Právník a ředitel advokátní kanceláře TOMAN & PARTNEŘI Šimon Toman se ve své praxi specializuje na oblast kybernetické bezpečnosti. Odpovědnost za to, že firma odolá útokům podle něj nese vedení společnosti. To by se ve svém přístupu nemělo spoléhat jen na svá IT oddělení, ale zajistit kyberbezpečnost i z organizačního a právního hlediska. I proto nedávno společně s KPMG jeho advokátní kancelář vytvořila službu Cybersecurity compliance.
Oblast kybernetické bezpečnosti začíná být stále častějším tématem. Proč?
Ono je to horké téma už velmi dlouho, ale spíše v odborných kruzích. Široká veřejnost vnímá kybernetickou bezpečnost především přes útoky a incidenty, které jsou v současné době stále častější a medializovanější. S ohledem na to, že se stále více činnosti přesouvá do kyberprostoru, jsou pak negativní dopady špatného zabezpečení drtivější a o to více vzbuzují zájem veřejnosti.
Máte na mysli například kybernetické útoky na nemocnice?
Nejenom. Jde také o nedávno medializované incidenty řady velkých společností, kterým kyberzločinci zašifrovali citlivá data a žádali za jejich zpřístupnění výkupné. Každé médium pak psalo o zranitelnostech postihujících Microsoft Exchange server, jež umožnily útočníkům neoprávněný vstup do elektronické pošty tisícům uživatelů nebo o útoku v USA na společnost Colonial Pipeline, jenž způsobil nedostatky pohonných hmot a byl i pro tak velkou zemi ochromující. Koneckonců i nedávný vrcholný summit amerického a ruského prezidenta měl jako jedno z témat kybernetickou bezpečnost. I přes to je však bohužel mnoho organizací stále snadným terčem i pro ty nejzákladnější kybernetické útoky.
Často se nyní mluví o digitalizaci. Jaký vztah by měla mít digitalizace s kybernetickou bezpečností?
Digitalizace je slovo, které už nemá moc jasný obsah. Chytají se ho hlavně politici, pro které je to synonymum pro „různé hezké moderní věci pro naše voliče“. Pokud dáme slovu „digitalizace“ alespoň nějakou konkrétní podobu, jako třeba „větší závislost organizace na ICT systémech“, pak je jasné, že ruku v ruce s tím musí jít i investice do kybernetické bezpečnosti. Když stavíme dům, také nakonec investujeme do bezpečnostních vstupních dveří s kvalitním zámkem a nenecháme ho otevřený.
Proč se o kyberbezpečnost z pozice právníka vlastně zajímáte?
Už dlouho považuji kybernetickou bezpečnost za jedno z nejdůležitějších témat současnosti s obrovským dosahem do práva i ekonomie. Je to oblast, která mě velmi zajímá a fascinuje v mnoha ohledech. I proto jsem se před několika lety rozhodl v rámci naší advokátní kanceláře na tuto oblast více specializovat. S ohledem na současné dění a počet klientů, kteří se nyní o kybernetickou bezpečnost zajímají, to považuji za dobré rozhodnutí.
Když už zmiňujete vaši kancelář, jak jsou na tom vlastně v oblasti kybernetické bezpečnosti sami právníci?
Bohužel mnoho společností, menších i větších, nemá dostatečně zajištěnou kybernetickou bezpečnost. Je tomu tak i v případě advokátních kanceláří, které s ohledem na citlivost informací, se kterými pracují, mohou být pro útočníky velmi lákavým terčem. Mnohdy je to způsobeno špatným přístupem vedení, které kybernetickou bezpečnost vnímá jako čistě technický problém, skrývající se za dveřmi firemního IT oddělení. Není tomu tak. Kybernetickou bezpečností se chtě nechtě musí aktivně a pravidelně zabývat především nejvyšší vedení každé společnosti.
A jak je na tom z hlediska bezpečnosti vaše kancelář?
