Päť krokov k silnejšej ochrane osobných údajov prostredníctvom počítačového systému

Správcovia či spoločenstvá vlastníkov bytov a nebytových priestorov sú povinní zabezpečiť dostatočnú ochranu osobných údajov všetkých vlastníkov bytov a nebytových priestorov. Ako na to?

Súčasné 21. storočie je sotva vo svojej pätine, no už teraz môžeme konštatovať, že nám prinieslo mnoho vymožeností, o akých sa našim predkom ani len nesnívalo. Je to tak najmä z dôvodu nevídaného vedeckého a technologického pokroku, ktorý nám okrem iného priniesol aj rozsiahlu elektronizáciu všetkých dostupných údajov. V minulosti veľmi obľúbené písacie stroje a písomné databázy nahradili vysokovýkonné počítače, ktoré sa postupom času stali súčasťou nášho každodenného života. V súčasnosti sú aj staršie generácie, ktoré počítače z rôznych dôvodov dlhodobo odmietali, nútené zvykať si na technologické vymoženosti 21. storočia, a to nielen v práci, ale aj v bežnom každodennom živote. Výnimkou nie sú ani osoby pôsobiace v správcovských spoločnostiach a spoločenstvách vlastníkov bytov, ktorým práve tento článok môže pomôcť lepšie ochrániť osobné údaje.

Medzi základné povinnosti správcov a spoločenstiev zmysle § 9 ods. 3 zákona č. 182/1993 Z. z. o vlastníctve bytov a nebytových priestorov (ďalej len „zákon o vlastníctve bytov“) patrí práve spracúvanie osobných údajov vlastníkov bytov a nebytových priestorov v dome. Údaje, ako sú meno, priezvisko, rodné číslo, adresa trvalého alebo prechodného pobytu, číslo bytu, telefónne číslo, elektronická adresa či dokonca číslo bankového účtu sa tak dostávajú do dispozície osôb, ktoré sú nie vždy oboznámené s rôznymi nebezpečenstvami, ktoré práve rozsiahla elektronizácia v posledných rokoch priniesla. Nebezpečenstvá sú rôzne a ich taxatívny výpočet by nebolo možné vytvoriť, avšak jednému z nich sa v tomto článku budeme venovať, a tým je práve útok na osobné údaje prostredníctvom počítačového systému. Pýtate sa, prečo by to niekto robil? Z jedného jediného dôvodu, ktorý je ľudstvu prirodzený od vzniku súkromného vlastníctva – na získanie majetkového prospechu.

Zabezpečenie vysokej ochrany databázy osobných údajov však pre správcov nie je len možnosťou, ale aj povinnosťou, ktorá vyplýva z § 39 ods. 3 písmena b) zákona č. 18/2018 Z. z. o ochrane osobných údajov. Uvedená norma ukladá správcom povinnosť zabezpečiť trvalú dôvernosť, integritu, dostupnosť a odolnosť systému spracúvania osobných údajov. Správcovia a spoločenstvá by mali vedieť, akými spôsobmi sa môžu brániť pred útokmi nepovolaných osôb či následným zneužitím osobných údajov. Tento článok opisuje päť základných bodov, ktoré majú za cieľ pomôcť správcom a spoločenstvám chrániť citlivé údaje a urobiť všetko preto, aby sa predišlo ich zneužitiu.

Krok 1 – zvoľte si silné heslá

Užívateľ počítača používa heslo pri prístupe do takmer každého systému, od prihlásenia sa do samotného počítača až po prístup do rôznych databázových programov či na webové stránky. Zvoliť si správne heslo však nie je také jednoduché, ako sa na prvý pohľad môže zdať. Prvým dôležitým krokom pri voľbe hesla je najmä náročnosť jeho uhádnutia nepovolanými osobami. Odporúčame používať také heslo, ktoré obsahuje kombináciu malých a veľkých písmen, číslic a interpunkčných znamienok. Keďže sa toto heslo zvyčajne zadáva každodenne, zapamätať si jedno konkrétne slovo je určite jednoduchšie ako vybaviť si v pamäti spleť písmen, číslic a znamienok. Z uvedeného však logicky vyplýva, že zistiť také heslo je jednoduchšie aj pre osobu nepovolanú oboznamovať sa s osobnými údajmi.

