Předcházení kybernetickým incidentům, jejich řízení a reakce na ně
Úřad Financial Conduct Authority (FCA) 13. října 2023 oznámil, že uložil společnosti Equifax Limited (Equifax), která se zabývá poskytováním úvěrových referencí a analýzou dat a technologií, pokutu ve výši cca 316 milonů Kč za to, že nezajistila řízení a monitorování bezpečnosti údajů spotřebitelů ve Spojeném království, které předala ke zpracování své mateřské společnosti Equifax Inc. se sídlem v USA.
V roce 2017 došlo k narušení kybernetické bezpečnosti společnosti Equifax Inc, přičemž hackeři získali přístup k osobním údajům přibližně 13,8 milionu osob, včetně dat narození, telefonních čísel, částečně odhalených údajů o kreditních kartách a adres bydliště. Narušení se týkalo údajů, které společnost Equifax Inc. uchovávala v souvislosti se dvěma produkty společnosti Equifax.
Poučení
Z tohoto případu a obecněji z prosazování předpisů týkajících se IT problematiky vyplývají poučení pro různé fáze životního cyklu firmy týkající se kybernetického incidentu - předcházení, řízení a náprava - která shrnujeme níže:
Opatření v oblasti kybernetické bezpečnosti: Regulované podniky FCA musí mít účinná opatření v oblasti kybernetické bezpečnosti a v rámci toho musí zajistit, aby jejich systémy byly z technického hlediska odolné, včetně jejich plné aktualizace, aby se zabránilo neoprávněnému přístupu. K tomu by firmy měly mít zavedený proces, který zajistí, že budou identifikovány a komplexně aplikovány systémové záplaty a že bude monitorován, aby se zachytily případné problémy. Regulační orgány rovněž očekávají důkladnou smluvní ochranu údajů a rychlé kroky firem v případě jakýchkoli podezřelých aktivit.
Rámec řízení rizik pro externě zadávaná data: Pokud firma zadává zpracování údajů externím subjektům, a to i v rámci skupiny, musí být zaveden vhodný rámec řízení rizik, který firmě umožní identifikovat a zmírnit rizika spojená s tímto outsourcingem. Regulované podniky zůstávají odpovědné za všechna data, která outsourcují, a v souladu s tím musí vykonávat odpovídající dohled nad jakýmkoli outsourcingem - podniky mohou například zvážit, co by se stalo, kdyby došlo k problému, včetně toho, zda je zálohování dostatečné a zda by dostaly odpovídající informace, kdyby se něco pokazilo. Pokud bylo zpracování údajů zadáno v rámci skupiny, měla by firma k nedostatkům na úrovni subjektu skupiny přistupovat se stejnou vážností, jako by tomu bylo v případě zadání třetí straně.
Vhodná správa pro reakci na kybernetické incidenty: Je proto nezbytné, aby firmy měly zavedeny účinné mechanismy řízení pro reakci na kybernetické incidenty. Globální firmy by měly mít přeshraniční koordinovanou strategii reakce, a to i s ohledem na komunikaci s regulačními orgány a zákazníky. Firmy nesmí přejít do režimu "uzamčení", kdy nejsou informace sdíleny mezi všemi dotčenými stranami - všechny dotčené jurisdikce musí být brány v úvahu a průběžně aktualizovány, aby skupina jako celek mohla účinně jednat s postiženými zákazníky.
Jasná komunikace v případě kybernetických incidentů a spravedlivé vyřizování stížností: Podniky musí neprodleně identifikovat a informovat zasažené osoby o kybernetických incidentech způsobem, který je spravedlivý, jasný a nezavádějící, a zavést spravedlivé postupy vyřizování stížností. Veškerá vydaná prohlášení musí být přesná, pokud jde o počet postižených spotřebitelů, a v případě nesprávné interpretace ze strany zpravodajských agentur nebo jiných subjektů musí být zváženo a případně včas uplatněno vysvětlení. Podniky by měly usilovat o to, aby zákazníkům nebránily v přístupu k jakýmkoli nastaveným stránkám o událostech - například soubory cookie by neměly zakrývat klíčové odkazy nebo informace.
Individuální odpovědnost: V neposlední řadě hrozí jednotlivcům v regulovaném odvětví v souvislosti s narušením kybernetických pravidel také riziko donucovacích opatření. Již několik let se regulační orgány zaměřují na individuální odpovědnost a v souvislosti s otázkami IT již byla proti jednotlivcům přijata donucovací opatření - například rozhodnutí z dubna 2023 proti bývalému řediteli pro informace retailové banky Carlosi Abarcovi za to, že nepřijal přiměřené kroky k zajištění toho, aby banka náležitě řídila a vhodně dohlížela na své dohody o outsourcingu v souvislosti se svým programem migrace IT v roce 2018. Vedoucí osoby zapojené do řízení kybernetických incidentů proto musí zajistit, aby při plnění své role a povinností jednaly přiměřeně. V rámci toho by vedoucí pracovníci měli mimo jiné: získat odpovídající ujištění od všech relevantních třetích stran; zůstat ve střehu, zda nahlášené problémy vyžadují přijetí opatření; a řádně eskalovat všechny relevantní informace, včetně případného předání představenstvu.
Vzájemné působení FCA a ICO
Úřad komisaře pro informace, anglický ÚOOÚ, (ICO) uložil v září 2018 společnosti Equifax pokutu 500 000 liber v souvislosti se stejným porušením. Zjištění ICO byla podobná jako zjištění FCA a paralely mezi problémy uvedenými v konečném oznámení FCA a v oznámení ICO o peněžité pokutě ilustrují, že na dodržování předpisů lze a je třeba pohlížet komplexně v kontextu kybernetické připravenosti a reakce na narušení. Kroky přijaté k dosažení souladu se zásadami FCA obecně pomohou také při prokazování souladu se zásadami ochrany údajů a naopak.
Úřad ICO rovněž naznačil, že hodlá přijímat opatření v případě porušení kybernetické bezpečnosti s využitím pravomocí ukládat pokuty, které má nyní k dispozici na základě obecného nařízení o ochraně osobních údajů ve Spojeném království (GDPR). Informace o svých kybernetických vyšetřováních zveřejňuje v rámci svých souborů údajů o stížnostech a obavách a rovněž podává zprávy o poznatcích o trendech v oblasti incidentů týkajících se bezpečnosti údajů. Informační komisař nedávno upozornil na rizika plynoucí ze samolibosti v oblasti kybernetické bezpečnosti ve firmách. Upozornil, že organizace, které pravidelně nemonitorují podezřelé aktivity a nejednají na základě varování nebo neaktualizují software a nezajišťují školení zaměstnanců, mohou očekávat pokutu.
V neposlední řadě mohou být organizace pokutovány za stejné porušení podle různých právních předpisů. To by se mohlo týkat i organizací, které nepodléhají regulaci FCA, neboť ICO rovněž potvrdil, že v případě, kdy se použijí britská nařízení o síťových a informačních systémech (NIS Regulations), je možné uložit pokutu jak podle britského GDPR, tak podle NIS Regulations. Po brexitu již existuje možnost pokut podle nařízení GDPR EU i Spojeného království a situace se ještě zkomplikuje, až začne platit zákon o digitální provozní odolnosti (DORA) a revidovaná směrnice o bezpečnosti síťových a informačních systémů (NIS2).
Zdroj: Norton Rose Fulbright