Menu

IT bezpečnost

Chrání vaše IT osobní údaje dostatečně? — To je téma již 3. GDPR semináře u kulatého stolu 23. ledna v Praze:

„Článek 25 GDPR stanoví jasnou povinnost organizací zavést tzv. záměrnou a standardní ochranu osobních údajů s ohledem na jejich rizikovost pro práva a svobody osob. Technická opatření nespočívají jen v nákupu uzamykatelné skříně, ale vyžadují úpravu řady firemních informačních systémů. Ajťáci stále tápou, v čem taková opatření spočívají, co po dodavatelích informačních systémů vyžadovat, zda je řešit samostatně pro jednotlivé aplikace či nějak centralizovaně v rámci společnosti. Cílem tohoto semináře je vzájemné sdílení dosavadních zkušeností s praktickými technickými a organizačními řešeními s ohledem na charakter dat a organizací, které je zpracovávají.“


Jistě jste zaznamenali kauzu, která postihla hotelový řetězec Marriott. Z rezervačního systému jedné z divizí unikly po hackerském útoku osobní údaje až 500 milionů hostů. Útočníci získali informace o klientech včetně čísel pasů, údajů o platebních kartách či o pobytu v jednotlivých hotelích. Je velmi pravděpodobné, že do špatných rukou padly i klíče pro odemčení zašifrovaných dat. Celkový rozsah úniku, který probíhal po čtyři roky (!), je co do počtu zasažených lidí i objemu dat jeden z nejrozsáhlejších v historii. O čem se v souvislosti s kauzou aktuálně mluví?

Odborníci na bezpečnost zmiňují, že ukradená data by mohla být vysoce cenná i pro špionážní účely a poukazují na to, že za útokem by mohla stát některá ze zahraničních tajných služeb. Jak se píše zde, stopy by mohly vést do Číny.

Marriott nezvládl krizovou komunikaci. Dalo se očekávat, že kyberzločinci využijí situaci po zveřejnění skandálu a budou se snažit klienty oslovit jménem hotelu z podobně vypadajícího e-mailové adresy. Tak se běžně děje třeba v případech pokusů o vylákání přístupových údajů k bankovním účtům. Marriott hackery nechtíc předběhl a sám použil pochybně vypadající adresu: email-marriott.com, která odkazuje na doménu, jež se po rozkliknutí ani nenačte. Kromě této nejasnosti tak otevřel dveře i dalším nápodobám adresy ze strany hackerů. V podobných případech by měla komunikace probíhat vždy z oficiální adresy na běžně používané doméně. Více se dočtete v článku na tomto odkazu.

Marriott se do jisté míry nepoučil z předchozích chyb. Nejednalo se totiž o první hackerský útok. S prolomením bezpečnosti se řetězec potýkal již v minulosti, jak upozorňuje tento článek.

Ve světle všech těchto zpráv bude mimořádně zajímavé sledovat, jak se příslušné orgány postaví ke kauze i z hlediska GDPR – podobně rozsáhlý únik dat se od doby, co vstoupilo v platnost, ještě neřešil. Vyšetřování stále probíhá.


Řešíte GDPR prakticky na pokročilé úrovni? Právě pro vás rozjíždíme cyklus celodenních GDPR seminářů u kulatého stolu, které vám umožní se dále vzdělávat a zlepšovat. V rámci každého setkání představíme novinky v oblasti ochrany osobních údajů a vybrané hosty k probíranému tématu — GDPR experty a zástupce významných institucí či firem.

GDPR semináře u kulatého stolu


Zajímáte se o informační technologie a baví vás problematika ochrany dat? CEVRO Institut nabízí jedinečný postgraduální program, který vás dokonale připraví na pozici Compliance Officer nebo DPO, nově zavedenou funkci pověřence podle GDPR. Rozhodně nejde o krátkodobý kurs, ale třísemestrální studium nabité přednáškami zkušených odborníků, kteří díky svým dlouhodobým praktickým zkušenostem z oblasti práva, kybernetické bezpečnosti nebo řízení rizik posunou vaše vědomosti do dalšího levelu. Přihlášky je možné posílat už jen do konce září.


14. května 2018

Kdy je třeba ohlásit porušení ochrany osobních údajů?

