KOMENTÁŘ: Kybernetická rizika při práci z domova a jak se jim vyhnout |
Nyní, zhruba osm měsíců po útoku, policie oznámila, že vyšetřování v této věci odložila. Nepodařilo se jí identifikovat útočníka.
Nejde o zcela překvapivé vyústění. Tento typ trestné činnosti se totiž objasňuje poměrně obtížně. A to platí zejména v případě, je-li proveden profesionálně s cílem získat významný finanční zisk, poškodit konkrétní organizaci nebo zjistit slabiny v jejím systému informační bezpečnosti.
Počítačových útoků přibývá
Ostatně, statistiky týkající se trestného činu neoprávněného přístupu k počítačovému systému a nosiči informací (§ 230 tr. zák.) jsou poměrně vypovídající.
V roce 2018 evidovalo ministerstvo vnitra 893 těchto trestných činů, přičemž jimiž byla způsobena škoda ve výši 18 milionů korun. Objasněno z nich bylo téměř 26 procent. Loni se však jednalo již o 1092 případů, škodu přes 50 milionů korun a objasněnost klesla lehce nad 19 procent. A za období od ledna do června letošního roku je evidováno 621 případů se škodou téměř 30 milionů korun a objasněností necelých 10 procent.
Jinými slovy, trendem posledních let je, že počet kybernetických útoků rok od roku narůstá, způsobená škoda rovněž, nicméně míra objasněnosti se snižuje. Tato skutečnost by nás, domnívám se, měla i v kontextu případu benešovské nemocnice vést k závěru, že spoléhat se na následné odhalení pachatele kybernetického útoku a jeho případné potrestání či vymožení náhrady škody, je skutečně málo.
Klíčové je zavádět dostatečná opatření k zabezpečení informačních systémů a využívaných dat v každé organizaci, ať už veřejné či soukromé. Zdá se to jako samozřejmé, ostatně tato povinnost vyplývá z řady právních předpisů, například ze zákona o kybernetické bezpečnosti či z evropského obecného nařízení o ochraně osobních údajů (GDPR). Jak však ukazuje praxe, bezpečnost informací, včetně osobních údajů, nebývá vždy vnímána jako klíčová součást činnosti organizace, ale spíše jako něco navíc, jako více či méně volitelný doplněk. A teď nemám na mysli případ benešovské nemocnice, která zjevně čelila dosti fundovanému útoku, ale spíše obecný přístup některých subjektů, u nichž již pominula obava z astronomických pokut ukládaných dle evropského nařízení o GDPR a dosud se terčem takového útoku jako nemocnice v Benešově nestaly.
Při zabezpečení informačních systémů se ale nemá postupovat mechanicky ani formálně, ostatně i evropské nařízení o GDPR předpokládá aplikaci bezpečnostních opatření s ohledem na riziko, které zpracovávaným osobním údajům hrozí. Ten, kdo informační bezpečnosti nevěnuje patřičnou pozornost, riskuje nejen pokutu a další případnou finanční újmu, ale především nemalé dopady do své vlastní reputace.
Autor je právník, působí jako compliance a operational risk manager.
CHCETE SE TAKÉ VYJÁDŘIT?Jste právník/právnička a rád/a byste se vyjádřil/a k současnému dění, právnickému stavu či novinkám v legislativě? Napište nám na tomas.nahodil@lidovky.cz. |
