem zpracování odůvodněnou dobu výpis či na základě výpisu učiněné poznámky uchovávat. Avšak my dodáváme, že již jeden den po vystavení výpisu je tento dokument zastaralý a údaje v něm uvedené nemusí odpovídat aktuálnímu stavu. Tudíž je na zvážení, zda existuje relevantní důvod pro jeho uchovávání.

 

V České republice jsou stále více využívány technologie založené na identifikaci osoby prostřednictvím biometrického údaje (obvykle otisku prstu). GDPR však biometrické údaje považuje za zvláštní kategorii osobních údajů, čili citlivý údaj, kde jsou nastavena přísnější pravidla pro zpracování.

Je-li účelem zpracování kontrola vstupu, přítomnosti a přístupů zaměstnanců s ohledem na zabezpečení provozu proti přístupu neoprávněné osoby, jedná se o oprávněný zájem zaměstnavatele a není potřeba vyžadovat po zaměstnancích souhlas.

To ovšem není případ evidence docházky s využitím této technologie. Tam už bude potřeba souhlas získat, a protože  ten musí být dán dobrovolně, měl by zaměstnavatel zajistit i jiný způsob evidence docházky, kde k použití biometrického údaje nedochází.

 

Poskytování benefitů zaměstnavatelem často souvisí s předáním osobních údajů zaměstnance třetí straně, tedy jinému příjemci, jež benefit zajišťuje. Ale ani toho se není potřeba bát, neboť zpracování osobních údajů pro tento účel vychází z dohody o poskytnutí benefitu.

Právním účelem je tedy plnění smlouvy, a to i v případě, že se k poskytnutí benefitu zaměstnavatel zavázal v kolektivní smlouvě nebo právo na benefit stanovil vnitřním předpisem.

Opět ale nesmíme zapomínat na výše uvedený čl. 13 GDPR a zaměstnance informovat o předání osobních údajů poskytovateli benefitu a též i o rozsahu předaných údajů.

 

Je potřeba nezapomínat na práva subjektů údajů. Jedním z nich je i přístup k informacím, a to i v případě bývalých zaměstnanců. Vzhledem k tomu, že i po skončení pracovního poměru jsou osobní údaje dále zpracovávány, může se stát, že subjekt údajů svého práva využije, a to třeba i včetně práva na poskytnutí kopie zpracovávaných osobních údajů.

Doporučujeme po skončení pracovního poměru zaměstnance uchovávat v organizaci/informačních systémech jeho osobní údaje pouze v nezbytném rozsahu.

A když jsme u přístupu k osobním údajům, je potřeba zajistit i jejich zabezpečení. Neponechávat fyzickou dokumentaci volně přístupnou, stejně tak i elektronickou databázi, a mít přehled o oprávněných osobách, jež mohou osobní údaje zpracovávat. Zpracováním je myšleno vše, co lze s osobními údaji dělat, tedy i nahlížet, kopírovat, likvidovat, předávat atd. U předávání osobních údajů dejme pozor, v jakém rozsahu a komu osobní údaje předáváme. Například údaj o členství v odborové organizaci patří mezi zvláštní kategorie osobních údajů/citlivé, a jeho zpracování podléhá přísnějším pravidlům.

 

Poslední myšlenka, kterou je vhodné zmínit, je povinnost realizace pravidelných školení ochrany osobních údajů pro všechny zaměstnance, kteří s osobními údaji přichází do styku.

O tom, že byli pracovníci proškoleni, je potřeba mít vyhotoven záznam.


Společnost Q – COM se dlouhodobě zabývá systémy řízení.
Ochrana osobních údajů do celého schématu zapadá, jelikož se jedná pouze o jiný pohled na problematiku bezpečnosti. Našim klientům zdůrazňujeme, že GDPR není primárně otázkou investic do technologií či záležitost IT oddělení. Klíčové je především vhodné nastavení procesů, nezbytné používání zdravého selského rozumu a nejdůležitější  pravidelné vzdělávání pracovníků.

 

Rozsah naší podpory závisí na konkrétních požadavcích zákazníka. Jsme schopni realizovat dílčí projekty v minimalistickém rozsahu i komplexní zavedení nejmodernějších postupů vedoucích k zajištění velmi vysoké úrovně ochrany osobních údajů, ale i informací a dalších aktiv zákazníka.

