Ondřej Ševeček

Produktový manažer kurzů oblasti Microsoft servery a systémy Počítačové školy Gopas

Jako uživatel mohu riziko prolomení hesla výrazně ovlivnit. Stačí nedopouštět se triviálních chyb a vytvořit si dostatečně silná hesla pro různé typy přístupů. Nepoužívat je opakovaně u všech loginů a u těch opravdu důležitých využívat dvoufázový přístup, který umožňuje nejen většina systémů pro internetové bankovnictví, ale i řada služeb zábavního charakteru.

V případě, že zjistíme prolomení nějakého hesla, které používáme u více služeb, je třeba rychle reagovat a heslo už nikde dále nepoužívat.

Jedním z nejčastějších příkladů je, že se hacker nabourá do e-mailu, začne komunikovat s přáteli a záludně jménem nic netušícího poškozeného přinutí přítele k převodu peněz na vlastní účet. Příběhů a smyšlených důvodů zná aktuální praxe bezpočet. Ale lidé jsou nepoučitelní, protože se tyto situace neustále opakují. Hacker rozešle takových žádostí větší množství a spoléhá na to, že dříve, než se vše provalí, tak někdo z oslovených peníze na účet převede.

Pak většinou následuje série finančních operací, které peníze uklidí na bezpečné místo. A převody jsou často rychlejší než akce policie a bankovních domů.

Problém s pravidelnou změnou hesel je, že to je nepříjemné pro uživatele, tedy v konečném důsledku kontraproduktivní. Mají pak tendenci poznamenávat si je na viditelná místa apod. Dnes už se proto nedoporučuje ani tak hesla pravidelně měnit, jako spíš mít kvalitní hesla, která se mohou používat dlouhodobě. Bezpečné heslo by mělo být především dlouhé.

Stačí, když vezmete několik slov, dobře zapamatovatelných, a použijete jedno dvě velká písmena, číslo nebo nějaký speciální znak. Takové heslo třeba o dvaceti znacích je v podstatě neprůstřelné.

Největším strašákem GDPR jsou procesy a řízení celé záležitosti. Například už jen v tom případě získávání potřebných souhlasů. Pokud u aktuálně zpracovávaných údajů nebyl dosud souhlas vyjádřen v souladu s GDPR, není možné tyto osobní údaje dále zpracovávat. Správce dat tak v těchto případech bude muset buď všechny osobní údaje, které v tu chvíli má, zahodit, nebo si musí zajistit nové souhlasy.

Tyto kroky tak bude muset provést u mnoha a mnoha v současné době zautomatizovaných firemních procesů. Právní oddělení samozřejmě může vyhodnotit a nahradit konkrétní souhlasy jiným právním titulem, podle kterého se dá zpracovávat bez souhlasu, ale zase se jedná o strašáka, nutnost provádět a platit obecně nákladné analýzy v době, kdy existuje jen minimum vyjádření ze strany úřadů.

Naplnit technické požadavky na GDPR je reálné, protože už dříve byla většina z nich vyžadována stávajícím zákonem 101/2000 Sb. o ochraně osobních údajů. GDPR v tomto implementačním smyslu přináší pouze zpřesnění. Co je skutečným GDPR strašákem jsou procesy a řízení celé záležitosti. Splnění požadavků GDPR výrazně závisí na účinné spolupráci managementu s IT i podnikovými právníky.

Bez účinného řízení není možné bezpečnost udržet. Ale IT musí poskytovat nahoru potřebné informace pro podporu rozhodování a dolů implementaci určených bezpečnostních opatření. V rámci přednášky a následného workshopu si ujasníme a prakticky ukážeme, jak na to.