Až na 10 milionů korun se může podle zákona o ochraně osobních údajů vyšplhat pokuta za nedostatečné zabezpečení klientských dat. Nemluvě o poškození image společnosti, když se informace o úniku dat dostanou na veřejnost.

Jedna z nejvyšších pokut, jakou Úřad pro ochranu osobních údajů zatím v praxi udělil, stihla letos v létě mobilního operátora T-Mobile. Za únik osobních dat a kontaktů více než jednoho milionu klientů operátor zaplatil 3,6 milionu korun. Paradoxem přitom je, že technologické zabezpečení dat v telekomunikačním sektoru patří podle analýz bezpečnostních expertů k nejvyspě­lejším. Jak tedy mohlo k tak fatálnímu úniku dat z T-Mobilu dojít?

Kamenem úrazu v tomto případě byl vlastní zaměstnanec firmy − člen malého týmu, který se zákaznickými daty běžně pracoval. Totéž může podle odhadů bezpečnostních expertů potkat většinu firem. "Proti krádeži anonymem z internetu je možné se chránit, používat firewally, antimalware, aktualizovat software a hardware, správně vše nastavit a podobně. Proti krádeži dat zaměstnancem, který oprávnění k práci s daty má, protože s nimi musí pracovat, se účinně chránit nedá," varuje odborný lektor počítačové školy Gopas Ondřej Ševeček.

Pokud chce podnik snížit riziko, že data vynesou jeho vlastní lidé, musí sázet na "měkké" nástroje: vzdělávání, školení a interní pravidla.

Útok zevnitř firmy, k němuž došlo i v kauze T-Mobilu, je přitom desetkrát pravděpodobnější než útok zvenčí, tvrdí odborníci. "Velmi často se také jedná o spojené nádoby, a tedy součinnost externího a interního pachatele, často i v nevědomé, neúmyslné podobě ze strany některého ze zaměstnanců napadené firmy," upozorňuje Tomáš Brabec, partner poradenské skupiny Apogeo.

Pokud chce podnik snížit riziko, že data vynesou jeho vlastní lidé, musí spíš než na nejmodernější technologie spoléhat na staré známé "měkké" nástroje v podobě vzdělávání a školení zaměstnanců a interní pravidla, která pracovníky přimějí k pravidelným změnám hesel anebo jim zakážou do počítačů vkládat soukromé nosiče dat. Vhodné také je rozdělit pracovní náplň zaměstnanců a umožnit jim přístup jen k té "porci" firemních dat, která ve své práci skutečně potřebují.

"Proto také například bezpečnostní norma ISO/ČSN/EN 27001 o bezpečnosti informací klade důraz primárně na procesy, politiky a na vzdělávání zaměstnanců, protože bez dodržování správných postupů a bezpečného chování žádná technologie nebude účinná," dodává Ševeček.