Aby byl etický hacking zákonný a bezpečný, musí ale organizace i hacker dodržet základní právní požadavky, které si v tomto článku představíme.
Etický hacker se neobejde bez svolení organizace
Etický hacker potřebuje při své činnosti pronikat do systémů, sítí a někdy i do fyzických prostor organizace. Taková činnost může přitom naplnit skutkovou podstatu hned několika trestných činů.
Činnost etického hackera může splňovat definici trestného činu neoprávněného přístupu k počítačovému systému a neoprávněného zásahu do počítačového systému nebo nosiče informací dle § 230 trestního zákoníku. Ke spáchání tohoto trestného činu stačí například úmyslně překonat bezpečnostní opatření a získat neoprávněný přístup k počítačovému systému nebo jeho části nebo data uložená v počítačovém systému neoprávněně užít, smazat nebo jinak poškodit. Což je vlastně často cílem etického hackingu a takto zaměřených bezpečnostních testů.
Při neoprávněném vniknutí do prostor organizace může etický hacker spáchat trestný čin porušování domovní svobody dle § 178 trestního zákoníku.
A pokud by etický hacker například odcizil zaměstnancům organizace počítače, aby doložil chyby ve fyzickém zabezpečení, může spáchat trestný čin krádeže ve smyslu § 205 trestního zákoníku.
Aby ke spáchání trestného činu nedošlo, hacker potřebuje nedříve získat svolení organizace k jednotlivým činnostem. Organizace musí dát hackerovi toto svolení dobrovolně, určitě, vážně, srozumitelně, a vždy předtím, než s pokusem o průnik začne.
Určitost svolení může být v případě hackingu složitější v tom, že hacker nemůže organizaci sdělit všechny své kroky potřebné k tomu, aby slabiny systémů a sítí organizace zjistil. Jednak jde o jeho know-how, jednak by mohl zmařit samotný proces zjišťování slabin. I přesto je vhodné svolení formulovat tak určitě, jak je to jen možné. Vždy alespoň tak, aby svolení pokrývalo činnosti, které jsou jinak zmíněnými trestnými činy.
Bez prokazatelného svolení organizace by etický hacker neměl se svou činností začínat. Jinak se vystavuje riziku až několikaletého trestu odnětí svobody a zákazu činnosti.
Je nezbytné zajistit ochranu osobních údajů
Organizace pravděpodobně umožní etickému hackerovi přistupovat k velké škále osobních údajů. Už samotný přístup k těmto datům je zpracováním osobních údajů ve smyslu GDPR. A proto by organizace i etický hacker měli dodržovat veškerá pravidla, která jim z GDPR vyplývají.
Organizace jako správce osobních údajů musí provádění testů za využití hackera založit na jednom z právních titulů vymezených v čl. 6 GDPR. Zpravidla půjde o právní titul oprávněného zájmu organizace na zajištění bezpečnosti sítí, systémů a uložených dat.
Pokud organizace založí využití hackera na právním titulu oprávněného zájmu, musí provést balanční test a posoudit, zda její zájmy převáží práva a svobody dotčených lidí, k jejichž osobním údajům bude hacker přistupovat (subjektů údajů).
Organizace by si dále měla vyhodnotit, zda bezpečnostní testy za využití etického hackera nepodléhají posouzení vlivu na ochranu osobních údajů (DPIA). K tomu může využít metodiku Úřadu pro ochranu osobních údajů. V DPIA si organizace posoudí nezbytnost a přiměřenost provedení etického hackingu, rizika pro práva a svobody subjektů údajů a určí opatření k zamezení těchto rizik a zabezpečení osobních údajů.
Kdo je správce a kdo zpracovatel osobních údajů?
Organizace a hacker musí také určit, zda bude etický hacker v postavení správce nebo zpracovatele osobních údajů. Výsledek tohoto posouzení záleží na tom, jak si organizace vztah s hackerem nastaví, jak konkrétní mu zadají pokyny a do jaké míry bude hacker sám rozhodovat o tom, proč a jak se budou osobní údaje zpracovávat.
Pokud organizace zadá hackerovi zakázku s konkrétními požadavky na služby, které má hacker provést (např. provedení penetračních testů nové verze mobilní aplikace nebo nově implementovaného online formuláře), bude hacker zpravidla v postavení zpracovatele.
V tomto případě musí organizace s etickým hackerem uzavřít zpracovatelskou smlouvu ve smyslu čl. 28 GDPR. Smlouva musí dodavatele, etického hackera, zavázat k použití mu svěřených osobních údajů pouze k plnění smlouvy s organizací, k jejich adekvátnímu zabezpečení, mlčenlivosti, povinnosti data po skončení zakázky vymazat a také další nezbytné součinnosti s organizací. Zpracovatelskou smlouvu s obdobnými povinnostmi by měl uzavřít také etický hacker se svými dodavateli v postavení dalšího zpracovatele (typicky najatými odborníky nebo poskytovateli software).