Týmto sa plynule dostávame k ďalšiemu bodu, ktorým je zverejňovanie hesla. Neodporúča sa zapisovať si heslo na papier, prípadne do samotného počítača, keďže môžete takým konaním uľahčiť útočníkom situáciu. Taktiež sa odporúča nepoužívať to isté heslo na prístup do viacerých systémov. Posledným dôležitým bodom je nepoužívať ľahko uhádnuteľné heslá. Dobrým príkladom je použitie názvu spoločnosti/správcu ako hesla, prípadne použitie svojho mena alebo priezviska. Tieto identifikačné znaky bývajú často prvými, ktoré útočníci pri snahe infiltrovať sa do systému skúšajú zadať, pretože mnoho osôb nie je dostatočne opatrných a zvolia si práve takéto ľahko uhádnuteľné heslo.

Krok 2 – používajte antivírusový program

Pomenovanie programu, ktorý infikuje operačný systém a získa prístup k hlbšie uloženým súborom, názvom počítačový vírus je celkom výstižné. Počítačový vírus funguje podobne ako vírus v zmysle pojmu používaného v zdravotníctve. Úlohou vírusu je najmä znfunkčniť ochranné mechanizmy v počítači s cieľom jednoduchšieho prístupu k súborom. Vírusy sa do počítača najčastejšie dostávajú dvoma spôsobmi – sťahovaním nedôveryhodných súborov s koncovkou .exe a navštevovaním nezabezpečených stránok, ktoré pri kliknutí otvárajú veľké množstvo „vyskakovacích okien“.

Súbory s koncovkou .exe patria medzi najčastejšie sa vyskytujúce, pretože ide o „executable file“, v preklade „súbor, ktorý dá príkaz čosi vykonať“. V praxi si to predstavte ako ten súbor, na ktorý keď kliknete, tak sa vám otvorí určitý program. Google Chrome, Microsoft Excel, Adobe Reader – to všetko sú súbory s koncovkou .exe, ktoré bežne používate. Je však potrebné dávať pozor, čo inštalujete. Keď si do svojho počítača nainštalujete zdanlivo neškodný program, ktorý bude bez vášho vedomia zbierať vaše údaje, môže to spôsobiť veľmi nepríjemné následky.

Druhým nebezpečným prvkom, ktorý vám môže spôsobiť nemalé problémy, sú „vyskakovacie okná“. Určite sa vám už niekedy stalo, že ste si chceli otvoriť internetovú stránku, a keď ste niekam klikli, odrazu vám vyskočilo nové okno s reklamou na stávkovú kanceláriu, motivačné video alebo poskytovateľa rôznych služieb. „Vyskakovacie okná“ sú jedným z najrozšírenejších spôsobov zarábania peňazí prostredníctvom internetu, pretože obsahujú reklamy, ktoré by si užívateľ internetu za iných okolností neotvoril. Tieto reklamné stránky sú však často nedôveryhodné a môžu obsahovať škodlivý softvér, ktorý sa tak môže bez vedomia návštevníka dostať do jeho počítača. „Vyskakovacie okná“, ktoré návštevníka bez upozornenia presmerujú na inú webovú stránku, odporúčame ihneď zatvárať.

Z uvedených dôvodov sa odporúča mať v počítači nainštalovaný kvalitný antivírusový softvér, ktorý dokáže vírusy a škodlivé programy včas identifikovať a odstrániť. Medzi najkvalitnejšie platené antivírusové softvéry na trhu patria NOD32, Norton Antivirus alebo McAfee Security. Z voľne dostupných antivírusových softvérov je najpoužívanejší Avast Free Antivirus. Taktiež je veľmi dôležité pravidelne aktualizovať vírusovú databázu, čo môže prispieť k včasnému odhaleniu čerstvo vytvorených vírusov. Väčšina kvalitných antivírusových programov túto funkciu vykonáva automaticky v pravidelných intervaloch.

