Proti krádeži dat by si firmy měly sestavit preventivní plán

9. 11. 2007
Doba čtení: 5 minut

Sdílet

Autor: 258398
Firmy často řeší problém, jak zabezpečit své IT prostředí proti negativním vlivům zvenčí. Často si pořizují speciální ochranná vybavení, která by měla zabránit poškození firemních dat či jejich zneužití. Málokdy se ale zamýšlejí nad tím, že velkou hrozbou pro firemní data jsou i samotní zaměstnanci.

Způsobů, kterými mohou být data zaměstnanci zcizena, je více. Jedním z častých případů je odebrání dat zaměstnancem, se kterým byl rozvázán pracovní poměr. Není neobvyklé, když někteří propuštění zaměstnanci neodcházejí pouze s osobními věcmi, ale i s firemními údaji, které jim mohou posloužit pro další činnost a jednání. Pro zaměstnavatele představuje největší riziko vynesení vědomostí a know-how o firemních postupech, které si zaměstnanec odnese ve své paměti. Na rozdíl od druhé metody – transferu dat pomocí vytištěných materiálů nebo zcela zaplněného usb flash disku – je v prvním případě takřka bezmocný.

Jakým způsobem lze tedy zamezit, aby si zaměstnanci odnášeli interní data a důležité dokumenty z prostor firmy a umožnili tak jejich případné zneužití? Jak uvádí Marián Svetlík, vedoucí Znaleckého ústavu RAC, zaměstnavatel by si měl umět nejprve odpovědět na následující, těsně související otázky:

  • Víme, jaká data ve firmě vlastně máme?
  • Víme, kde jsou tato data fyzicky umístěna?
  • Víme, která z těchto dat jsou pro nás důležitá a jakou mají pro firmu hodnotu?
  • Víme, kdo má k těmto datům přístup?
  • Víme, jaká je morální odpovědnost lidí, kteří mají k těmto (citlivým) datům přístup?

Citlivost data (nebo také hodnotu dat) lze zjistit v rámci analýzy rizik, která jsou součástí hodnocení dat a informací. Jsou identifikována a pojmenována všechna data organizace a v souladu s použitou metodikou stanovena jejich hodnota, uvádí pro business server Podnikatel.cz Jan Mikulecký, Senior Consultant RAC s.r.o a dodává, že prakticky se jedná o spolupráci s vybranými zaměstnanci, kdy se hledají a zkoumají negativní dopady, které znamenají finanční ztrátu, poškození dobrého jména, narušení provozu a řízení organizace atd.

Zákonná ochrana dat má své meze

Prvotně by se měl zaměstnavatel zaměřit na rozbor a zabezpečení těch dat, jejichž nutnost ochrany stanovuje právní řád. Konkrétně se jedná o zákon č.101/2000 Sb., o ochraně osobních údajů. Jak uvádí Lucie Nešporová z advokátní kanceláře Pajerová & Šnajdrová, podle tohoto zákona je správce údajů a zpracovatel (de facto každý subjekt, který s osobními údaji nakládá) povinen přijmout taková opatření, aby nemohlo dojít k neoprávněnému nebo nahodilému přístupu k osobním údajům, k jejich změně, zničení či ztrátě, neoprávněným přenosům a k jejich jinému neoprávněnému zpracování a zneužití.

Pokuta za nedostatečnou ochranu osobních dat

Trestní odpovědnost právnických osob české zákony neznají. Lze aplikovat pouze finanční postih dle zákona č.101/2000 Sb. o ochraně osobních údajů. Správce i zpracovatel musí podle §13 řádně zabezpečit osobní data. Pokud tomu tak není, hrozí pokuta až 10 miliónů korun, říká Mikulecký.

Dle jakých právních norem může ale zaměstnavatel vymáhat případnou škodu na zaměstnanci? Řešením může být podání trestního oznámení podle §257a trestního zákona a následné adhezní řízení. Jak ale uvádí Mikulecký, šance získat odškodnění za zneužití dat je v rámci našeho právního systému jen utopická. Důvodem jeho tvrzení může být fakt, že elektronická data lze snadno modifikovat a pro soud tudíž mohou být jako důkaz nepřijatelná.

