Názory k článku
Odpovědnost za únik dat není bezbřehá, řekl soud v případu úniku dat z Mall.cz

Když umíte číst GDPR lépe než NSS, kde je v něm napsáno, že po úniku dat bude pokuta jiná, než kdyby se na stejná pochybení přišlo při namátkové kontrole?

Myskim, ze NSS zase ukazal, ze neumi cist ani to GDPR. To o tom ekonomicky rozumnem zabezpeceni rika, ze kdyz ho nebudete mit, tak dostanete pokutu uz pri kontrole, a to i bez uniku dat.

A co takhle za to, že ti trezor "vykradli," ty sis toho "nevšiml" a pár měsíců poté si klientům tvrdil že máš jejich věci v pořádku schované. Pokud mám věřit, že ti do trezoru lezl někdo cizí, snad ti při tom houkal alarm a reagoval si hned.

Nebojte. Posuzováním důkazů, co se stalo kdysi dávno, se soudy zabývají od rána do večera. Pro soudy to není nic neznámého.

Pokud Mall.cz neví, jak měl v té době systémy zabezpečené, je to docela dobrý důkaz, že je měl zabezpečené nedostatečně. Po ÚOOÚ nikdo nechce, aby dokazoval, jak přesně data unikla. Chce se po něm jenom to, aby dokázal, že zabezpečení bylo nedostatečné. Což je logický požadavek, protože každý, kdo alespoň tuší něco o bezpečnosti, ví, že nic nejde zabezpečit dokonale. Vždy je možné něco zabezpečit ještě lépe, ale asi není potřeba zabezpečovat přihlašovací údaje do e-shopu lépe, než jsou zabezpečeny třeba přísně tajné materiály tajných služeb.

No to jsem zvědavý, jak si soudce představuje to dokazování, že byl systém kdysi dávno nějak přiměřeně zabezpečený.

V článku je explicitně uvedeno, že Mall o úniku ani nevěděl (to už je první ukázka špatně zavedených pravidel) a chybí tam podstatná informace, jestli Mall ten únik po tak dlouhé době vůbec sám prošetřil a zjistil, jak data unikla.

Zodpovědnost za takové prošetření přece nelze přenášet na ÚOOÚ...

Kdo chce ukládat data, musí je zabezpečit a nést odpovědnost za únik.
To rozsudek nepopírá. Ovšem „zabezpečit“ ano „odpovědnost“ nejsou ano/ne, ale je to vždy otázka míry. Jak dobře jsou data zabezpečená a jak moc odpovídá za únik. A to je potřeba zkoumat.

pokud trezor na noc nezamknete
Jenže tady právě nikdo nezjišťoval, zda byl trezor na noc zamčený. Ani nezjišťoval, zda tam byl trezor odpovídající hodnotě uložených věcí.

Přesto nenese za nic odpovědnost. To je přece šílené.
Nesmysl, nic takového soud neřekl. Soud to vrátil s tím, že je potřeba zjistit, jakou odpovědnost za to nese.

Jakákoliv firma nyní může tvrdit, že vše měli zabezpečeno
Tvrdit to může, ale ÚOOÚ bude zkoumat, zda to tak bylo doopravdy.

Tohle nejde splnit. Žijeme ve světě kde existují zero day zranitelnosti, jsou z výroby vadné procesory takže přes ně lze dostat data ven. Nemáte pod kontrolou operační systém a Pokud jste ve světě windows tak se záplatuje jen v úterý. Pokud by jste tohle zvládl nějakým zázrakem zmanagovat, tak se stejně nedostanete na 100% bezpečnost.
Jediným schůdným řešením je aby zákazník dělal vlastní risk management. To znamená co se stane když ty údaje uniknou a jaké budou škody?
O adresu v podstatě nejde tu ví tolik lidí že je v podstatě veřejná, telefonní číslo? Jo to je na houby, ale můžete mít druhou sim kartu jen na nákupy online. Platební karta? Tohle by se stát už nemělo protože eshopy nezpracovávají transakce a vše jde přes platební brány a ty mají bezpečnost celkem vysokou. Případně aplikace pro smart banking umožňují generovat jednorázové platební karty.
Ohledně toho zákona, je to blbost komu se to stane tomu klesne reputace. Dávat mu ještě pokutu je postavené na hlavu, když by ty peníze měl spíš dát do bezpečnosti.

13. 11. 2021, 08:19 editováno autorem komentáře

Vy píšete o „odemčeném trezoru“, ale já píšu o „zamčeném v zamčené budově obehnané ostnatým drátem“. Jinými slovy chci říct, že pokud firma data zabezpečí a i tak je někdo ukradne, nemůže za to ta firma, ale zloděj a není správné trestat firmu. Neexistuje na světě zabezpečení, které by nešlo prolomit. I kdybych to dal na flešku a zalil do betonu na utajené místo 50 metrů pod zem, tak když někdo vynaloží dostatečné úsilí (třeba bude řezat ruku mojí mámě před mýma očima, dokud neprozradím, kde to je zakopané) a já povolím a řeknu to, oni pak objednají 50 bagrů a ruskou Vágnerovu armádu a vykopou to – já za to mám pak ještě platit pokutu? No to asi ne. Záměrně píšu extrémní případy, protože chci ukázat, že prostě musí existovat hranice, kdy mne nelze trestat. Tedy lze, ÚOOÚ přesně tohle dělá, ale prostě to není - paušálně a ve všech případech - správné. A pokud i tohle právě řekl soud, tak mu jen a jen tleskám.

