Tzn, mohou za to zcela konkretni lide - minimalne cele vedeni.
Jinak pokuta v radech jednotek milionu pro firmu, ktera vydelava miliardy ... to je naprosty vysmech. Zkuste si predstavit, ze proletite mestem dvostovkou ... a pri prumernem prijmu dostanete "vysokou" pokutu 20Kc. Bezne pokuty za drobne prestupky pak budou v halerich.
moci za něco a být za něco zodpovědný jsou odlišné věci, btw.
Proč chceš dělat pokuty likvidační? Cíl není položit firmu, ale zamezit tomu, aby se to už neopakovalo (tahle pokuta má mít výchovný charakter), pokud i malé pokuty tenhle cíl splní, prosím, nechme malé, pokud ne, upravme zákony.
Firmu může poškodit nejen peněžní pokuta, ale i třeba zákaz se účastnit veřejných soutěží, přísnější podmínky pro obnovení licencí či horší pozice při vyjednávání o úvěrech atd. Prakticky i tahle pokuta se dostane do kpi jednotlivých oddělení a konkrétní lidé, kteří to měli na zodpovědnost z toho mohou mít zhoršenou pozici nebo být ze své pozice odstoupeni.
Každopádně pro t-mobile to je problém a na jeho nápravě pracuje, zatím i tahle pokuta svoji funkcí plní, uvidí se, jestli podobném situacím to zabrání.
Jakepak likvidacni pokuty? Bezne se ve svete udeluji pokuty do 30% celosvetoveho rocniho obratu - coz je castka, ktera firmu uz celkem podstatne zaujme.
Zajimave ze jako fyzicka osoba klidne muzete dostat pokutu ve stovkach tisic a nikoho nezajima, ze na to budete vydelavat treba 20 let.
Jako drobny podnikatel/mala firma pak klidne muzete dostat stejne miliony, jenze to pro vas bude znamenat likvidaci nejen firmy.
Tato pokuta je k smichu, nebot by si ji klidne mohl dovolit ze sveho zaplatit sef toho toboganu. A ani by si nevsiml. Uvedomte si laskave, ze na tu pokutu vydelaji za cca 6 hodin provozu - a bavime se o zisku, v prijmech za daleko mene. A bavime se opet pouze o ceskem t-mobile. Pro korporaci je rec mozna o desitkach vterin provozu. Takove pokuty si mohou dovolit platit denne a znamena to pro ne maximalne nepatrny naklad "na provoz".
ptám se opět, proč by pokuta měla být v takové výši, aby firmě ublížila, když i nižší splní cíl shodně?
Tlak trhu a akcionářů dělá své, každopádně t-mobile pokutu řeší a data si zabezpečuje.
V jakém případě dostaneš jako FO pokutu stovky tisíc? Nevybavuji si, v čem je takové riziko.
ÚOOÚ zohledňuje velikost firmy i závažnost úniku, živnostník, kterému uniknou kontakty o 2m klientech není moc častý úkaz...
Přesně tohle mě taky napadlo, ale když se na to podívám s chladnou hlavou, tak se vlastně hovno stalo. Podle dřívějších článků snad vynesl akorát fakturační údaje - adresy a čísla účtu a prasklo to proto, že se to pokusil prodat. To jsou věci, které říkám v podstatě komukoliv, když si něco objednávám v eshopu.
Dřív jsem dělal nějakou dobu admina v jedné nemocni. Měl jsem přístup naprosto ke všemu v informačním systému. Kompletní chorobopisy všech pacientů a že jich bylo. Kdybych přišel s externím diskem a odnesl si zálohu databáze, tak si toho nikdo ani nevšimne. Firma co dělala informační systém běžící v hromadě nemocnic se nikdy nedivila nad tím, kde všude mám přístup. Aby taky ano, když věděla, jak to je navržené.
Dřívější admin byl v takových finančních sračkách, že i když měl nárok na dotovaný oběd za nějakých 25, 30 Kč, tak raději obědval v kanclu pár rohlíků s paštikou, aby ušetřil. Co by se asi stalo, kdyby za takovým člověkem někdo přišel s obálku a chtěl ten dump databáze? Prachy na dřevo a relativně jistota, že to nepraskne. Odběr jasný, nemusel by shánět kupce.