Krok 3 – dávajte si pozor pri pripojení na internet prostredníctvom wi-fi

Aby mohli správcovia či spoločenstvá viesť databázu osobných údajov, nepotrebujú k tomu prístup na internet, ale ak ho majú, je to pre nich výhodnejšie z viacerých dôvodov. Keďže nie každý vlastník sa môže zúčastniť každej schôdze vlastníkov, v súčasnosti je pre správcov a vlastníkov bytov vhodné a účelné zverejňovať dôležité informácie týkajúce sa správy bytov na internetovej stránke bytového domu, prípadne určitého vchodu. Prístup na internet sa dá zabezpečiť dvoma spôsobmi – buď pripojením k pevnej sieti cez sieťový kábel, alebo prostredníctvom bezdrôtového pripojenia (wi-fi). Ak správcovia a spoločenstvá disponujú počítačom typu desktop, zvyčajne sa môžu pripojiť iba na pevnú sieť cez sieťový kábel, zatiaľ čo ak vlastnia laptop, pripojiť sa môžu aj bezdrôtovo, a to na ktorúkoľvek otvorenú či dokonca aj zaheslovanú wi-fi sieť v ktorejkoľvek kaviarni či na inom dostupnom mieste. Pripojiť sa s laptopom na otvorenú wi-fi sieť však predstavuje aj vyšší stupeň nebezpečenstva, a to najmä z dôvodu, že na rovnakej sieti môže byť pripojený neurčitý počet osôb, ktoré môžu vidieť vaše operácie a následne zaútočiť na vašu databázu. Preto ak si správca nie je istý, že sieť je bezpečná, radšej by sa mal pripojeniu na nezabezpečenú sieť vyhnúť.

Krok 4 – využívajte pseudonymizáciu a šifrovanie

Pseudonymizácia je nový pojem, ktorý do nášho právneho poriadku priniesol novelizovaný zákon o ochrane osobných údajov. V skratke by sa pojem „pseudonym“ dal definovať ako krycie meno/číslo. V praxi by pseudonymizáciu mohol správca využiť nahradením niektorých osobných údajov vlastníkov bytov, ako sú meno a priezvisko, bezvýznamným identifikátorom, napríklad číslom, podľa ktorého nemožno identifikovať vlastníkov bez nahliadnutia do separátnej databázy. V separátnej databáze si následne priradí čísla ku konkrétnym menám a priezviskám. Bez prístupu do oboch databáz tak nie je možné priradiť konkrétne údaje konkrétnej osobe. Ak sa aj útočníkovi podarí získať prístup do jednej z databáz, nebude mu to veľmi platné, pretože namiesto mena a priezviska uvidí iba číslo a k nemu priradené zostávajúce osobné údaje. Na druhej strane, ak sa mu podarí získať prístup len do separátnej databázy, všetko, čo zbadá, bude spleť čísiel a k nim priradené mená a priezviská, bez ostatných osobných údajov. Používaním pseudonymov je možné výrazne znížiť riziko útoku na osobné údaje.

V praxi je šifrovanie značne komplikované, ale na účely dôkladnej ochrany osobných údajov predstavuje priam ideálne riešenie. Šifrovanie vám ako veľmi účinný nástroj ochrany osobných údajov odporúčame využívať najmä v prípadoch, keď nechcete, aby sa o obsahu vašich e-mailových správ dozvedeli iné osoby ako príjemca. Už v období druhej svetovej vojny vymysleli Nemci prístroj, ktorý šifroval správy tak, aby sa nepriatelia nedozvedeli o ich obsahu bez správneho kľúča. Tento prístroj nazvali Enigma a v súčasnosti ho možno nazvať predchodcom moderných počítačových šifrovacích systémov. Jednoduchšie však bude pochopiť princíp šifrovania na modelovom príklade. Predstavte si, že chcete odoslať dôležitý e-mail inému správcovi. Použijete na to program, ktorého účelom je šifrovanie správ. Napríklad Microsoft Outlook má svoj vlastný šifrovací program s názvom S/MIME.

