Věnují globální firmy dostatečnou pozornost bezpečnosti svých dat?
Celkově lze konstatovat, že funkční a ekonomické výhody, které přinesl rozvoj počítačů obecně, vedou do jisté míry k tomu, že důležitost otázek spojených s ochranou a bezpečností dat je paradoxně upozaďována. Přitom ta nejdražší aktiva, která společnosti ve 21. století drží, bývají právě ve formě digitálně spravovaných informací. A ani po několika desetiletích nedokázaly společnosti pochopit, jak cenná a důležitá právě tato data jsou. Vede to k jedinému – nedostatečné pozornosti věnované otázkám jejich ochrany a podceňování důležitosti investic do vhodně navržených bezpečnostních opatření, která by byla od samého počátku zakomponována do infrastruktury. Poslouží jednoduchý případ. Představme si 25patrovou budovu bez požární výbavy nebo únikových schodišť od 2. podlaží výše. Dříve nebo později se to ukáže jako fatální chyba.
Je v tomto ohledu nějaký významný rozdíl v přístupu mezi firmami v USA a v Evropě?
Zejména ty tradičnější evropské společnosti, především tedy “starší generace”, investují velké částky do navrhování a budování informačních systémů, stejně tak nastavení širších pravidel a předpisů týkajících se firemní i veřejné dostupnosti digitálních informací. Multikulturní a mnohojazyčné prostředí evropských trhů klade, jak se zdá, mnohem větší důraz na funkční návrhy, užitečnost a využitelnost digitálních informací. Podobné investice jsou vidět také v ekonomikách asijsko-pacifického regionu.
Jsou malé a střední firmy v této oblasti zranitelnější? Mají menší rozpočty a nedisponují týmy specialistů jako velcí hráči.
Rozhodně. Zejména v případě, kdy menší firmy dodatečně zavádějí bezpečnostní opatření do svých stávajících systémů. Na druhou stranu, pokud menší firmy rozpoznají bezpečnost svých dat například jako konkurenční výhodu, mohou přisoudit ochraně dat vyšší prioritu a zaintegrovat ji do svých systémů hned na počátku existence. Tím se také vyhnou velmi nákladnému dodatečnému zavádění bezpečnostních opatření ve chvílích, kterými často prochází velké společnosti. Troufám si navíc tvrdit, že se blížíme době, kdy bude právě schopnost zabezpečit data klientů a dodavatelů znakem důvěryhodnosti dané společnosti a ve výsledku také podmínkou její profitability.
Je dlouhodobě udržitelné, aby se globálně proudící data řídila národními předpisy jednotlivých států, nebo bude nevyhnutelná nějaká obecně platná úprava?
Velmi hlasitě zastávám názor, že je nejen vhodné, ale i nezbytné vytvořit mezinárodní, globálně respektovaná pravidla jak spravovat digitální prostředí Internetu a jak zajistit kontrolu či spíše přehled nad informacemi. Existuje spousta cest, jak tato pravidla vytvořit, aniž by se nutně muselo jednat o právní úpravu. Například žádný stát nikdy formálně nevznesl požadavek na konkrétní podobu formátu emailu, vytvořily ji však instituce, zabývající se tvorbou technologických standardů.
V mé nové publikaci, která by se měla objevit zkraje příštího roku, představuji novou cestu, jak by se k tvorbě globálních pravidel mohlo přistupovat. Tato cesta by poté vrátila důvěru v digitální infromace, resp. “digitální majetek” jako takový. Řešení vidím v tvorbě zcela nových protokolů, které nebudou závislé na právních úpravách jednotlivých států nebo formálních smluv jednotlivých mezinárodních organizací.
Cloud přinesl potenciální rizika, protože data se posuzují podle právního systému země, kde jsou uložena, ne země, v níž podniká jejich majitel. Firmy často ani netuší, kam cloudová úložiště jejich data posílají. Staly se již případy, kdy byla firma souzena za data, která byla v zemi jejího původu legální, ale v zemi svého uložení porušovala zákony?
Situace je velmi podobná, jako když řídíte vůz a přejedete hranici města. Změní se maximální povolená rychlost, v některých státech nesmíte používat mobilní telefon anebo nesmíte v automobilu sedět sám. Ale stejně jako řidič vozu, ani společnost nemá možnost zasáhnout do toho, kudy tato hranice vede, tedy kam provider přesouvá uložená data.
Jak se to projevuje v praxi?
Obsahem mnoha soudních sporů v USA je snaha jednotlivých stran přesunout data, která mohou být potenciálním důkazním materiálem, do zemí s jinou právní úpravou. V takovém případě místní orgány povětšinou zasahují a přesunu zamezí. Často se tím všem stranám výrazně zvyšují náklady na vedení soudního sporu. Na druhou stranu si nejsem vědom žádného případu, kdy by národní autorita stíhala uživatele cloudové služby na základě přesunu dat providerem.
Zároveň s tím je poměrně běžné, že korporátní uživatelé cloudových služeb ve smlouvách často vyžadují omezení nebo přinejmenším pravidla, která omezují providerovu svobodu při nakládání s daty. Běžně je například smluvně zajištěné uložení dat v konkrétním datovém centru anebo lokalitě, odkud nemohou být data přesunuta jinam.
