Kybernetický útok vie úplne zastaviť chod firmy

A cena incidentu nie je len ušlá tržba a strata dát. K tomu sa môžu pridať poplatky za incident response a právne služby. K tomu môžu prísť pokuty a zmluvné sankcie, náklady na obnovu a v horšom prípade aj strata dôvery, odchod zákazníkov a poškodenie reputácie.

Mýtus o drahej kyberbezpečnosti vzniká aj preto, že je automaticky spájaná najmä s nákupom technológií. Ak si firma predstaví bezpečnosť ako veľa nových licencií, bezpečnostných zariadení, veľký projekt, je pochopiteľné, že sa jej to začne javiť ako neúmerný výdavok. Kyberbezpečnosť v praxi nie je len o technológiách.

Kyberbezpečnosť je predovšetkým o riadení rizika. O tom, aby firma vedela, čo chráni, pred čím sa chráni, aké má slabé miesta a čo sa stane, ak niektoré veci zlyhajú. A tu je dobre začať. Identifikovať čo je potrebné chrániť a prijať jednoduché a často lacné opatrenia, ktoré odradia priemerných útočníkov.

V kyberbezpečnosti navyše najdrahšie riešenie automaticky nebýva najlepšou voľbou. Často má najväčší prínos dobre zvládnutý základ. Mnohé firmy majú tendenciu uvažovať opačne, tým, že hľadajú pokročilé riešenia, ale pritom chýba analýza rizík, na základe ktorej by sa systematicky zavádzali opatrenia. A tým celkovo výrazne znížiť výdavky. Tým sa zaručí, že výdavky idú na opatrenia, ktoré majú čo najväčší efekt.

Aj pri malej až stredne veľkej firme pritom môže relatívne malá investícia priniesť výrazný posun

Pri obrate 5 miliónov eur, už 0,5 % , tzn. 25 000 eur, ktorá má zásadný vplyv na kyber bezpečnosť. Nie je suma, za ktorú sa dá vyriešiť všetko, ale je to suma, za ktorú sa už dá nastaviť veľa dôležitých opatrení. Dá sa spraviť analýza rizík a zaviesť opatrenia tam, kde sú riziká najkritickejšie. Inými slovami, aj bez zásadných investícií sa dá výrazne znížiť pravdepodobnosť incidentu a jeho prípadný dopad.

Niektoré z najdôležitejších bezpečnostných opatrení pritom ani nie sú drahé. Len vyžadujú systém a poriadok. Dôslene evidovať zariadenia a účty, systematické riadenie prístupov, adekvátne nastavenie existujúcich zariadení, základná segmentácia siete, kontrola výnimiek, robiť onboarding a offboarding systematicky, nenechávať rozhodnutia na improvizáciu. To všetko nie sú témy, ktoré pôsobia atraktívne, no práve v nich býva veľká časť reálnej odolnosti firmy. Bezpečnosť veľmi často nestojí veľa peňazí, ale vyžaduje disciplínu a dôslednosť. V takom prostredí nepomôže ani drahý nástroj, ak chýba disciplína a základná prevádzková hygiena.

Otázka teda nie je, či je kybernetická bezpečnosť drahá. Otázka je, či si firma môže dovoliť nemať ju nastavenú adekvátne k rizikám. Nie preto, že by mala ambíciu byť „dokonale zabezpečená“, ale preto, že chce fungovať spoľahlivo, chrániť svoju prevádzku, svojich klientov aj vlastnú reputáciu.

Kyberbezpečnosť nie je luxusný doplnok. Je to súčasť zodpovedného riadenia firmy.

The post Vyvracanie mýtov: Naozaj je kybernetická bezpečnosť drahá? appeared first on Avris Consulting.

Adopcia AI v organizáciách rastie extrémne rýchlo a bezpečnostné tímy často nestíhajú reagovať rovnakým tempom.

Umelá inteligencia mení spôsob, akým firmy pracujú s dátami. Ešte pred pár rokmi bola AI v kybernetickej bezpečnosti vnímaná najmä ako obranný nástroj – pomáhala analyzovať hrozby, detegovať anomálie alebo automatizovať bezpečnostné operácie.

