facebook LinkedIN LinkedIN - follow
IT SYSTEMS 3/2018 , Veřejný sektor a zdravotnictví

GDPR se dotkne všech – bez výjimky

Dopady nařízení GDPR na veřejný sektor a finance

Zbyněk Malý


ANECTGDPR se dotkne všech sektorů, nicméně podívejme se blíže například na sektory jako je zdravotnictví, veřejný sektor a finance, které jsou na první pohled dost rozdílné, a zkusme najít to, co budou mít naopak společné.


Ve všech těchto odvětvích se zpracovávají osobní údaje, které má každé z nich svým způsobem specifické, nicméně určité shody se zde nalézt dají. Třeba skutečnost, že téměř 90 % všech osobních údajů se nalézá v jednom centrálním informačním systému (nemocniční, popřípadě ambulantní informační systém, informační systém Spisové služby a nějaký Bankovní IS). Tento centrální IS bude muset, z pohledu GDPR a vlastně i z logiky ochrany informací obecně, umět řídit přístupy k jednotlivým modulům tak, aby byla naplněna podmínka, že každý uživatel vidí pouze ty informace, které nutně potřebuje ke své práci. Všechny systémy musí přitom dokázat generovat auditní stopu, tedy informace o tom, kdo a kdy k těmto datům přistupoval a jaké činnosti s těmito daty prováděl. V případě úprav a změn v datech je vhodné nastavit tzv. verzování, tedy zajistit, aby původní informace byla v systému k dispozici, a k ní se přidají jen změny. Vzhledem k tomu, že většinou půjde o ukládání informací, které se musí ze zákona archivovat a ukládat po poměrně dlouhou dobu, nebude nutné řešit právo být zapomenut, což umožní plné verzování těchto informací. Dalším společným jevem bude existence pověřence pro ochranu osobních údajů, a to ve velké většině případů.

Pokud bych měl tyto sektory seřadit podle rizikovosti při zpracování osobních údajů (a jejich ceny např. na black marketu), bude možná pro mnoho z nás překvapení, že nejnižší příčku obsadí finanční sektor. I přes to, že banky a jiné finanční instituce mají přístup k našim účtům a mají přehled o finančních pohybech na účtech, nejsou tyto údaje těmi nejcennějšími, které máme. Na druhé místo bych zařadil informace zpracovávané ve veřejném sektoru. Tyto mohou být daleko citlivější než údaje finanční. Jedná se například o informace zpracovávané v rozsahu sociálních služeb. Informace, které o sobě někteří z nás uvádí v komunikaci s úřady (převážně ve formách žádostí o dotace apod.), jsou totiž mnohdy plné citlivých osobních údajů. Je tedy nadmíru jasné, že ty nejvzácnější údaje pak shromažďuje sektor zdravotnictví, kde musí být otázce bezpečnosti věnována největší pozornost. Pro ilustraci výše zmíněného uvedu pár případů.

Při útoku na bankovní dům a vyčištění několika účtů problémy nastanou, nicméně banky jsou i pro tyto případy dobře pojištěny, tedy je vcelku vysoká pravděpodobnost, že „okradený“ své peníze časem uvidí zpět na svém účtu. V tomto případě se ale může stát i to, že se vaše osobní nacionále z ničeho nic objeví v rejstříku neplatičů a pokud se zrovna zaobíráte vyřizováním hypotéčního úvěru, bylo by jeho získání mnohem složitější. Horší případ nastane, když dojde k přepisu údajů v katastru nemovitostí, nebo přepisu nemovitosti na jinou osobu. V minulosti k těmto situacím již došlo a v mnoha případech byly bohužel nevratné. O záměně chorobopisů např. při operaci raději nechci ani spekulovat, protože by mohly nadělat nevýslovné škody.

Z praxe však můžeme pozorovat, že způsob a úroveň ochrany je nepřímo úměrná rizikovosti zpracování. Nejlépe mají zajištěnu bezpečnost svých informací, a tedy našich osobních údajů finanční instituce. Díky vyhláškám ČNB a v některých případech i díky Zákonu o kybernetické bezpečnosti jsou v bankovních domech specifická oddělení (např. bezpečnost IT), která neodpovídají za běžný provoz síťové infrastruktury a informačních systémů, ale specificky se zabývají bezpečnostním dohledem nad těmito systémy a zajišťují bezpečný provoz v rámci informačních technologií.

