Firmy nemajú zabezpečené svoje dáta. V prvom rade to musia naučiť zamestnancov. Bezhlavé vytváranie, ukladanie či šírenie súborov môže viesť k takzvanému digitálnemu neporiadku, ktorý môže pre firmy predstavovať vážne bezpečnostné riziko. Globálna správa Kaspersky Lab zameraná na „Triedenie a usporiadanie digitálneho neporiadku vo firmách“ zistila, že existuje určitý vzájomný vzťah medzi tvorbou digitálneho neporiadku a domácimi zvykmi ľudí.
Finančné straty firiem
Digitálnym neporiadkom sa myslia súbory a dokumenty vytvorené v práci bez toho, aby o tom firmy vedeli, respektíve mohli kontrolovať, akým spôsobom sú ukladané a kto k nim má prístup. Keď sa vezme do úvahy, že 72 percent zamestnancov ukladá v práci dokumenty, ktoré obsahujú osobné alebo citlivé dáta, mohlo by to predstavovať určité bezpečnostné riziko, ak by došlo k ich zneužitiu. Dôsledkom by totiž mohli byť finančné straty alebo poškodenie reputácie spoločnosti, jej zamestnancov a potenciálne aj jej zákazníkov.
Ako ukázal prieskum, v každodennom živote zamestnanca sú zvyky, ktoré môžu byť v priamej korelácii s tvorbou digitálneho neporiadku. U väčšiny respondentov boli pri organizácii chladničky zaznamenané podobné zvyky ako pri organizácii digitálneho života. Pritom až 88 percent z tých, ktorí si pred dovolenkou urobia poriadok v chladničke, robia to isté aj s pracovnými súbormi. Podľa spoločnosti sú veľmi dôležité školenia zamestnancov a ich zameranie na praktické zručnosti, ktoré budú aplikované pri každodenných pracovných aktivitách. Nevyhnutné je im tiež pravidelne pripomínať, ako veľmi je dôležité dodržiavať kyberbezpečnostné pravidlá, a tým zamedziť tomu, aby na ne zamestnanci zabudli, napríklad vyvesením plagátov s bezpečnostnými tipmi a odporúčaniami v kanceláriách.
Chybuje aj verejný sektor
„Na strane verejnosti vnímame významnú prekážku aj v investičnom deficite do technického vybavenia. To prirodzene ovplyvňuje aj ochranu spracúvania osobných údajov,“ konštatuje Pavel Nechala, advokát spolupracujúci s TÜV SÜD Slovakia. Napriek tomu si ani v roku 2019 nevyčlenili mnohé firmy, ale tiež štát financie na to, aby dokázali dodržať náročnejšie požiadavky na ochranu osobných údajov. „Zadarmo sa to žiaľ spraviť nedá. Niečo je možné zmeniť organizačne, zvýšiť povedomie ľudí, ale veľa vecí treba zaplatiť,“ vysvetľuje Igor Straka.
Príkladov zavedenia účinného riadenia ochrany osobných údajov v súkromnom aj verejnom sektore je však podľa Pavla Nechalu, advokáta spolupracujúceho s TÜV SÜD Slovakia veľmi málo. „Tradične sú lepšie pripravené odvetvia, ktoré majú skúsenosti so zložitou zákonnou reguláciou. Môžeme tam zaradiť bankový sektor, poisťovníctvo, utility. Naopak, zavedenie zákona o ochrane osobných údajov je výzvou pre výrobné podniky, ale aj marketingové agentúry," hovorí Pavel Nechala.
Rozpočty s GDPR nerátajú
Audítor Igor Straka vcelku pozitívne hodnotí dopad zákona na počet nevyžiadanej pošty, SMS a predajných telefonátov, ktoré klesli približne na polovicu. Na druhej strane vníma istý stupeň rezignácie v procese implementácie GDPR zo strany komerčných spoločností ako aj štátu. „Ľudia sa akosi prestali báť dopadov z neplnenia zákona. Stav zabezpečenia opäť ostal v rovine predpísanej dokumentácie, ale to nestačí. Databázy zostávajú nešifrované, údaje nezabezpečené, dohľadateľnosť nulová a odhaľovanie incidentov je veľká neznáma," dodáva Igor Straka. Toto sa však rovnako dotýka aj súkromných firiem. „Zásadný problém vidím v tom, že analytická časť GDPR sa dá urobiť zaškolenými zamestnancami, ale na špecifické činnosti z odboru informačnej bezpečnosti už treba profesionálov,“ zdôrazňuje Igor Straka. Firmy tak nevedia analyzovať riziká ani posúdiť efektívnosť opatrení.
„Vo verejnom sektore vnímame významnú prekážku aj v investičnom deficite do technického vybavenia. To prirodzene ovplyvňuje aj ochranu spracúvania osobných údajov,“ konštatuje Pavel Nechala. Napriek tomu si ani v roku 2019 nevyčlenili mnohé firmy, ale tiež štát financie na to, aby dokázali dodržať náročnejšie požiadavky na ochranu osobných údajov. „Zadarmo sa to žiaľ spraviť nedá. Niečo je možné zmeniť organizačne, zvýšiť povedomie ľudí, ale veľa vecí treba zaplatiť," vysvetľuje Igor Straka.
Organizácie preto často siahajú po "lacných" riešeniach, pričom si nekladú ani základné otázky - ako sa skutočne zlepší moja ochrana osobných údajov, je riešenie vhodné pre moju činnosť a akú zodpovednosť má dodávateľ riešenia za ponúkaný produkt?
Pokuty môžu byť vysoké
Audítor vidí problém aj v tom, že doteraz padlo len veľmi málo pokút. Spoločnosť Google síce dostala až 50 miliónovú pokutu a portugalská nemocnica 400- tisíc eur, v celej Európskej únii však bolo udelených len minimum pokút. „Sankcie, ktoré môžeme sledovať v okolitých štátoch, sú v prvom rade zjavne za nedodržania informačných povinností. V Poľsku bola za takéto porušenie uložená pokuta vo výške 220 000 eur," konštatuje Pavel Nechala.
Slovenský Úrad na ochranu osobných údajov zatiaľ uložil len tri tisíceurové pokuty. Rozhodnutie o nich nie je zatiaľ právoplatné. V jednom prípade išlo o zverejnenie osobných údajov v registri zmlúv na webovej stránke mesta. O ďalšie dve tisíceurové pokuty za zaslúžili konkrétne osoby, ktoré sa sťažovali na porušenie svojich práv.
„Faktom však je, že slovenský Úrad na ochranu osobných patrí k najmenším, čo sa týka počtu zamestnancov ako aj rozpočtu,“ vysvetľuje Pavel Nechala. Očakáva ale nástup uplatňovania práv dotknutých osôb. „Niektoré práva dotknutých osôb nebudú firmy a inštitúcie jednoducho schopné zabezpečiť bez dôkladnej implementácie a riadenia ochrany osobných údajov,“ mieni Pavel Nechala.
Čo treba urobiť na zabezpečenie údajov? Stačí použiť overený štandard ISO 27001. Tento štandard na riadenie informačnej bezpečnosti odporúčajú niektoré krajiny EÚ, napríklad Česko ako návod pre technické opatrenia ochrany osobných údajov. Pre spoločnosti, ktoré sa chcú uistiť o dosiahnutí súladu s GDPR, odporúča Igor Straka audit.