Hackeři, počítačové viry, neopatrnost… Rizik, která ohrožují firemní data, je bezpočet. Není otázkou zda, ale kdy se někdo pokusí odcizit nebo poškodit i ta vaše. Nezvaní hosté velmi často poruší i zabezpečení osobních údajů. Víte, jak se zachovat, abyste nebyli podle nařízení GDPR navíc ještě pokutováni?

Čtěte dál


Náš život se přesunul na internet, lidé všech věkových kategorií sdílejí své dojmy, pocity, ale také osobní údaje  na sociálních sítích. Málokdo si však uvědomuje, jaké úskalí to přináší. Mnohdy o sobě napíšeme intimní věci a ani si neuvědomujeme, že to vidí celý svět. Málokdo zřejmě ví, že i obyčejné zveřejnění věty na Facebooku je žalovatelné.

Pozor si nedáváme ani při stahování aplikací do svých mobilních telefonů. Nenápadná aplikace, která nám může „usnadnit” život, o nás stahuje velké množství  osobních údajů jako jsou informace o poloze, nákupních preferencích, přístup ke kontaktům apod. Lidé si mnohdy neuvědomují, že pokud používají on-line službu, která je zadarmo, nejsou jejím zákazníkem, ale naopak produktem dál prodávaným reklamním agenturám. Lidé na internetu používají bezplatné služby, za které ale jako ovce platí svoji vlnou. Tou vlnou jsou jejich osobní údaje, zájmy nebo preference.

O rizicích naší nevědomosti a absenci osvěty diskutovali odborníci i laická veřejnost s Václavem Moravcem v jeho Fokusu. Určitě stojí za shlédnutí.


13. listopadu 2017

Unikla vám data? Připravte se na ohlašovací povinnost

Jakou další velkou změnu přinese nařízení GDPR? Jde o povinnost ohlašovat narušení bezpečnosti zpracovávaných dat, souhrnně tzv. data breaches. Spadají sem případy zničení, ztráty, změny, neoprávněného poskytnutí nebo zpřístupnění zpracovávaných osobních údajů. České právo tuto povinnost ukládalo jen sektoru telekomunikačních sítí a internetových služeb, nyní se bude vztahovat na všechny správce osobních údajů. Pro drtivou většinu správců půjde o naprostou novinku a další administrativní zátěž, na kterou je třeba se připravit.

Čtěte dál


V dnešní době sociálních sítí má mnoho lidí potřebu sdílet s okolním světem své dojmy, ale také fotky letenek, které signalizují nový zážitek. Přitom stačí pouhé zveřejnění registračního a čárové kódu, které jsou uvedeny na letence, a může být zle. Překvapuje vás to? Pomocí těchto údajů včetně osobních, které lze poměrně snadno dohledat na internetu,  se úplně cizí osoba dostane k podrobnostem letu, číslu osobního dokladu a je tato data schopna dokonce změnit. Jeden z našich nejlepších odborníků na IT bezpečnost Michal Špaček podrobně popsal rizika lehkomyslného sdílení osobních údajů na internetu a sociálních sítích.


17. září 2017

Je nejlepším řešením GDPR přechod na cloud?

Nové povinnosti ohledně zvýšené ochrany osobních údajů nedolehnou účinností GDPR od května 2018 pouze na správce, tedy všechny fyzické nebo právnické osoby, které určují účel zpracování těchto údajů. Společnou odpovědnost ponesou i tzv. zpracovatelé, tj. všechny subjekty, které zpracovávají osobní údaje pro správce, zkrátka všechny třetí strany, jež mají přístup k těmto údajům od správce.

Čtěte dál


Hospodářské noviny & iHNED.cz jsou aktuálně na špici české publicistiky kolem GDPR. Nový článek Jana Úšely rekapituluje neblahý stav připravenosti institucí a firem, které stále vyčkávají, přestože nové nařízení se podle Asociace malých a středních podniků dotkne až dvou třetin z nich: „Podstata nového nařízení spočívá v oddělení osobních údajů od ostatních dat, jež firmy nebo úřady schraňují. Osobní informace musí být dostatečně chráněny, u těch obzvlášť citlivých, které spravují banky či nemocnice, se navíc doporučuje data šifrovat nebo anonymizovat, aby z nich nebylo možné vyčíst identitu konkrétního člověka. K tomu občané získávají právo na výmaz svých údajů z různých reklamních databází. E-shopy nebo mobilní operátoři navíc musí předem uvést, na co soukromá data svých klientů použijí.“

Jaká opatření musí vaše firma přijmout kvůli startu GDPR?



Hlavní partneři