Pokud organizace s etickým hackerem nastaví spolupráci tak, že hacker provede v podstatě komplexní bezpečnostní audit dle vlastního návrhu, sám rozhodne o tom, jaké bezpečnostní prvky bude u organizace zkoumat, jak bude do systémů a sítí přistupovat, zda a co bude s osobními údaji provádět, bude hacker pravděpodobně v postavení samostatného správce.
V takovém případě bude mít etický hacker obdobné povinnosti jako organizace. Tedy i on musí stanovit účel a právní důvod zpracování osobních údajů, ke kterým přistoupí nebo které využije pro provedení bezpečnostních testů, posoudit, zda jeho činnosti podléhají DPIA, musí provést balanční test a se svými zpracovateli zpracovatelskou smlouvu. Ve smlouvě o poskytnutí služby je vhodné zavázat hackera dodržováním GDPR, zejména povinností zabezpečení osobních údajů a mlčenlivosti a povinností doložit organizaci dodržování povinností stanovených v GDPR.
Organizace a případně etický hacker v postavení správce dále povinni o zpracování osobních údajů v rámci hackingu informovat dotčené subjekty údajů. Nicméně etický hacking má probíhat důvěrně tak, aby subjekty údajů, zejména zaměstnanci organizace, nenarušily činnost hackera a nezkreslily zjišťování slabin organizace. Z tohoto důvodu mám za to, že by se na etický hacking měla uplatnit výjimka z informační povinnosti dle čl. 14 odst. 5 písm. b) GDPR. Dle ní správce osobních údajů nemusí subjekty údajů o zpracování jejich údajů informovat, pokud by splnění informační povinnosti znemožnilo nebo výrazně ztížilo dosažení cílů zpracování, tedy provedení etického hackingu. Organizace a případně etický hacker v postavení správce by ale měli zvážit, zda není možné informace subjektům údajů poskytnout alespoň dodatečně, po ukončení bezpečnostních testů.
Jakmile etický hacker dokončí svou práci a poskytne organizaci výsledná zjištění a doporučení, měl by smazat veškeré údaje, které již nepotřebuje pro splnění smlouvy s organizací, svou ochranu v případě sporů a k plnění zákonných povinností. Tato povinnost se vztahuje na etické hackery v postavení správce i zpracovatele.
Co zahrnout do smlouvy s etickým hackerem?
Smlouva mezi organizací a etickým hackerem má zejména zajistit ochranu veškerých informací, ke kterým organizace umožní etickému hackerovi přistupovat. Do smlouvy proto doporučuji zahrnout zejména následující ustanovení:
-
Rozsah činností, které může etický hacker provádět, souhlas organizace k těmto činnostem, a případně vymezení činností, které hacker naopak nikdy nesmí provádět.
-
Povinnost etického hackera dokumentovat prováděné činnosti (např. průniky do sítí, odposlech hesel nebo stahování informací) a dokumentaci předložit organizaci na její žádost.
-
Povinnost etického hackera dodržovat právní předpisy, včetně GDPR, a dodržování předpisů organizaci na žádost doložit; pokud je etický hacker zpracovatelem, musí strany uzavřít i zpracovatelskou smlouvu (příp. zpracovatelská ujednání zahrnout přímo do smlouvy o poskytnutí služby hackingu).
-
Závazek hackera používat zjištěné informace pouze k plnění smlouvy s organizací a dohodu smluvních stran na tom, zda a jak budou informovat subjekty údajů o uskutečnění etického hackingu.
-
Povinnost přijmout dostatečná bezpečnostní opatření k ochraně všech informací, ke kterým bude mít hacker přístup a vymezení konkrétních bezpečnostních opatření ve smlouvě nebo její příloze.
-
Povinnost mlčenlivosti etického hackera ohledně všech informací, ke kterým se hacker dostane, bez ohledu na to, jestli jde o osobní údaje nebo informace o organizaci.
-
Povinnost etického hackera po skončení smlouvy veškeré zjištěné informace smazat, pokud je jednoznačně nepotřebuje pro prokázání splnění smlouvy, ochranu svých práv ve sporných situacích nebo k dodržování zákonných povinností.
Organizace dává etickému hackerovi přístup v podstatě ke všem informacím o sobě, svém fungování, IT prostředí, zabezpečení i ke spravovaným osobním údajům. Z tohoto důvodu doporučuji povinnosti etického hackera zajistit smluvní pokutou, která je přiměřená, ale zároveň dostatečně odrazující. Její výše bude záležet na konkrétní situaci, zejména na ceně služby etického hackingu a škodě, která může organizaci vzniknout.