Etický hacking a právo

Etický hacking zahrnuje činnosti, při kterých odborníci kontrolovaně pronikají do počítačových systémů a sítí organizací. Snaží se rozpoznat jejich slabiny a rizika možných kybernetických útoků, a na základě těchto zjištění radí organizacím, jak posílit jejich kyberbezpečnost. Organizace mohou služby etického hackera využít například při bezpečnostních auditech, testování významných změn v IT infrastruktuře atd.  

Aby byl etický hacking zákonný a bezpečný, musí ale organizace i hacker dodržet základní právní požadavky, které si v tomto článku představíme.

Etický hacker se neobejde bez svolení organizace

Etický hacker potřebuje při své činnosti pronikat do systémů, sítí a někdy i do fyzických prostor organizace. Taková činnost může přitom naplnit skutkovou podstatu hned několika trestných činů.

Činnost etického hackera může splňovat definici trestného činu neoprávněného přístupu k počítačovému systému a neoprávněného zásahu do počítačového systému nebo nosiče informací dle § 230 trestního zákoníku. Ke spáchání tohoto trestného činu stačí například úmyslně překonat bezpečnostní opatření a získat neoprávněný přístup k počítačovému systému nebo jeho části nebo data uložená v počítačovém systému neoprávněně užít, smazat nebo jinak poškodit. Což je vlastně často cílem etického hackingu a takto zaměřených bezpečnostních testů.

Při neoprávněném vniknutí do prostor organizace může etický hacker spáchat trestný čin porušování domovní svobody dle § 178 trestního zákoníku.

A pokud by etický hacker například odcizil zaměstnancům organizace počítače, aby doložil chyby ve fyzickém zabezpečení, může spáchat trestný čin krádeže ve smyslu § 205 trestního zákoníku.

Aby ke spáchání trestného činu nedošlo, hacker potřebuje nedříve získat svolení organizace k jednotlivým činnostem. Organizace musí dát hackerovi toto svolení dobrovolně, určitě, vážně, srozumitelně, a vždy předtím, než s pokusem o průnik začne. 

Určitost svolení může být v případě hackingu složitější v tom, že hacker nemůže organizaci sdělit všechny své kroky potřebné k tomu, aby slabiny systémů a sítí organizace zjistil. Jednak jde o jeho know-how, jednak by mohl zmařit samotný proces zjišťování slabin. I přesto je vhodné svolení formulovat tak určitě, jak je to jen možné. Vždy alespoň tak, aby svolení pokrývalo činnosti, které jsou jinak zmíněnými trestnými činy.

Bez prokazatelného svolení organizace by etický hacker neměl se svou činností začínat. Jinak se vystavuje riziku až několikaletého trestu odnětí svobody a zákazu činnosti.

Je nezbytné zajistit ochranu osobních údajů

Organizace pravděpodobně umožní etickému hackerovi přistupovat k velké škále osobních údajů. Už samotný přístup k těmto datům je zpracováním osobních údajů ve smyslu GDPR. A proto by organizace i etický hacker měli dodržovat veškerá pravidla, která jim z GDPR vyplývají.

Organizace jako správce osobních údajů musí provádění testů za využití hackera založit na jednom z právních titulů vymezených v čl. 6 GDPR. Zpravidla půjde o právní titul oprávněného zájmu organizace na zajištění bezpečnosti sítí, systémů a uložených dat.

Pokud organizace založí využití hackera na právním titulu oprávněného zájmu, musí provést balanční test a posoudit, zda její zájmy převáží práva a svobody dotčených lidí, k jejichž osobním údajům bude hacker přistupovat (subjektů údajů).

Organizace by si dále měla vyhodnotit, zda bezpečnostní testy za využití etického hackera nepodléhají posouzení vlivu na ochranu osobních údajů (DPIA). K tomu může využít metodiku Úřadu pro ochranu osobních údajů. V DPIA si organizace posoudí nezbytnost a přiměřenost provedení etického hackingu, rizika pro práva a svobody subjektů údajů a určí opatření k zamezení těchto rizik a zabezpečení osobních údajů.

Co zahrnout do smlouvy s etickým hackerem? Kdo je správcem a kdo zpracovatelem osobních údajů? Pokračování článku naleznete na gdpr.cz.