Buďme za tuhle aféru rádi. Díky velikosti operátora to bylo hodně medializované, ale stalo se prd. Teď by bylo fajn, kdyby to mělo nějaké důsledky i v místech, kde těch dat není tolik na jednom místě, ale o to citlivějších.
Nechci se t mobilu zastávat, ale má UOOU konkrétní doporučení jak mají tato data chránit. Už vidím jak by uoou dalo pokutu t mobilu za to, že mají pracovníci nainstalován špehovací software, jsou všude sledováni kamerami, při odchodu z pracoviště jsou podrobeni osobní prohlídce a na pracovišti mají zákaz navštěvovat veřejné internetové stránky a používat osobní emaily :-))
3 Kč za uniklý kontakt je fér, až mě unikne taky pár údajů z DB tak vím kolik mě to bude stát, doufám, že takto málo.
to není starost ÚOOÚ (naštěstí), aby kecal jak to má firma zajistit, jiné firmy si s tím poradili. Pokud má jeden člověk přístup všude a může si data odnést bez jakékoliv kontroly, je to špatně, tečka.
Špehovací SW není třeba, stačí začít auditovat logy a lépe nastavit procesy, kdo kam má přístup, vždyť takhle to dělají i malé společnosti...
Pozor na to, že jakmile necháš data uniknout úmyslně, můžeš balancovat na hraně trestního zákoníku...
Souhlas - zrovna v tomhle případě by prevence byla relativně jednoduchá: žádný zaměstnanec nepotřebuje přistupovat k milionu zákazníků. Měli přístupy sledovat a jakmile by překročily rozumnou hranici (patně několik tisíc), tak jít zkontrolovat, proč daný zaměstnanec přistupuje k datům tolika zákazníků.
Jo jo, doba se meni. Dneska je ve firmach fundamentalni neporadek a nevadi to vubec nikomu. Pred mnoha lety jsem znal firmu, ktera zpracovavala vyhradne duverne osobni udaje. Technicky reditel tam mimo jine zjistil, ze sekretarka (sic!) ve firme manzelky vlastnika ma vyssi opravneni k pristupu k datum nez admin z jeho vlastniho tymu. Kdyz udelal protiopatreni, byl vyhozen a bylo mu vysvetleno, ze pokud se to nekdo dozvi, bude to jeste horsi.
Poctete si neco o tm jak se pracuje s daty, ani administrator nepotrebuje mit k datum pristup, natoz ke vsem. Ze to tak vetsinou je, vubec neznamena, ze je to tak spravne, nebo ze to jinak nejde.
Jako administrator databaze vubec nepotrebuji videt vsechna data v databazi, bohate mi staci struktura. Pripadne nejaka demo databaze s par zaznamy.
Dale lze pochopitelne kazdy dotaz logovat a provadet audit - napriklad jak bylo zmineno na to, kdo a ke kolika zaznamum pristupuje. Neco na tema select * fom pak lze velmi snadno zcela znemoznit.
Ano, vyzaduje to praci pri navrhu systemu a tudiz penize.
Kcemupak vam asi tak bude zasifrovana databaze z disku, kdyz nemate pristup ke klicum?
hm, administrator má přístup fyzicky k serverům a tím zároveň k datům, tomu bez šifrování nezabráníš (dat i přenosů). Často se zapomíná na únik informací právě z takových audit logů, které nebývají dobře zabezpečeny, protože se všichni soustředí na primární data.
Zakázat "select *" nic neřeší, tak si ty sloupce vyjmenuje, řešením je ABAC a analýza chování jednotlivých zaměstnanců, stejně tak anonymizování dat či šifrování konkrétních hodnot atd.
Nezapomeň, že ne všichni přistupují k datům přes sql, ale řada přístupů může být přes interní systémy a tam zase musíš řešiš nějakou vrstvu, která zabrání dolovat data.