Cítíte, že GDPR je Vaše slabina a nevíte, jak na to? 

Využijte našich zkušeností v oblastech implementace systémů řízení, revizí systémů řízení, auditů a školení.

 

Neváhejte nás kdykoliv kontaktovat

Novinky z Úřadu pro ochranu osobních údajů

 

V případě porušení zabezpečení osobních údajů je správce povinen bez zbytečného odkladu tuto skutečnost ohlásit Úřadu, a to do 72 hodin od okamžiku zjištění. Pokud není lhůta dodržena, musí být současně s ohlášením uveden důvod zpoždění. Ohlášení je možno zaslat do datové schránky qkbaa2n nebo na adresu elektronické pošty posta@uoou.cz či fyzicky poštou na adresu Úřad pro ochranu osobních údajů, Pplk. Sochora 27, 170 00  Praha 7.

Zpracovatel je povinen zaslat ohlášení správci na dohodnuté kontaktní údaje správce.

Úřad pro ochranu osobních údajů zveřejnil formulář, který je možno pro ohlášení porušení zabezpečení osobních údajů použít. Ke stažení zde .

 

Obecné nařízení o ochraně osobních údajů upravuje oblast vydávání osvědčení o ochraně osobních údajů. V rámci českého překladu byla použita poněkud odlišná terminologie. Osvědčením se myslí certifikát o ochraně osobních údajů, tedy dokument vydaný certifikačním orgánem, kterým subjekt (správce, zpracovatel, výrobce atd.) prokazuje zajištění souladu s požadavky obecného nařízení.

Nebude povinností žádat o vydání certifikátu, ale jeho existence může zjednodušit předávání osobních údajů do zahraničí, kdy se dovozce údajů (zpracovávající osobní údaje v zemi s nedostatečnou úrovní ochrany osobních údajů) prokáže platným osvědčením. Rovněž je možno očekávat usnadnění  nákupu produktů nebo služeb, pokud se prodejce/výrobce/poskytovatel prokáže osvědčením, které dokládá, že produkt nebo služba je v souladu s Obecným nařízením.

Subjekty pro vydávání osvědčení bude akreditovat Český institut pro akreditaci, o.p.s., vnitrostátní akreditační orgán České republiky, postupem upraveným v zákoně č. 22/1997 Sb., o technických požadavcích na výrobky, ve znění pozdějších předpisů. Tato povinnost mu byla uložena §15 zákona č.110/2019 Sb., o zpracování osobních údajů.

Úřad pro ochranu osobních údajů připravil požadavky pro vydávání osvědčení (zahrnují požadavky na akreditaci orgánů vydávajících osvědčení a kritéria pro vydávání osvědčení), nyní se čeká na posouzení ze strany Evropského sboru pro ochranu osobních údajů. 

V současné době tedy nelze žádat o akreditaci, tudíž ani o vydání osvědčení (certifikátu) k produktu, službě nebo zpracování. 

 

Cítíte, že GDPR je Vaše slabina a nevíte, jak na to? 

Využijte našich zkušeností v oblastech implementace systémů řízení, revizí systémů řízení, auditů a školení.

 

Neváhejte nás kdykoliv kontaktovat

Boj s terorismem – chraňme měkké cíle

Série teroristických útoků ve Francii v listopadu 2015 (střelba v koncertní síni Bataclan a exploze poblíž fotbalového stadionu během zápasu) způsobila, že svět už nebyl nikdy stejný. Minimálně co se pocitu bezpečí týče.
Byť pro teroristy nebyla Česká republika zajímavou destinací, nebylo možno spoléhat se, že tomu tak bude napořád. Proto byl v roce 2016 schválen Systém vyhlašování ohrožení terorismem.

Věděli jste, že aktuální stupeň ohrožení terorismem je u nás na úrovni 1?
Tedy obecné ohrožení vyplývající ze situace v zahraničí, kdy není známa konkrétní hrozba teroristických aktivit na území ČR, ale je potřeba dbát obecné všímavosti. Jedná se o dlouhodobě standardní stav nejnižšího, nikoliv však nulového, ohrožení terorismem.
Zdroj: Stupně ohrožení terorismem. Ministerstvo vnitra České republiky. 2016.  

