Pokuty za úniky informací: Více škody než užitku?

Mají regulační pokuty za úkol chránit spotřebitele, nebo začínají neoprávněně ovládat bezpečnostní politiku?

Pokuty za úniky informací: Více škody než užitku?


Sankce jsou dnes ukládány napadeným podnikům a zaměstnancům, kteří z různých důvodů porušují bezpečnostní nařízení. Někteří odborníci se ale začínají ptát, zda se tím vlády snaží skutečně zmírnit rizika odcizení osobních údajů nebo zda tak pouze znovu trestají subjekty, které byly postiženy únikem citlivých dat.

Před několika týdny byl řetězec restaurací Briar Group v USA po dohodě s generálním prokurátorem nucen zaplatit 110 000 dolarů pokuty. Finanční vyrovnání bylo vyjednáno poté, co byly restaurace obviněny z nedostatečné ochrany svých klientů – v jejich systému byl totiž nalezen malware shromažďující citlivá data. Restaurace nezměnily přístupové údaje zaměstnanců a pokračovaly v přijímání kreditních karet klientů i poté, co bylo zjištěno narušení systému. Druhým nedostatkem bylo slabé zajištění aplikací pro vzdálený přístup a bezdrátové sítě.

V zásadě tedy nic, co by zasluhovalo potlesk. Experti nicméně tvrdí, že podniky mohou mít nejlepší bezpečnostní technologie, politiku i postupy, a přesto mohou v budoucnu čelit státním zásahům. Mark Rasch, soukromý poradce Computer Science Corporation (CSC), v této souvislosti uvádí: „Cílem databáze zákonů o narušení osobních údajů nebylo primárně stanovení standardů bezpečnosti. Jejich původním smyslem bylo zabránit odcizení identity spotřebitelů, u nichž došlo ke ztrátě osobních dat. Skutečnost je však taková, že i když budete velmi dobře zabezpečeni, může dojít k odcizení dat. Na druhou stranu však nemusí k narušení dojít ani v případě zcela triviálních nebo nulových ochranných prvků.“

Mike Wiltermood, ze společnosti Enloe Medical Center, by s touto tezí souhlasil. Firma Enloe se totiž rozhodla bránit proti pokutě, kterou dostala minulý rok poté, co se ukázalo, že došlo k neautorizovanému přístupu k datům jednoho z pacientů. Enloe se brání tím, že k odhalení tohoto narušení dospěla pomocí vlastního vyšetřování a následného ohlášení příslušným úřadům.

„Enloe jde nad rámec požadavků právních předpisů na ochranu soukromí pacientů, což je důvod, proč jsme byli schopni událost detekovat,“ říká Wiltermood.

„Pokud je smyslem těchto pokut zvýšit počet odhalených úniků, pak se naprosto míjejí účinkem, stejně jako pokud jejich smyslem má být vynucení zvýšení bezpečnosti ochrany dat. Pro ostatní subjekty na trhu z toho totiž plyne jediné ponaučení: skrývat podobné případy, pokud to jen trochu půjde. Když dojde k loupeži v obchodním domě, úřady také nepokutují prodejce,“ dodává Wiltermood.


Vyšlo v CIO Business World 6/2011
Časopis lze koupit se slevou 20 %





Komentáře