Kromě údajů vypovídajících o národnostním, rasovém nebo etnickém původu, náboženství či kupříkladu zdravotním stavu se společnost musí zaměřit i na informace, na kterých je založena její podnikatelská činnost. Hodnota dat, která jsou v útrobách firemních databází, adresářů a souborů, může být často pro firmu nevyčíslitelná, nelze ji proto přejít bez povšimnutí.

Jak uvádí Marián Svetlík ze Znaleckého ústavu RAC, obecně to jsou data obchodní (klientela, rozpracované obchodní případy, ceníky a pravidla jejich tvorby apod., strategie), data z porad vedení, podklady, analýzy apod,. firemní know – how a personální informace. Vše závisí od konkrétního zhodnocení dat a jejich významu pro core-business firmy.

Data jsou pryč! Co s tím?

Pokud došlo ke zcizení dat, je třeba postupovat s rozvahou. Velmi záleží, kdo data odcizil, za jakých okolností a k jaké škodě došlo nebo potencionálně ještě stále může dojít, upřesňuje Mikulecký. Pokud zaměstnavatel pojme podezření, že bylo či je s firemními daty nepatřičně zacházeno, a jedná se o vážný případ, je podle Mikuleckého vhodné obrátit se na Policii ČR a zahájit trestní řízení. Zároveň dodává, že by samozřejmě nemělo dojít k neodborné manipulaci s daty při vyšetřování incidentu, aby nebyly zničeny nebo znehodnoceny případné důkazy.

Podle Mariána Svetlíka mohou být ale právě důkazy k prokázání škody jádrem problému. Důkaz není technický, ale právní termín. Je sice pravdou, že za důkaz může sloužit vše, co pomůže objasnit šetřenou skutečnost, ale důkaz má i své parametry, jako jsou legálnost jeho získání, jeho integrita, opakovatelnost, důvěryhodnost, nezávislost a podobně, doplňuje.

Na jedné straně tak prostředí elektronických dat nemusí umět plně zajistit pravého viníka, stejně tak ale může dojít i k umělému vytvoření důkazů, které pak následně mohou zaměstnavateli sloužit k tomu, že je použije jako důvod k rozvázání pracovního poměru s nepohodlným zaměstnancem.

I zde však platí, že nejdůležitější je prevence a výše zmíněné kroky jsou až záložním řešením.

Předně je vhodné, aby společnosti byly na tyto situace připraveny. V praxi se osvědčuje sestavení plánů postupů v krizových situacích – což krádež dat jistě je. Tyto plány bývají většinou součástí širších iniciativ v rámci interních programů prevence podvodů a definují odpovědnosti a kroky, které má/musí společnost v dané situaci podniknout, uvádí Lukáš Mikeska, manažer pro bezpečnost informačních technologií společnosti Ernst & Young.

skoleni_8_1

Externí kontrola informačních systémů

Jednou z variant, jak předejít možnému úniku citlivých údajů ze společnosti, je provedení bezpečnostního auditu nezávislou externí organizací. Zájem o kontrolu nemusí být výsadou jen nadnárodních společností, kde by riziko odcizených dat mohlo mít dalekosáhlejší dopad. Užitečnost bezpečnostního auditu nezávisí od velikosti firmy, ale od hodnoty informací, se kterými firma pracuje (které firma vlastní). Někdy ovšem bývá problém tuto hodnotu objektivizovaným způsobem určit, protože ne vždy se dá přesně vyjádřit finanční částkou, uvádí Svetlík.

Aby se do budoucna zamezilo opakování případů zcizení dat zaměstnancem, může společnost ještě provést preventivní kroky v podobě zavedení postupů dle normy ČSN ISO IEC 17799 (více seznam platných norem), využít služeb bezpečnostních specialistů nebo provést vlastní opatření, zamezující zaměstnancům rozsáhlejší manipulaci s citlivými údaji.

Stalo se Vám někdy, že byla na Vašem pracovišti zcizena (zneužita) důležitá firemní data zaměstnancem?

Autor článku

Redaktor/ka již pro server Podnikatel.cz nepracuje. 

Upozorníme vás na články, které by vám neměly uniknout (maximálně 2x týdně).