 

Vládní budovy, velvyslanectví, vojenské a strategicky významné objekty jsou proti útokům dobře chráněny a střeženy – proto dostaly název tvrdé cíle. Naproti tomu měkké cíle potenciálně představují vhodný cíl ozbrojených útočníků či teroristů, jelikož se jedná o místa (objekty, prostory nebo akce) s vysokou koncentrací osob a nízkou úrovní zabezpečení proti násilným útokům.

 

Měkké cíle čelí široké škále hrozeb různého typu ze strany jednotlivců i skupin s různou motivací. Současným trendem je cílit na veřejná místa se slabým zabezpečením. Vazba na náboženství či národnost hraje stále menší roli. Jednoznačně nejčastějším typem teroristického útoku je bombový útok.

Zdroj:Základy ochrany měkkých cílů – Metodika. Ministerstvo vnitra České republiky. Červen 2016. 

 

České republice se teroristické útoky zatím vyhýbají. To ale neznamená, že si můžeme dovolit nebýt ve střehu, je potřeba být i na takovou eventualitu připraven! Na stát se nelze spoléhat, neboť ochrana měkkých cílů je poměrně mladá disciplína. V tomto ohledu lze řadu kroků přijmout na straně samotných potencionálních cílů útoků, a to nejen v oblasti prevence, kde je třeba zaměřit se na analýzu hrozeb měkkého cíle, ale také na plánování reakce na útok, na detekci podezřelého chování a podobně.

Vhodné nastavení systému ochrany a dobré vyškolení pracovníků měkkého cíle pak vede ke správným reakcím při útoku samotném a eliminaci ztrát na životech.

Společnost Q – COM se dlouhodobě zabývá systémy řízení. Ochrana měkkých cílů do celého schématu zapadá, jelikož se jedná pouze o jiný pohled na problematiku bezpečnosti. Našim klientům zdůrazňujeme, že zvýšení odolnosti měkkého cíle není primárně otázkou investic do technologií či vybavení. Klíčové je především nastavení procesů a koordinace činností personálu a jeho připravenost na násilný útok.

V tomto pojetí je potřeba dbát na přípravu, pravidelná cvičení a vhodné rozdělení úkolů. Nezbytný je rovněž pravidelný audit stavu bezpečnosti a analýzy hrozeb a rizik.

Rozsah naší podpory závisí na konkrétních požadavcích zákazníka. Jsme schopni realizovat dílčí projekty v minimalistickém rozsahu i komplexní zavedení nejmodernějších postupů vedoucích k zajištění velmi vysoké úrovně bezpečnosti, která bude cílit nejen na ochranu lidských životů, ale i majetku.

Chraňte životy svých zaměstnanců i klientů…

Využijte našich zkušeností v oblastech implementace systémů řízení, revizí systémů řízení, auditů a školení.

 

Neváhejte nás kdykoliv kontaktovat

Nezodpovědných zaměstnanců přibývá

Rozmohl se nám tady takový nešvar…

Během analýz stavu bezpečnosti u našich klientů stále narážíme na jednu a tutéž problematiku – nezodpovědné chování pracovníků.

Klidně nechají otevřené okno po odchodu z práce, hlavně že ráno bude na pracovišti čerstvý vzduch. Nezamknou kancelář, „přece se za pár minut vrátí“, ale už jim nedochází, jaké důležité  dokumenty, materiály nebo i zařízení by se během těch pár minut mohly z kanceláře ztratit. Bez obav brouzdají po internetu, rozkliknou kdejaký odkaz, stáhnou soubor či otevřou přílohu e-mailu, aniž by se alespoň na chvilku zamysleli nad tím, jestli se náhodou nemůže jednat o škodlivý obsah. Nepřemýšlí nad tím, co by se mohlo stát, a že svým jednáním mohou zaměstnavateli způsobit škodu.

Můžeme mít nastavena sebelepší technická či procesní bezpečnostní opatření, ale jakmile zaměstnanci nedodržují stanovená pravidla, v tu chvíli jsme vynaložili prostředky na jejich zavedení zbytečně.

 

Výchovou, vzděláním, školením… Je docela jedno, jak to nazveme, ale pracovníkům je potřeba neustále vštěpovat zásady zodpovědného chování a ve stejném duchu bychom měli vychovávat i naše děti.

