Vlákno názorů k článku
Odpovědnost za únik dat není bezbřehá, řekl soud v případu úniku dat z Mall.cz od Martin - Velmi správné rozhodnutí a konečně ukázání na nesmyslnost...

Velmi správné rozhodnutí a konečně ukázání na nesmyslnost tohoto trestání. V mnoha případech je to pak stejné, jako kdyby mi zloději vykradli trezor a já byl potrestaný za to, že to byl jen trezor v zabezpečeném domě s ostatným drátem okolo a že jsem ho nezalil do betonu 50 metrů pod zem. Chápu, že je snadnější trestat mě, než toho zloděje - ale rozhodně to není správné.

Pokud vám ukradnou vaše věci z vašeho trezoru, je to všem putna a nikdo vás trestat nebude.

Pokud ale ve vašem trezoru jsou věci jiných lidí, za které odpovídáte, pak je jedno, že máte zabezpečený dům s ostnatým drátem okolo, pokud trezor na noc nezamknete. Pak si trest zasloužíte.

Mall měl papírově vše v pořádku, ale data mu unikla a dokonce o tom ani nevěděl. Přesto nenese za nic odpovědnost. To je přece šílené. Jakákoliv firma nyní může tvrdit, že vše měli zabezpečeno, ale vlivem skrytého, neočekávaného, sofistikovaného a cíleného kybernetického útoku o data přišli, ale za nic nemohou a za nic neručí.

Vy píšete o „odemčeném trezoru“, ale já píšu o „zamčeném v zamčené budově obehnané ostnatým drátem“. Jinými slovy chci říct, že pokud firma data zabezpečí a i tak je někdo ukradne, nemůže za to ta firma, ale zloděj a není správné trestat firmu. Neexistuje na světě zabezpečení, které by nešlo prolomit. I kdybych to dal na flešku a zalil do betonu na utajené místo 50 metrů pod zem, tak když někdo vynaloží dostatečné úsilí (třeba bude řezat ruku mojí mámě před mýma očima, dokud neprozradím, kde to je zakopané) a já povolím a řeknu to, oni pak objednají 50 bagrů a ruskou Vágnerovu armádu a vykopou to – já za to mám pak ještě platit pokutu? No to asi ne. Záměrně píšu extrémní případy, protože chci ukázat, že prostě musí existovat hranice, kdy mne nelze trestat. Tedy lze, ÚOOÚ přesně tohle dělá, ale prostě to není - paušálně a ve všech případech - správné. A pokud i tohle právě řekl soud, tak mu jen a jen tleskám.

13. 11. 2021, 07:36 editováno autorem komentáře

pokud trezor na noc nezamknete
Jenže tady právě nikdo nezjišťoval, zda byl trezor na noc zamčený. Ani nezjišťoval, zda tam byl trezor odpovídající hodnotě uložených věcí.

Přesto nenese za nic odpovědnost. To je přece šílené.
Nesmysl, nic takového soud neřekl. Soud to vrátil s tím, že je potřeba zjistit, jakou odpovědnost za to nese.

Jakákoliv firma nyní může tvrdit, že vše měli zabezpečeno
Tvrdit to může, ale ÚOOÚ bude zkoumat, zda to tak bylo doopravdy.

Souhlas, rozhodnutí nepochybně správné. Obecně nelze trestat za to že data unikla, protože pokud na firmu zaútočí nějaká APT, nemá příliš šanci se ubránit a k úniku dojde. Prostě zabezpečit to vůči APT je tak drahé, že to do toho nikdo z komerčního sektoru takové finance nedá. Jen třeba banky na nějaká specifická data, ale Osobní údaje? ;)

Tady by měl ÚOOU požadovat po Mallu nějaké informace ke stavu zabezpečení a logy, pokud je Mall nedodá, protože je nesbíral, tak může dostat tu pokutu už jen za to, že pořádně nelogoval, nevedl evidenci použitých verzí SW apod. Navíc tam měli slabé hash pokud si dobře pomatuji. Tzn. Mall to nezachrání, ale ta pokuta je stejně celkem srandovní myslím že nezatáhne ani náklady toho soudního řízení...

Kdo ukládá logy 4 roky zpět? Pro kritickou informační infrastrukturu platí 1 a půl roku. A i z hlediska ochrany osobních údajů není možné držet logy takto dlouho.

Můj ty Tondo... Vy jste ještě neslyšel o oddělení pro výrobu originálních logů a evidencí?

A co takhle za to, že ti trezor "vykradli," ty sis toho "nevšiml" a pár měsíců poté si klientům tvrdil že máš jejich věci v pořádku schované. Pokud mám věřit, že ti do trezoru lezl někdo cizí, snad ti při tom houkal alarm a reagoval si hned.