13. 11. 2021, 07:36 editováno autorem komentáře

tady ale soud neřešil odpovědnost za únik. Mall je odpovědný za případnou škodu, která vznikne únikem a prokáže se u soudu.

V bezpečnosti se neřeší ano/ne, ale míra. I sám zákon mluví o přiměřených nákladech. Pořád ti do servovny může napochodovat armáda, vyhodit do vzduchu dveře. Máš teda kvůli tomu umístit servery na měsíc nebo mít na obranu ještě větší armádu? Řadu údajů je povinný subjekt evidovat ze zákona a nemůže je pouze neukládat.

Úřad udělil pokutu za domnělé pochybení Mallu, že data nedostatečně zabezpečil, ale už zapomněl vůbec řešit, co to vlastně znamená a jak konkrétně Mall pochybil a co měl udělat jinak podle toho co mu nařizuje zákon.

Neříkám, že to Mall dělal dobře, jen by úřad neměl pokutovat jen kvůli tomu, že se něco stalo.

Stejný případ je i T-mobile a ukradení dat zaměstnancem ze stejné doby. T-mobile se proti pokutě nebránil a zaplatil. Úřad ale argumentoval úplně stejně a ignoroval námitku, že nelze data jednoduše uchránit i před trestnou aktivitou zaměstnanců, kteří s nimi pracují.

Je to podle smlouvy, takže např. ručení do nějaké výše. V IT je GDPR, ale nevím o tom, že by tam byla určena nějaká hodnota osobních dat a případně vymáhána.

Můj ty Tondo... Vy jste ještě neslyšel o oddělení pro výrobu originálních logů a evidencí?

Kdo ukládá logy 4 roky zpět? Pro kritickou informační infrastrukturu platí 1 a půl roku. A i z hlediska ochrany osobních údajů není možné držet logy takto dlouho.

Souhlas, rozhodnutí nepochybně správné. Obecně nelze trestat za to že data unikla, protože pokud na firmu zaútočí nějaká APT, nemá příliš šanci se ubránit a k úniku dojde. Prostě zabezpečit to vůči APT je tak drahé, že to do toho nikdo z komerčního sektoru takové finance nedá. Jen třeba banky na nějaká specifická data, ale Osobní údaje? ;)

Tady by měl ÚOOU požadovat po Mallu nějaké informace ke stavu zabezpečení a logy, pokud je Mall nedodá, protože je nesbíral, tak může dostat tu pokutu už jen za to, že pořádně nelogoval, nevedl evidenci použitých verzí SW apod. Navíc tam měli slabé hash pokud si dobře pomatuji. Tzn. Mall to nezachrání, ale ta pokuta je stejně celkem srandovní myslím že nezatáhne ani náklady toho soudního řízení...

Pokud vám ukradnou vaše věci z vašeho trezoru, je to všem putna a nikdo vás trestat nebude.

Pokud ale ve vašem trezoru jsou věci jiných lidí, za které odpovídáte, pak je jedno, že máte zabezpečený dům s ostnatým drátem okolo, pokud trezor na noc nezamknete. Pak si trest zasloužíte.

Mall měl papírově vše v pořádku, ale data mu unikla a dokonce o tom ani nevěděl. Přesto nenese za nic odpovědnost. To je přece šílené. Jakákoliv firma nyní může tvrdit, že vše měli zabezpečeno, ale vlivem skrytého, neočekávaného, sofistikovaného a cíleného kybernetického útoku o data přišli, ale za nic nemohou a za nic neručí.

Ano pokud provozovatel není schopen zabezpečit data, nemá je shromažďovat.

Pokud je vykraden bankovní tretozor s věcmi klientů, jak to je?

Tohle mi přijde chybně. Kdo chce ukládat data, musí je zabezpečit a nést odpovědnost za únik. Jinak si najde tisíc výmluv, proč to není jeho chyba.

Velmi správné rozhodnutí a konečně ukázání na nesmyslnost tohoto trestání. V mnoha případech je to pak stejné, jako kdyby mi zloději vykradli trezor a já byl potrestaný za to, že to byl jen trezor v zabezpečeném domě s ostatným drátem okolo a že jsem ho nezalil do betonu 50 metrů pod zem. Chápu, že je snadnější trestat mě, než toho zloděje - ale rozhodně to není správné.

Že unikla data, jde v tomto případě dokázat snadno, ale jak bude ÚOOÚ zjišťovat a Mall dokazovat, jak měl Mall před 4 lety zabezpečený informační systém???