Kdy začít? První vhodný termín byl včera, druhý je dnes!  Protože čím dříve začneme, tím rychleji se nám investovaná energie potažmo peníze začne vracet v podobě poklesu bezpečnostních incidentů, a to nejen v práci, ale i doma.

Pracujeme sice s dospělými lidmi, ale i jim je potřeba opakovat to stejné, co dětem:

zavírat okna,
vypínat elektrospotřebiče,
vnímat rizika a předcházet jim,
zamykat při každém odchodu.

 

Doma se takto přece chováme všichni, tak proč ne na pracovišti?

Dětem vysvětlujeme, že nemají s cizími lidmi nikam chodit, že si od nich nemají nic brát a nesdělovat jim své plné jméno, adresu, co dělá tatínek a podobně. I zaměstnancům bychom měli klást na srdce, že informace se nevynáší. A pokud ještě nejsou vázání mlčenlivostí, tak to rychle napravit.


Stejně jako si chráníme offline svět, měli bychom být obezřetní, i když jsme online. Byť se zdá, že jsou tyto dva světy oddělené, není to pravda. Prolínají se a doplňují a mnohdy již nelze určit hranice, kde jeden začíná a druhý končí.

Obdobně jako si zamykáme dům a dáváme pozor, abychom neztratili klíče, měli bychom si ohlídat i svá přístupová hesla do různých aplikací a nikomu je nesdělovat. Tak jako nám přijde normální, že máme několik různých samostatných klíčů – od domu, auta, zahrady, chalupy, garáže – měli bychom i v online světě používat více hesel, ideálně pro každý nástroj jiné. Tak jak si zabezpečíme svůj domov (kvalitní okna, bezpečnostní dveře, trezor, zabezpečovací systém atp.), měli bychom mít zabezpečeny i důležité online nástroje, které využíváme, a to nejen silným heslem, ale i vědomím toho, komu k nim povolujeme přístup či jakou míru zabezpečení nám garantuje poskytovatel nástroje.

Ráno než vyjedeme autem do práce, také nejdřív zkontrolujeme jeho stav, množství paliva, připoutáme se, protože se chceme dopravit bezpečně. Totéž platí i pro technologie, které pro přístup na internet využíváme. Je potřeba mít aktualizovaný operační systém, aktualizované aplikace, antivirový program, firewall, zabezpečený router atd.

Znalosti dětí v oblasti informačních a komunikačních technologií dnes často převyšují znalosti jejich rodičů, ale povědomí o bezpečném a potažmo zodpovědném chování na internetu je u obou skupin minimální. Vypíchli jsme několik důležitých zásad, kterými je vhodné se řídit doma stejně jako v práci nebo ve škole:

Aplikace stahujme jen z ověřených zdrojů (na mobilech a tabletech jen z oficiálních appstorů).
Z veřejných úložišť nestahujme zašifrované archivy, mohou být infikovány. Nezašifrované soubory by měly být proskenovány provozovatelem úložiště, ale i zde je na místě obezřetnost.
Soubory sdílejme na úložištích, kde můžeme regulovat přístup přes uživatelský účet – cloudová služba například. Zde jsme však lehce identifikováni, proto nepoužívejme pro sdílení toho, co bychom neměli.
Sdílení obsahu chráněného autorských zákonem, přechovávání dětské pornografie, šíření pornografie, hanobení rasy, etnické či jiné skupiny osob, podněcování k nenávisti, šíření poplašné zprávy, pomluva, vydírání jsou nejčastější trestné činy páchané na internetu. Mějme to na paměti!
Neotevírejme přílohy podezřelých e-mailů, neklikejme bez rozmyšlení na odkazy.
Pro placení online je vhodné mít samostatnou kartu, kterou používejme pouze pro tento účel. Zůstatek na účtu, ke kterému se karta váže, by měl odpovídat sumě, kterou právě hodláme zaplatit.
Na žádosti e-mailem o sdělení pinu, čísla karty, či jiných platebních údajů zásadně neodpovídejme.
Na žádosti e-mailem o sdělení našeho přístupového hesla neodpovídejme.
Pokud žádá o peníze online formou kamarád nebo i naše dítě, zavolejme mu a domluvme se. Krádeže identit se dějí a nikdy nevíme, jestli nejde o podvod.
Pozor na nabídky „ZDARMA“! Pamatujme, že nic není zadarmo. Ne vždy se musí jednat o úhradu penězi. Někdy jsou nám slibovány určité benefity výměnou za naše osobní údaje. Zvažujme, komu je poskytujeme!
Používejme jeden e-mail (oficiální) na komunikaci a druhý e-mail (servisní) na přihlašování do různých služeb. Když nic jiného, nebudeme mít oficiální schránku zaplevelenou balastem, čímž se snižuje pravděpodobnost přehlédnutí důležité zprávy.
Profil na sociální síti by měl být uzavřený, s kontrolou kdo může vidět jeho obsah. Přemýšlejme nad informacemi, které zde sdělujeme a co už bychom neměli. Totéž žádejme i po našich dětech.
Cokoliv, co zveřejníme, i kdyby jen v uzavřené skupině, už nemusí jít ze všech míst smazat a může to být kdykoliv použito proti nám.
Smazané znamená jen tolik, že to je za smazané označené. Nepomůže ani zrušení celého účtu (například na sociální síti). Digitální stopa zůstává, a pokud nebudeme obezřetní, můžeme být brzy snadno vydíratelní.
Ne všechno, co je na internetu napsáno, je nutně pravda. Jak lžou lidé v reálném světě, vyskytují se lži i zde. Včetně toho, že ne každý uživatel je tím, za koho se vydává. Pozor na falešné identity!
Jdeme-li na schůzku domluvenou přes internet a s protějškem jsme se nikdy neviděli, řekněme o tom někomu.
Dodržujme netiketu tj. zásady slušného chování v online světě. Nezveřejňujme nic, co bychom druhému do očí nikdy neřekli. Případně na takové zprávy vůbec nereagujme. Nechceme-li, aby nás někdo fotil v nepříjemné situaci, nedělejme to ani ostatním a takové fotografie nesdílejme, nelajkujme.

Neměli bychom zapomínat, že verba movent, exempla trahunt, tedy slova hýbají, příklady táhnou. Chceme-li něco naučit naše děti, sami bychom se tak měli chovat, vysvětlovat, ukazovat (nelze se spoléhat na školu). 

Chceme-li něco naučit jejich rodiče, naše zaměstnance, vzdělávejme je! Třeba prostřednictvím školení a kurzů společnosti Q – COM:

GDPR nejen pro vedoucí pracovníky,
Zodpovědné chování online i offline, v práci jako doma,
Elektronická komunikace,
Úvod do bezpečnosti informací.

Využijte našich zkušeností v oblastech implementace systémů řízení, revizí systémů řízení, auditů a školení.

 

Neváhejte nás kdykoliv kontaktovat

ÚOOÚ udělil první pokuty – nač se chystá dál

Nejaktuálnější zprávou z Úřadu pro ochranu osobních údajů je postup ve věci zpracování osobních údajů v systému Centrálního registru dlužníků České republiky (CERD).

Registr se tváří jako oficiální databáze, avšak provozovatel má sídlo v USA, nemá relevantní data ani partnery. Čerpá z veřejně dostupných databází a případně získává údaje od lidí a firem, kteří se v něm zaregistrovali. Například finanční instituce výpis pořízený z tohoto registru neuznávají, protože provozují vlastní systémy (Bankovní registr klientských informací, Nebankovní registr klientských informací či SOLUS).

Úřad v loňském roce ukončil kontrolu systému CERD a následně zahájil řízení o přijetí nápravných opatření. Správce systému však uložená opatření neprovedl. Úřad se tedy obrátil na poskytovatele služeb pro systém CERD a podařilo se mu vymoct znepřístupnění webové stránky CERD. Správce systému si však zajistil nového poskytovatele služeb, jímž se stala indická společnost, která IP adresy pro systém CERD hostuje na území Ruské federativní republiky. Protiprávní obsah tak dál figuruje na internetu a Úřad přišel o možnost ovlivnit jeho stažení nebo znepřístupnění. Nyní Úřad zahájil řízení o sankci za nepřijetí opatření k nápravě.

