Máte rádi cookies? Samozřejmě nemáme na mysli sušenky, ale drobné textové soubory s uživatelskými daty. Právě jich se týká nová legislativní úprava § 89 odst. 3 zákona o elektronických komunikacích s platností od 1. 1. 2022.
Podle této novely se na cookies vztahuje nově princip „opt-in“, tzn. že pro shromažďování cookies budete potřebovat aktivní, výslovný a informovaný souhlas uživatele. Provozovatel webu musí rovněž umožnit uživateli souhlas kdykoliv odvolat. Tato omezení se však netýkají technických cookies nutných pro zachování funkčnosti webu.
Dopad novely na různé druhy cookies by se dal stručně vyjádřit takto:
Abyste měli cookies v souladu s platnou legislativou, budete muset upravit stávající cookies lišty (popř. cookie wally). Pozor, podle principu „opt-in“ nesmíte mít checkboxy předem zaškrtnuté! Pokud nabídnete možnost „přijmout všechny“, musíte také nabídnout možnost „odmítnout všechny“. Nezapomeňte, že souhlas musí být dobrovolný! Nemůžete tedy zakázat nebo znemožnit uživateli návštěvu webu, pokud souhlas neudělí.
Dále byste měli vytvořit dokument, kde bude jasně uvedeno, jak cookies zpracováváte. Odkaz na dokument nejlépe vložte přímo do cookies lišty. Do dokumentu nezapomeňte uvést:
Podívej se, jak se na celou problematiku dívá Spolek pro ochranu osobních údajů.
Kybernetická a informační bezpečnost představují komplexní a neustále narůstající problematiku. Její správné pochopení a uchopení v celé šíři je pro jednotlivce nesmírně náročný úkol. I přední specialisté v oboru se obvykle zaměřují pouze na určitý segment. Je proto logické, že vznikají nejrůznější zájmové spolky a organizace, které navzájem sdílí profesní zkušenosti.
Tyto organizace také průběžně rozvíjí své standardy, pravidla a metodiky. Ty pomáhají svým členům při zakládání, rozvoji nebo zlepšování svých bezpečnostních týmů a pro okolí znamenají jistou informaci o úrovni poskytovaných služeb. Mezi nejznámější organizace na poli kybernetické bezpečnosti patří např. evropská ENISA nebo mezinárodní FIRST.
Podobné sdružení vzniklo i pod záštitou 25 českých vysokých škol. Nazývá se CRP-KYBER21 a klade si za cíl zvýšení celkové úrovně kybernetické bezpečnosti na veřejných vysokých školách. Projekt stojí na základních třech pilířích:
Vysoké školy mají určité povinnosti vyplývající ze zákona o kybernetické bezpečnosti a souvisejících vyhlášek. Plnění těchto povinností není jednoduchou záležitostí. Je zapotřebí plné propojení výstupů ze tří výše uvedených pilířů: důkladné porozumění předpisům a úzkou spolupráci odborníků i běžných uživatelů.
Zejména osvěta uživatelů je stěžejním krokem, jelikož naprostá většina bezpečnostních incidentů přímo souvisela s nepozorností nebo nepoučeností koncových uživatelů. Ruku v ruce s nepřipraveností institucí docházelo tak i k mediálně známým incidentům.
Spojenými sílami odborníci napříč zapojenými vysokými školami hodlají nadále analyzovat další bezpečnostní rizika, aktualizovat postupy a navrhovat opatření. Za poslední rok se díky ochotě a nadšení všech zainteresovaných podařilo uskutečnit obrovský kus dobré práce!
Začátkem prosince skončila jedna z největších událostí ve světě kybernetické bezpečnosti. Dvoudenní konference Prague 5G organizovaná NÚKIB a MZV za podpory vlády České republiky, která se věnuje bezpečnosti 5G sítí a EDT (Emerging and Disruptive Technologies).
V rámci konference vystoupilo téměř 70 řečníků z celého světa etablujících se se z veřejného, soukromého, akademického i neziskového sektoru. Promluvili na témata rozdělená do několika tematických panelů. Tím nejdiskutovanějším byla otázka důvěryhodnosti a odolnosti 5G technologií i EDT.
Výstupem konference bylo představení tzv. Pražských návrhů. Jde o dokument týkající se kybernetické bezpečnosti EDT, např. umělá inteligence, kvantová komunikační infrastruktura, Big Data Advanced Analytics, autonomní systémy a Massive Internet of Things. Mezi témata patří zohlednění technických i netechnických rizik, bezpečnosti dodavatelského řetězce, transparentnosti a důvěryhodnosti v kontextu infrastruktury 5G.
Výsledkem konference jsou i tzv. druhé Pražské návrhy, které se týkají diverzity dodavatelů telekomunikací.
Legislativa ohledně bankovního tajemství je vzhledem k šířce problematiky relativně stručná. Bohužel o to více vzniká praktických otázek. Mezi ty nejčastější patří zejména:
I z těchto důvodů vydala Česká národní banka k výše uvedeným otázkám své stanovisko. Přečtěte si jeho stručné shrnutí, včetně řešení dalších nejasností z praxe.
Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB) vydal 10. prosince upozornění na závažnou zranitelnost Apache Log4j s identifikátorem CVE-2021-44228. Ta má potenciální dopad na veškeré aplikace frameworku Apache po celém světě (spadá sem i většina aplikací fungujících na Javě). Všem správcům těchto systémů proto doporučujeme prověřit, jestli jimi provozované aplikace využívají právě Log4j. Pokud ano, bezodkladně aktualizujte na verzi 2.15.0-rc2.
Celkový počet zranitelných systémů se celosvětově vyšplhal k vyšším stovkám milionů. Na základě další eskalace proto vydal o NÚKIB 5 dní později reaktivní opatření. To obsahuje úkony k zabezpečení systému před bezpečnostními incidenty způsobenými uvedenou zranitelností. Opatření obsahuje kromě povinných úkonů i metodické pokyny. Přečtěte si jeho plné znění.
Automatické rozpoznávání obličejů může být dobrý sluha, ale špatný pán. Své by o tom mohli vyprávět nejen obyvatelé Číny a Hongkongu, kde jsou kamery na každém rohu symbolem totalitního sledování. Problém se týká i demokratických zemí, např. Skotska. Devět skotských škol začalo využívat rozpoznávání obličejů žáků za účelem zkrácení front ve školních jídelnách a lepší ochrany proti šíření koronaviru.
V rámci Evropské unie naštěstí platí jiná legislativa než v Asii, a tak byl skotský pokus po krátkém trvání ukončen. Zatím totiž převažují obavy ze systémů masové biometrické identifikace. Právem jsou považovány za vysoce rizikové. Ovlivňují soukromý život osob a vyvolávají pocit neustálého sledování. Přesto podle návrhu Evropské komise existují tři výjimky:
Každé jednotlivé povolení strojového rozpoznání obličeje by mělo podléhat justici či správnímu orgánu.
Šedá je však teorie a zelený strom praxe. Uvedená legislativa zatím nevstoupila v platnost. Systémy rozpoznávání obličejů v reálném čase se běžně používají na evropských mezinárodních letištích, včetně toho pražského. Zde bylo v praxi za poslední roky úspěšně identifikováno cca 200 osob na téměř 9000 falešných identifikací.
Právní základ i plnění zákonných povinností je však diskutabilní i v České republice. Chybí podrobná pravidla nebo legislativní zakotvení a právní úprava pro systémy strojového rozpoznávání obličejů. Doufejme, že Česká republika přijme přísné regulace využívání biometriky s cílem ochránit základní práva svých občanů.