BRATISLAVA - Mnohé z firiem, ktoré vo svojich počítačoch vedú osobné údaje svojich klientov, stále nemajú vyhovujúci systém počítačovej ochrany dát. Systém, ktorý má zabrániť úniku a zneužitiu informácií, mali mať podľa zákona hotový už pred poldruha rokom. Úrad pre ochranu osobných údajov môže dať meškajúcej firme až desaťmiliónovú pokutu, no podľa šéfa úradu Gyulu Veszeleiho tak ešte nespravil.
Skontrolované mobily
Záujem o bezpečnostné projekty oživili vlani zverejnené informácie o úniku databáz EuroTelu a Orangeu. Údaje s menami klientov, telefónnymi číslami, rodnými číslami i adresami boli nezabezpečené na internete i v CD-verzii. Úrad v oboch firmách spravil previerku informačných systémov. Orange aj Eurotel museli odstrániť nájdené nedostatky. To podľa Veszeleiho splnili. Žiadnu pokutu platiť nemuseli.
Slovak Telecom nikdy previerke nemusel čeliť, hoci podľa zverejnených informácií sa aj v jeho počítačovej sieti preháňali hackeri. Úrad tvrdí, že v tom čase nemal dosť voľných kapacít. Kontrolu v Telecome chcel začať hneď po skončení vyšetrovania u mobilných operátorov, no od tohto zámeru musel upustiť. "Od začiatku roku posudzuje bezpečnosť informačných systémov telekomunikačných firiem Telekomunikačný úrad," vysvetľuje Veszelei.
Zostali malé firmy
Bezpečnostný projekt definuje princípy ochrany osobných údajov a musia ho mať všetky firmy alebo organizácie, ktoré majú počítač s databázou osobných údajov priamo alebo cez firemnú sieť pripojený do internetu. Zo zákona na to dostali pol roka, pričom stanovená lehota uplynula vlani v marci. "Stále existujú firmy, ktoré ani dnes bezpečnostný projekt nemajú," hovorí bezpečnostný expert Branislav Baranovský.
Prvými zákazníkmi dodávateľov bezpečnostných projektov boli veľké firmy. "V súčasnosti už projekty nemajú väčšinou len malé spoločnosti," dodal Baranovský.
Cena za vypracovanie projektu sa pohybuje podľa veľkosti a štruktúry informačného systému od niekoľkých tisíc po niekoľko miliónov korún. Keďže úrad nemusí vypracované bezpečnostné projekty firiem registrovať, Veszelei nevie odhadnúť, koľko organizácií si svoju zákonnú povinnosť dodnes splnilo.
Nedostatok kapacít v úrade neumožňuje podľa Veszeleiho úradu robiť rozsiahle kontrolné akcie. Doteraz vraj nemá naplnený plný stav tridsiatich troch pracovníkov. "Problém je vysoká fluktuácia a závislosť výberu nových ľudí od úradu pre štátnu službu," tvrdí Veszelei.
(dc)
Osobné údaje a bezpečnostý projekt
Osobné údaje:
* údaje, ktoré jednoznačne identifikujú konkrétnu osobu (plné meno a titul, presná adresa trvalého bydliska, rodné číslo, biometrické údaje ako napríklad odtlačok prsta, dlane alebo analýza DNA).
Bezpečnostný projekt:
* vymedzuje technické, organizačné a presonálne opatrenia, ktoré minimalizujú možnosti narušenia bezpečnosti alebo úniku osobných údajov z informačného systému firmy.
Kedy má mať firma projekt
* ak je jej informačný systém pripojený na verejne prístupnú počítačovú sieť (internet), alebo ak funguje v počítačovej sieti, ktorá je na internet pripojená,
* ak sú v jej informačnom systéme spracúvané osobitné kategórie osobných údajov, teda tie, ktoré oddeľujú napríklad rasový alebo etnický pôvod, politické názory, náboženskú vieru, alebo svetonázor, či údaje týkajúce sa zdravia alebo pohlavného života,
* ak jej informačný systém podlieha výnimkám stanoveným v zákone o ochrane osobných údajov.
Bezpečnostný projekt sa skladá:
* z bezpečnostného zámeru, ktorý vymedzuje, ako bude ochrana informačného systému vyzerať,
* z analýzy bezpečnosti informačného systému, teda podrobného rozboru stavu bezpečnosti informačného systému,
* z bezpečnostných smerníc, ktoré v podobe konkrétnych pravidiel spresňujú a aplikujú závery z bezpečnostného projektu.