Budu zcela upřímný. Ač z technického hlediska dlouhodobě investujeme do našeho zabezpečení nemalé prostředky, z netechnického organizačního hlediska jsme na tom ještě začátkem minulého roku nebyli tak, jak nyní doporučujeme našim klientům. A chyba byla hlavně na mojí straně. Když opakovaně v článcích a rozhovorech říkám, že to není problém skrývající se za dveřmi firemního IT oddělení a musí se tím zabývat vedení společnosti, mluvím z vlastních zkušeností a ponaučení z mého špatného počátečního přístupu.
Nedávno jste v rozhovoru pro deník E15 označil některé hackery za hyeny, mělo to dohru?
Myslím, že si můj komentář někteří vyložili, jako útok na hackery obecně. Není tomu tak. Hacker není ošklivé slovo. Možná bychom ho pro kyberzločince vůbec neměli používat. Mnoho výborných lidí jsou hackeři z povolání a nedělají nic protiprávního, naopak. Že jsou mezi nimi tací, co například útočí na nemocnice, je však smutná realita. A stejně jako bych označil jednání některých advokátů za hyenismus, tak stejně tak za hyenismus označuji jednání těchto útočníků.
Zpět k právu. Jaká je v případě zajištění kybernetické bezpečnosti úloha právníka?
Jak už jsem řekl, zajištění kybernetické bezpečnost je technickou i organizační otázkou. Společnosti si tak najímají právníky, aby jim pomohli vytvořit komplexní systém řízení bezpečnosti informací. Ten zahrnuje zejména právní compliance program, vytvoření relevantních interních předpisů a revizi a úpravu smluv, například se zaměstnanci či s dodavateli technologií a softwaru. V neposlední řadě pak také školení zaměstnanců, bez kterého jsou vytvořené dokumenty jen nevyužité papíry v šanonu.
Takže musí být i právník v této oblasti technicky zdatný?
Osobně si myslím, že to není podmínkou, ale bezesporu výhodou. Měl jsem to štěstí, že jsem v rámci své podnikatelské činnosti založil a několik let společně se svými obchodními partnery vedl společnost zaměřenou na virtuální realitu. Jelikož jsme začínali tak, že jsme všechno provozovali sami, tak jsem se s technologiemi různého druhu pral opravdu každý den. Rozhodně však nejsem žádný technologický expert.
Nedávno jste se spojili se společností KPMG a vytvořili službu Cybersecurity compliance. O co jde?
Je to jedna z mála služeb, která se zabývá doslova všemi aspekty kybernetické bezpečnosti. Technickými, právními i organizačními. Smyslem je na míru každému klientovi zajistit a dlouhodobě udržet vysokou úroveň kybernetické bezpečnosti.
Můžete být konkrétnější?
Prvním krokem je komplexní audit stávajícího systému kyberbezpečnosti dané společnosti. Klíčové pro nás je podrobně poznat fungování procesů v dané společnosti. Tedy nejen to, co je na papíře, ale i to, jak u klienta věci probíhají ve skutečnosti. Stav vyhodnotíme a navrhneme klientovi konkrétní kroky, jak jej lépe zabezpečit. V rámci služby se opravdu zaměřujeme na to, aby námi navržená bezpečnostní opatření fungovala i v praxi. Zde pro příklad uvedu práci se zaměstnanci. Když klientovi vypracujeme relevantní interní předpisy, zaměříme se i na to, aby je zaměstnanci chápali a dlouhodobě dodržovali. Následně pak klientovi poskytujeme dlouhodobou podporu, například formou pravidelného školícího programu „5 minut pro bezpečnost“, který měří, podporuje a kontroluje povědomí o kyberbezpečnosti zaměstnanců a dává zaměstnavateli jedinečnou možnost monitorovat lidský faktor, který je nejzranitelnějším místem bezpečnosti jakékoli organizace.
Co v této oblasti plánujete dál?
Neustále se vzdělávat. To považuji jak v mém případě, tak v případě všech mých kolegů, pohybujících se v takto dynamicky vyvíjející se oblasti, za naprosto zásadní. V blízké době tedy neočekávám návrat oblíbených historických románů do seznamu mé četby. S tím pak jde ruku v ruce i vzdělávání veřejnosti. Například formou našeho pořadu „A co na to advokát?“, kde každý týden publikujeme krátká videa na různá témata, včetně kybernetické bezpečnosti.
