Význam dat
Data mají a i nadále budou mít nesmírnou hodnotu. Představují osobní data, zdroje dalších informací, základ statistických výpočtů a analýz, s jejich využitím v praktickém životě se setkáváme na každém kroku. Dnešní život už není nastavený na fungování bez elektronických dat. Jakýkoli zásah do nich proto představuje nesmírné riziko. Riziko jejich správné dostupnosti, riziko jejich pozměnění a také riziko jejich zcizení a následného zneužití (vyzrazení). Odborníci tomu říkají dostupnost, integrita a důvěrnost dat.
Legislativní opatření
„Vybrané informační systémy veřejné správy do úrovně krajů jsou regulovány,“ říká Radek Holý z Národního úřadu pro kybernetickou a informační bezpečnost (NÚKIB), „tedy spadají pod náš zákon o kybernetické bezpečnosti.“
Kyberbezpečnost ve veřejné správě v České republice legislativně řeší zákon č.181/2014 Sb., o kybernetické bezpečnosti. Tenupravuje práva a povinnosti osob, včetně pravomoci a působnosti orgánů veřejné moci v oblasti kybernetické bezpečnosti. Hlavním cílem zákona jestanovit základní úroveň bezpečnostních opatření, zlepšit detekci kybernetických bezpečnostních incidentů, zavést jejich hlášení a systém opatření k reakci na ně a upravit činnost dohledových pracovišť.
Od krajů níže je rozhodnutí na jednotlivých subjektech a institucích, jakým způsobem budou svou kybernetickou bezpečnost řešit. „Každopádně ze strany NÚKIB platí jednoznačné doporučení, aby se pro důležité informační systémy inspirovali ve vyhlášce č. 82/2018 Sb., tu musí instituce od krajů výše dodržovat povinně,“ upozorňuje Radek Holý.
Vyhláška č.82/2018 Sb. řeší mimo jiné také bezpečnost lidských zdrojů. Je třeba stanovit plán rozvoje bezpečnostního povědomí, jehož cílem je zajistit odpovídající vzdělávání a zlepšování bezpečnostního povědomí a určení pravidel a postupů pro řešení případů porušení stanovených bezpečnostních pravidel ze strany uživatelů, administrátorů a osob zastávajících bezpečnostní role.
Jak velkou hrozbu představují v zabezpečení dat zaměstnanci
„Stejně jako v každé jiné oblasti, tak i v ochraně dat ve veřejné správě, představují zaměstnanci jisté riziko a nebezpečí při jejich zabezpečení,“ uvádí Dušan Zouhar z Institutu pro veřejnou správu Praha, „S tímto rizikem je nutné počítat a vytvářet taková systémová opatření, aby byla účinná a efektivní a riziko kompromitace dat a informací bylo co nejmenší.“
Nebezpeční z pohledu správy dat u zaměstnanců může hrozit jak v úmyslném či neúmyslném úniku dat, tak například smazáním dat při jejich neodborné manipulaci. „Smazání dat lze předcházet dobře nastavenými oprávněními jednotlivých uživatelů,“ upozorňuje Zuzana Kulmanová, Institut pro veřejnou správu Praha.
Jak se bránit před únikem či zneužitím dat vlastními pracovníky
„Z tohoto pohledu jsou významné dva faktory,“ říká Dušan Zouhar, „Jednak nastavení celého systému a také nastavení dílčích systémů a jednotlivých procesních kroků při práci s daty, a to tak, aby byla data dostatečně chráněna ve všech fázích zpracování a nebylo možné svévolně a nekontrolovatelně s nimi manipulovat.“ Mezi první faktor patří i správné stanovení a řízení korupčních rizik. Taktéž je zcela nutná pravidelná, důsledná a systematická kontrola nastavených procesů při práci s citlivými daty.
„Druhou, z našeho pohledu, nejvýznamnější oblastí, je vlastní práce se zaměstnanci při zajištění dostatečných znalostí a míry odpovědnosti při práci s daty. Celková koncepce v oblasti řízení lidských zdrojů musí počítat se skutečností práce s daty a informacemi,“ doplňuje Dušan Zouhar. Již při výběru zaměstnanců je nutné se zaměřit na pečlivost, loajalitu, zodpovědnost a schopnost uchazeče zachovávat mlčenlivost.
„Klíčovou oblastí u vlastních zaměstnanců je pravidelné proškolování významu ochrany dat, jejich dodržování, nastavených procesních kroků, ale i důsledcích, které mohou vyplynout z porušení ochrany dat,“ objasňuje Dušan Zouhar.
Mezi školení zaměstnanců patří zejména pravidelné interní školení se zaměřením na korupci, jehož cílem je proškolit zaměstnance v protikorupční problematice, školení zaměřené na kybernetickou bezpečnost a proškolení v oblasti ochrany osobních údajů v souvislosti s Nařízením Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a se zákonem č. 110/2019 Sb., o zpracování osobních údajů.
Školení pro zaměstnance veřejné správy
Národní úřad pro kybernetickou a informační bezpečnost ve spolupráci s Úřadem vlády České republiky, Ministerstvem vnitra a Institutem pro veřejnou správu Praha připravil pro zaměstnance veřejné správy eLearningové kurzy. Jedná se o kurz základů kybernetické bezpečnosti - "Dávej kyber"a kurz pro manažery kybernetické bezpečnosti - "Šéfuj kyber". „Na aktuální verzi kurzu máme, při vší skromnosti, velmi pozitivní ohlasy, tedy ho s čistým svědomím doporučujeme,“ uzavírá Radek Holý.
Zdroj: Dušan Zouhar, Zuzana Kulmanová, Institut pro veřejnou správu Praha, Radek Holý (NÚKIB)
Foto: ilustrační/ Pixabay
Komentáře