INsig2 LawTech Europe Congress 2014
Problematika informační bezpečnosti, správy informací a digitálních důkazních prostředků bude do hloubky diskutována také na kongresu INsig2 LawTech Europe Congress 2014. Jeffrey Ritter je jedním z klíčových řečníků kongresu.
Objem kybernetické kriminality stále roste. Jaké škody aktuálně způsobuje světové ekonomice a jaké jsou předpovědi dalšího vývoje?
Rozvoj kybernetické kriminality je přímo úměrný narůstající důležitosti jednotlivých dat. Každá nežádoucí příhoda, kdy někdo získá přístup k datům, zkopíruje je, nahradí nebo obecně využije něčí majetek, snižuje hodnotu informací jako takových. Vzhledem k tomu, že kyberzločinci často operují v “mezinárodních vodách”, je velice obtížné jejich útoky vyšetřit a účinně je obvinit. I kvůli tomu bude kyberzločinnost na vzestupu, dokud společnosti nezačnou masivně investovat do silných systémů pro správu informací, které v tomto kontextu zahrnují mnohem vice než jen informační bezpečnost.
Co může přinést změnu tohoto trendu?
Jak jsem již zmiňoval, vnímám, že je stále kladen malý důraz na hodnotu digitálních dat. A to i přes to, že 21. století jasně ukazuje, že pravá hodnota společností bývá měřena podle kvality, integrity a agility jejího digitálního majetku. Stále častěji jsme svědky toho, jak velcí investoři, portfolio manažeři a finanční instituce považují správu informací za jedno z hlavních kritérií, které určuje hodnotu společnosti. Trhy a ekonomiky, například nových členských zemí EU, mají obrovskou příležitost předběhnout globální konkurenci právě tím, že vytvoří korporátní systémy správy informací přesně v tom duchu, jak to kapitáloví investoři požadují.
O hackerech se hovoří zejména v souvislosti s krádežemi dat. Nicméně jejich schopnost vniknout téměř do jakéhokoliv počítače otevírá rizika podstrčení falešných důkazů a kriminalizace firem nebo osob, které se ničeho nedopustily. Berou soudy dostatečně v potaz tyto možnosti?
Až doposud soudy – zejména ty v USA – předpokládaly, že digitální informace je přesná a v podstatě nezpochybnitelná bez možnosti kompromitace. Jsme stále na začátku pochopení toho, jak způsoby utváření informace, včetně případů neoprávněného přístupu nebo manipulace s daty, mohou ovlivnit hodnotu digitálních informací jako důkazního materiálu. Je smutné, že pravděpodobnost změny digitální informace je v případě hackerského zásahu výrazně nižší než u interních zaměstnanců nebo připojených dodavatelů třetích stran, kteří začnou manipulovat s daty k dosažení vlastních zájmů.
Po celém světě začínají soudy zavádět přísnější opatření pro měření pravosti digitálních informací a toho, jak moc může být daná informace považována za důkaz. Ale to je velmi zdlouhavý a pomalý proces. Zapotřebí je, aby naše právní systémy vyvinuly spolu se společnostmi z oboru lepší normy pro rozlišování dobře spravovaného důkazu a informace, která nemá ani cenu papíru, na kterém je vytištěna a předložena soudu.
Jak se vůbec vyvíjí objem elektronických důkazů, u jakých typů trestných činů se využívají nejčastěji?
Během posledních dvaceti let elektronická data ukládaná na počítačích radikálně přeměnila způsoby prosazování práva. Veškerá elektronická data, jako jsou zaznamenání stisku kláves na firemních zařízeních, sledování elektronické komunikace, nahrávání videa z dopravní infrastruktury a z uliček v prodejnách potravin nebo školních místností, vytváří ve spojení s nástupem internetu prostředí, ve kterém jsou ve většině případů počítačová data považována za spolehlivější důkaz pravdy než ústní výpověď jakéhokoliv lidského svědka. To neplatí pouze pro trestní právo, ale pro veškeré platné zákony a předpisy.
Jaká se bude měnit přístup firem k datům v budoucnu?
Podniky budou i nadále uchovávat data v elektronické podobě a budou se zbavovat zátěže „papírové administrace“. Kritické je ale to, že státní orgány dělají to samé. Má nová kniha vysvětluje, jak mohou vlády a podniky dosáhnout takového výsledku při nižších nákladech, zlepšením jejich konkurenceschopnosti na náročném globálním trhu.
Dalibor Dostál
Jeffrey Ritter
Celosvětově uznávaný průkopník ve vytváření právních norem v oblasti e-commerce. Pracoval například v programu OSN pro rozvoj mezinárodních obchodních praktik, pro kongres Spojených států Amerických a globálním Fortune 50 firmám pomáhal se zaváděním komplexní informační bezpečností, elektronických podpisů, soukromí a cloudových služeb. Jeho nová kniha „Building Digital Trust“ představuje novou architekturu pro zachování růstu podniku a řízení systémů v digitálním světě. V současné době vyvíjí a také vyučuje politiku a nové trendy správy informací a kybernetického práva na Georgetownské Univerzitě, Johns Hopkins University Whiting School of Engineering a na Univerzitě v Oxfordu v odboru informatiky.