Zdeněk Blažek Kybernetická bezpečnosť a ochrana osobných údajov 24.10.2017 Bratislava
Temata Provázanost kybernetické bezpečnosti a ochrany osobních dat-je třeba vše řídit zákony? Nejčastější způsoby úniku osobních dat Náklady Existuje však ochrana osobních údajů ve skutečnosti? Likvidační sankce. Filozofická otázka je nutno mít tolik IT? (viz možný návrat ke starším systémům navigace...) 2
Zákony málo nebo více? Listina základních práv a svobod (usnesení č. 2/1993 Sb.), Ústava (ústavní zákon č. 1/1993 Sb.), zákon o zajišťování obrany České republiky (zákon č. 222/1999 Sb.), zákon o krizovém řízení (zákon č. 240/2000 Sb.), zákon o Policii České republiky (zákon č. 273/2008 Sb.), zákon o obecní policii (zákon č. 553/1991 Sb.), zákon o Vojenské policii (zákon č. 553/1991 Sb.), zákon o zpravodajských službách (zákon č. 153/1994 Sb.), zákon o Bezpečnostní informační službě (zákon č. 154/1994 Sb.), zákon o Vojenském zpravodajství (zákon č. 289/2005 Sb.), trestní řád (zákon č. 141/1961 Sb.), trestní zákoník (zákon č. 40/2009 Sb.), celní zákon (zákon č. 13/1993 Sb.), zákon o elektronických komunikacích (zákon č. 127/2005 Sb.), zákon o ochraně osobních údajů (zákon č. 101/2000 Sb.), zákon č. 499/2004 Sb. O archivnictví a spisové službě a o změně některých zákonů 3
Zákony málo nebo více? zákon o ochraně utajovaných informací (zákon č. 412/2005 Sb.).ní č. 2/1993 Sb.), zákoník práce (zákon č. 262/2006 Sb.), autorsky zákon (zákon č. 121/2000 Sb.), zákon o informačních systémech veřejné správy (zákon č. 365/2002 Sb.), zákon o soudech a soudcích (zákon č. 6/2002 Sb.), občansky soudní řád (zákon č. 99/1963 Sb.), zákon o rozhodčím řízení (zákon č. 216/1994 Sb.), správní řád (zákon č. 500/2004 Sb.), správní řád soudní (zákon č. 150/2002 Sb.), zákon o veřejném ochránci práv (zákon č. 349/1999 Sb.). Zákon č. 21/1992 Sb, o bankách zákon č. 297/2016 Sb., o službách vytvářejících důvěru pro elektronické transakce Zákon o kybernetické bezpečnosti č. 181/2014 Sb. GDPR Vyhlášky, nařízení,...... 4
Způsoby úniku dat Nejčastější způsoby úniku osobních dat Lidska chyba nevzdělanost, arogance, pýcha cesta do problému Nevycvičený personál šetření na nesprávných místech Organizační nedostatky/problémy řízení diletantismus na řídicích pozicích Nedostatky pri vyvoji IS Špatně zabezpečený perimetr IT Špatně nastavený operační systém Špatný informační systém - nedodržovány např. principy 4 očí,... Zlý úmysl,... Spraví vše výše uvedené nové zákony??? 5
Náklady Nutné velké náklady na zabezpečení, právní poradenství, výcvik lidí,... Problémy IS obecně archivace např. Přehled o datech Likvidační sankce čemu slouží??? V zásadě obavy ze sankcí působí kontraproduktivně i vzhledem ke státům (regulace, audity, daně...) => šetří se na lidech atd. tedy začarovaný kruh Regulace samy nezabránily v zásadě problémům (BASEL I/1988, BASEL II/2004 => krize 2008-9) Archivace??? Za 20 let data??? Co bylo před 20 lety v IT???... 6
Trochu filosofie na závěr Existuje však ochrana osobních údajů ve skutečnosti??? Vždy je potřeba se na začátku studia jakéhokoliv zákona podívat na koho se vztahuje, čí lépe řečeno nevztahuje. Nevztahuje: policie, státní instituce, subjekty, která zpracovávají data dle jiných zákonů atd. atd. Na konci zjišťujeme, že se to týká víceméně pouze omezené skupiny soukromých subjektů. Lidé se svých dat zbavují masově na sociálních sítích, v nákupních centrech, mobilních aplikacích apod. Částečně z neznalosti a nepochopení, částečně úmyslně. Cloud zdroj dat pro subjekty, které mají přístup do datových center (tajné služby, vládní agentury...) IoT??? Otázka je nutno mít tolik IT? (viz možný návrat ke starším systémům navigace...). Nebylo by méně více? 7
Děkuji za pozornost! KONEC nebo začátek??? 8