Tento program pri šifrovaní vytvorí akýsi „kľúč“, pozostávajúci z množstva konkrétnych znakov (napr. a5d8G6g_oä§64GsA6gb.S78,-feF6), ktorý môže odomknúť iba príjemca. Ak príjemca disponuje rovnakým systémom ako odosielateľ, zobrazí sa mu tento kľúč, ktorým následne zašifrovaný súbor odomkne. Ak kľúč nevlastní, súbor sa mu nezobrazí. Podrobný návod, ako šifrovať správy v Outlooku, nájdete na internete, prípadne si môžete nechať poradiť od odborníka na informačné technológie. Asi nemusím podotýkať, že čím je kľúč dlhší, tým je náročnejšie šifru prelomiť. Kedysi sa používali len niekoľkoznakové šifry, ktoré bolo možné prelomiť aj hrubou silou, tzn. použitím všetkých dostupných kombinácii. Pri súčasných 128-bitových šifrách to však nie je možné, keďže matematickým vyjadrením by zistenie správnej kombinácie jednému človeku skúšaním všetkých rôznych kombinácií mohlo trvať aj miliardy rokov.

Krok 5 – neoprávnený prístup do databázy bezodkladne oznámte

Ak by aj všetky preventívne kroky zlyhali, nemusíte ešte zúfať nad tým, že si niekto na vaše meno vezme pôžičku, prípadne inak zneužije vaše osobné údaje. Stále máte možnosť čo najrýchlejšie oznámiť krádež osobných údajov polícii a iným inštitúciám, ako sú napríklad banky, ktoré sa postarajú, aby osobné údaje neboli naďalej zneužívané, napríklad zablokovaním vašich účtov, aby sa nepovolané osoby nemohli dostať k prostriedkom na nich. Dôležité je konať bezodkladne po tom, ako sa o takomto zneužití, respektíve neoprávnenom vniknutí do databázy dozviete. Niektoré spoločnosti, ako napríklad Google – prevádzkovateľ populárneho G-mailu, vedú záznamy o každom prístupe z akéhokoľvek zariadenia do vášho konta. A

k niekde zbadáte podozrivú adresu, z ktorej ste sa vy do databázy neprihlasovali, okamžite nahláste neoprávnené vniknutie príslušnému subjektu. Môžete tým predísť závažnejším škodám. Rýchlym konaním môžete tiež docieliť, že páchateľ bude náležite potrestaný, pretože neoprávnený prístup do počítačového systému a s ním súvisiace konanie sú v zmysle § 247 a nasledujúcich Trestného zákona trestnými činmi. Aby sme si na záver zhrnuli to, čo sme si v predchádzajúcich riadkoch povedali, vedenie databázy osobných údajov v počítačovom systéme je ako každá iná činnosť spojená s určitými rizikami. Dodržiavanie uvedených krokov vám však môže pomôcť znížiť riziko neoprávneného vniknutia do databázy a následného zneužitia osobných údajov na minimum, preto ochranu pred útokmi odporúčame nepodceňovať.


Mgr. Tomáš Baran

Mgr. Tomáš Baran

Interný právnik Združenia pre lepšiu správu bytových domov, občianskeho združenia zriadeného s cieľom pomôcť bytovým družstvám, podnikom, správcom, spoločenstvám vlastníkov bytov, podnikateľským subjektom, ale aj samotným vlastníkom bytov s efektívnou, kvalitnou a bezproblémovou správou najmä po stránke ekonomickej, právnej a spoločenskej.

Text: Mgr. Tomáš Baran, Združenie pre lepšiu správu bytových domov
Foto: isifa/Shutterstock, Združenie pre lepšiu správu bytových domov

 

KategórieSpráva budov