Veřejný sektor je na tom o poznání hůř, i když i zde se setkáváme se standardy bezpečnosti. Jedná se například o Zákon o informačních systémech veřejné správy, který nařizuje dodržování určitých bezpečnostních zásad. Implementace bezpečnostních nástrojů, které mohou pružně reagovat na nové a specifické hrozby, je zde však na menší úrovni, neboť veškeré nákupy technologií i služeb se musí provádět formou veřejných výběrových řízení, které jsou, z mého pohledu, často poněkud časově náročnější. Tedy od vyhlášení výběrového řízení až po vlastní implementaci některého bezpečnostního řešení či nástroje uplyne poměrně dlouhá doba a potencionální útočník toho může v mezičase využít a do systémů proniknout. Sektor veřejné správy mnohdy může čerpat na tyto bezpečnostní technologie finance z různých dotačních titulů, nicméně výběrové řízení se v tomto případě ještě více prodlouží, neboť na průběh tohoto řízení dohlíží a vyjadřuje se k němu orgán odpovědný za správné čerpání dané dotace. Velké organizace v rámci tohoto sektoru (např. ministerstva, celky přímo zřizované státem) mají velkou výhodu, a to jak finanční rozpočet, tak i personální obsazenost týkající se provozu IT i v některých případech existence oddělení bezpečnosti IT. Nevýhodou tohoto sektoru je však skutečnost, že zde hrozí odliv odborníků do komerčního sektoru z důvodu lepšího finančního zabezpečení. Veřejná správa má na velkou většinu funkcí definovaná „tabulková místa“, kde jsou v určitém rozmezí definovány a zastropovány i platové podmínky. U menších organizací (města, obce) musí management vycházet z určitého limitovaného rozpočtu a mnohdy může řešit dilema, zda z daného rozpočtu např. opraví několik stovek metrů chodníku, nebo pořídí svému IT „novou hračku“. Ve velké většině případů to ale vyhraje chodník, neboť jde o službu veřejnosti, která je vidět.

Sektor zdravotnictví nejen v ČR je z pohledu bezpečnosti informací „popelkou“ mezi uvedenými sektory. Je to způsobeno především tím, že i zde musí management zdravotnického zařízení řešit podobné otázky jako malé organizace veřejné správy. Na jedné straně poskytnout lepší zdravotnické služby široké veřejnosti, nebo, na straně druhé, tyto finance „utopit“ v IT. Dalším faktem, který rozvoji bezpečnosti IT a tedy ochrany informací včetně osobních údajů v tomto sektoru neprospívá, je to, že management nemocnic vychází ve velké většině z lékařských povolání. Tito logicky daleko lépe znají problematiku nových lékařských zařízení než odbornou problematiku IT a raději pořídí nové zdravotnické pomůcky. Jiným problémovým místem je pak relativně velká vytíženost jednotlivých uživatelů, tedy zdravotnického personálu, u nichž je vzdělávání v oblasti bezpečnosti při využívání výpočetní techniky prakticky nemožné. Navíc, díky výše uvedeným skutečnostem, je ve velké většině případů rozpočet IT nastaven tak, že dostačuje pokrýt pouze běžné provozní náklady a pravidelnou obměnu HW. Na nákup nových bezpečnostních technologií a systémů tak už logicky nezbývají finance.

Na dané sektory bude mít GDPR největší dopad, a to z jednoduchého důvodu. Pokud k nim přidáme ještě informace ze sociálních sítí, jde o odvětví, kde 100 % našich osobních údajů putuje světem výpočetní techniky. Všechny dotčené společnosti proto musí tyto údaje chránit, neboť při jejich narušení hrozí všem zúčastněným určitá újma. Ať už hovoříme o nějakém diskomfortu, dočasnou platební neschopnost nebo katastrofickém scénáři, kdy nás kybernetický útok ohrozí na životě.

Jedním z příkladů narušení při zpracování osobních údajů byl film Síť (The Net) se Sandrou Bullock v hlavní roli. Tento film byl uveden v roce 1995 a popisuje, tehdy s určitými prvky sci-fi, dokonalou ztrátu, popř. převzetí identity. Bohužel, v dnešní době se prvky sci-fi vytrácí a převzetí identity je v určitých rizikových scénářích již možné. Je tedy nutné, aby si veškeré společnosti shromažďující a zpracovávající osobní údaje uvědomily, jaké zlato jim běžní občané zapůjčili, a co by se stalo, kdyby tyto informace unikly, byly pozměněny nebo nebyly v potřebné době k dispozici. Současně apeluji na všechny, aby si vždy předem rozmysleli, jaké údaje o sobě poskytují skrze všechny kanály a zda jsou všechny opravdu nutné. Protože i omluvná informace v e-mailu zpravující ostatní o tom, že nyní čerpáte dovolenou, jste 10 dní mimo domov a vrátíte se v konkrétní den večer, může nadělat pořádné škody.

Zbyněk Malý Zbyněk Malý
Autor článku je Senior Security Consultant společnosti ANECT.
Chcete získat časopis IT Systems s tímto a mnoha dalšími články z oblasti informačních systémů a řízení podnikové informatiky? Objednejte si předplatné nebo konkrétní vydání časopisu IT Systems z našeho archivu.