Dekorativní pozadí stránky

Jak na covid ví už každý. Jak na viry a další kyber-hrozby pro videokonference radí Národní úřad pro kybernetickou bezpečnost

Jak na covid ví už každý. Jak na viry a další kyber-hrozby pro videokonference radí Národní úřad pro kybernetickou bezpečnost

Dokument z dílny NÚKIB a NAKIT je v poslední době dalším bezpečnostním standardem pro všechny soukromé i veřejné subjekty, které chtějí chránit svá data a komunikaci před kybernetickými hrozbami. Stejně jako v případě minimálního bezpečnostního standardu (psali jsme zde) se jedná o doporučující dokument pro subjekty, které nespadají pod zákon o kybernetické bezpečnosti, a který pouze navrhuje škálu technických a organizačních opatření zajišťujících ochranu dat a informací. Z povahy tohoto dokumentu tedy vyplývá, že se jedná o dobrovolně aplikovatelný standard, jehož implementace není právními předpisy vyžadována a ani bez dalšího nezajistí soulad s požadavky kyberbezpečnostní legislativy (zejm. zákona a vyhlášky o kybernetické bezpečnosti).

Aplikace tohoto standardu ve společnosti může nicméně sloužit například jako doložení plnění povinností chránit osobní údaje dle GDPR ale zejména by měla zajistit, že citlivé ekonomické nebo jiné byznysové informace, které mohou být například předmětem obchodního tajemství, a které jsou velmi často diskutovány ve videokonferenčních hovorech, budou chráněny před krádeží či vyzrazením. K takové ochraně se totiž mnohdy podnikatelé zavazují ve smlouvách se svými obchodními partnery, a to často i pod hrozbou vysokých smluvních pokut. O samotném ekonomickém významu ztráty kontroly nad takovýmito daty samozřejmě ani nemluvě. Z pohledu plnění smluvních nebo zákonných povinností k ochraně dat tak implementace a dodržování standardu jednoznačně může pomoci při prokazování skutečnosti, že společnost řádně přijala příslušná technická a organizační opatření, jež jsou potřeba k zabezpečení chráněných informací, a to jak vlastních, tak informací poskytnutých obchodními partnery nebo dalšími subjekty. Ve výsledku tak může jít o velmi podstatný element k předcházení vzniku škod (a tedy i odpovědnosti za ně) nebo k případnému vyvinění se z odpovědnosti (společnost jednala de lege artis). Standard tak není pouze dalším „papírem do šuplíku“, ale skutečně praktickým metodickým doporučením, jehož zavedení do praxe by subjekty pravidelně využívající videokonference měly skutečně zvážit.

Standard tedy upravuje především technické požadavky na základní funkce videokonferenčního hovoru, jako je přenos zvuku, obrazu, souborů a funkce chatu, přičemž uvedená doporučení lze ale rozšířit i na pokročilejší funkce a bude záležet jen na dostupné IT podpoře, do jaké míry bude schopna standard implementovat. Standard popisuje přednosti a rizika spojená s různými technologickými řešeními (cloud, on-premise, hybridní řešení) videokonferencí a v návaznosti na to stanovuje pro zvolené řešení bezpečnostní požadavky. Videokonferenční systémy přitom rozděluje do bezpečnostních úrovní podle citlivosti komunikovaných informací. Konkrétní technická a organizační opatření jsou pak roztřízena podle toho, zda jsou pro tu kterou bezpečnostní úroveň komunikace zcela postradatelná, vhodná nebo nezbytná. Opatření je tak možné vhodně škálovat na základě manažerského rozhodnutí týkající se konkrétních případů užití videokonference.

V souhrnu je standard velmi praktickým manuálem, který může zásadně pomoci společnostem (ale také veřejným institucím) se zvýšením ochrany před kybernetickými hrozbami v oblasti videokonferenčních hovorů, jejichž význam v době pandemie koronaviru významně narostl. Dodržování tohoto standardu navíc může společnostem také výrazně pomoci při prokazování compliance v oblasti např. ochrany osobních údajů nebo plnění smluvních závazků vůči svým obchodním partnerům. Obdobné prakticky velmi dobře využitelné dokumenty jsou v mnoha dalších zemích Evropy často produkovány ze strany úřadů dohlížejících na řádnou ochranu osobních údajů. U nás současné vakuum zatím vyplňují svými doporučeními spíše orgány státu, jež mají v popisu práce ochranu před kybernetickými hrozbami. Bude zajímavé sledovat, jestli se třeba časem nepřidá i Úřad pro ochranu osobních údajů.

Zdroje článku

Související články