Zdroj: www.uoou.cz

Je tomu více než rok, od účinnosti GDPR. Zatímco rok před zavedením nasbíral Úřad pro ochranu osobních údajů 2385 podnětů, za rok od účinnosti jich přišlo 3851. Dle sdělení Úřadu se stížnosti nejčastěji týkají získávání souhlasu, nerespektování práv subjektů údajů, nevyžádaných obchodních sdělení, telemarketingu, zveřejňování osobních údajů na internetu a kamerových systémů. Úřad eviduje 38 ukončených kontrol, mezi nimiž bylo v 16 případech zjištěno porušení zákona o ochraně osobních údajů.

Zdroj: www.uoou.cz

Úřad pro ochranu osobních údajů udělil již 9 pokut. Na základě zákona o svobodném přístupu k informacím zveřejnil pravomocná rozhodnutí/příkazy, z kterých lze odvodit, že postup úřadu je vskutku mírný a pokuty nejsou likvidační, ostatně jak bylo dříve proklamováno.

Správci osobních údajů byli v některých případech nejprve vyzváni k nápravě a až po jejich nečinnosti přistoupil Úřad k udělení pokuty. Jednalo se o případy neoprávněného zveřejnění osobních údajů, nesplnění informační povinnosti a o pozdní reakci na žádost o opravu osobních údajů. Dále z jednotlivých příkazů vyplývá, že se nevyplácí záměrně zkreslovat skutečnosti, a že správce osobních údajů může dostat pokutu, i když k žádnému bezpečnostnímu incidentu nedošlo.

Chcete-li se dozvědět, zač byly pokuty uděleny, v jaké výši a jaký byl postup Úřadu, navštivte naše webové stránky, kde je všech devět případů shrnuto. Více zde.

Zdroj: www.uoou.cz

Úřad pro ochranu osobních údajů zveřejnil kontrolní plán na rok 2019. Tedy možné typy zpracování osobních údajů, na které se bude především zaměřovat:

plnění povinností při zpracování osobních údajů, včetně zvláštních kategorií údajů – otisků prstů při provozování hazardních her,
zpracování osobních údajů (odebraných vzorků) zdravotnickým zařízením,
zpracování osobních údajů při používání cookies,
zpracování osobních údajů v aplikacích resp. informačních systémech využívaných zdravotnickými zařízeními,
zabezpečení osobních údajů u zpracovatele osobních údajů,
zpracování osobních údajů společností vyvíjející a provozující mobilní aplikace,
zpracování osobních údajů v souvislosti s kontrolami jízdních dokladů, navazujícím zpracování osobních údajů a v souvislosti s nákupem časových jízdenek,
zpracování osobních údajů žadatelů o uzavření smlouvy o úvěr při jejím sjednávání online,
zpracování související s rozvojem digitalizace služeb, které občanům poskytují orgány veřejné správy,
zpracování osobních údajů prováděného buď přímo politickými subjekty, nebo za ně, a to se zaměřením jak na vlastní členskou základnu daného subjektu, tak na osoby stojící mimo ni,
zpracování genetických údajů jako zvláštních kategorií údajů u společnosti specializující se na testování DNA.

 

Zdroj: www.uoou.cz

Pro naše zákazníky je z výčtu kontrolního plánu nejvíce riziková oblast zpracovatelů, jež pro ně osobní údaje nějakým způsobem zpracovávají. Typicky se jedná o externí dodavatele služeb (např. účetní, personalistka, správce IT, SW služby atd.)

Víte jak a zda vůbec váš zpracovatel zabezpečil osobní údaje, které mu předáváte? Víte, že za zabezpečení osobních údajů odpovídáte vy jako správce? Máte ve zpracovatelské smlouvě podchycenu oblast ochrany osobních údajů v souladu s GDPR? V České republice už máme případ správce osobních údajů, který si „neohlídal“ svého zpracovatele a byl za nedostatečné zabezpečení osobních údajů pokutován.

Představují-li pro Vás zpracovatelé noční můru a nejste si jisti, zda máte osobní údaje dostatečně zabezpečeny, obraťte se na nás. Provedeme analýzu aktuálního stavu a navrhneme vhodná řešení nebo pomůžeme s jejich implementací.

Využijte našich zkušeností v oblastech implementace systémů řízení, revizí systémů řízení, auditů a školení.

Neváhejte nás kdykoliv kontaktovat