Dnes sa situácia mení. S nástupom generatívnej AI a takzvaných agentic aplikácií, ktoré dokážu autonómne pracovať s viacerými systémami a dátovými zdrojmi, vzniká nový typ rizika. AI totiž potrebuje prístup k veľkému množstvu dát – a práve tento prístup môže vytvoriť nové slabé miesta.

Pre bezpečnostné tímy to znamená zásadnú zmenu: AI už nie je len nástroj, ktorý chráni systémy. Môže sa stať aj novým insider threatom.

AI dramaticky zrýchľuje kybernetické útoky

Podľa aktuálnych prieskumov už 30 % organizácií vytvorilo samostatný rozpočet na AI security, čo je výrazný nárast oproti minulým rokom. Zároveň však 70 % organizácií považuje práve rýchlosť vývoja AI za najväčšie bezpečnostné riziko.

Nie je to prekvapujúce. AI dnes dokáže automatizovať činnosti, ktoré boli kedysi časovo náročné:

• generovanie presvedčivých phishingových správ
• tvorbu škodlivého kódu
• automatizované sociálne inžinierstvo
• masové šírenie dezinformácií

Výsledkom je, že 61 % organizácií už zaznamenalo útoky zamerané priamo na AI aplikácie. Zároveň 59 % firiem hlási deepfake útoky a takmer polovica organizácií už utrpela reputačné škody spôsobené AI generovanými dezinformáciami.

Cloud je stále najčastejším cieľom

Aj napriek novým technológiám zostáva základná dynamika útokov podobná – útočníci sa sústreďujú tam, kde sa nachádzajú dáta.

V súčasnosti sú to najmä cloudové prostredia. Najčastejšie cieľové oblasti sú:

• cloud storage
• cloudové aplikácie
• cloud management infraštruktúra

Zároveň až 67 % organizácií zaznamenáva rast krádeží prihlasovacích údajov.

Práve kompromitované identity dnes predstavujú najčastejší spôsob, ako sa útočníci dostávajú do interných systémov. Situáciu komplikuje aj stav ochrany dát v cloude. Priemerne je viac ako polovica cloudových dát citlivých, no iba približne 47 % z nich je šifrovaných. Ešte väčším problémom je, že viac než polovica organizácií necháva správu kryptografických kľúčov na cloud providerovi. V praxi to znamená, že organizácie strácajú plnú kontrolu nad ochranou svojich dát.

Viac nástrojov neznamená vyššiu bezpečnosť

Keď organizácie čelia novým hrozbám, často reagujú nákupom ďalších bezpečnostných riešení. Výsledkom je však čoraz komplexnejší bezpečnostný ekosystém. Dnes má 77 % organizácií päť alebo viac nástrojov na ochranu dát a priemerne používajú až sedem rôznych bezpečnostných riešení. Problém je, že komplexita často vytvára nové riziká. Len 39 % organizácií si je istých, že plne rozumejú svojmu bezpečnostnému stacku. Čím viac nástrojov pribúda, tým väčšia je pravdepodobnosť chýb v konfigurácii, slabšej viditeľnosti nad dátami alebo pomalšej reakcie na incidenty.

Nie je preto prekvapením, že takmer tretina bezpečnostných incidentov vzniká v dôsledku ľudskej chyby.

Perimeter už nie je sieť. Je to identita.

Tradičný bezpečnostný model bol založený na ochrane siete. Ak bola sieť zabezpečená, organizácia mala pocit, že jej systémy sú chránené.Dnes tento model prestáva fungovať. Cloudové služby, vzdialená práca a AI integrácie znamenajú, že klasická sieťová hranica prakticky neexistuje. Preto sa bezpečnosť presúva k identite.

Až 52 % organizácií dnes označuje identity and access management za najkritickejšiu bezpečnostnú disciplínu.

Útočníci to veľmi dobre vedia. Preto sa čoraz viac zameriavajú na:

• kompromitáciu prihlasovacích údajov
• zneužívanie slabých implementácií MFA
• manipuláciu s identity dátami

Ak útočník získa identitu používateľa, často získava prístup aj k systémom, aplikáciám a dátam.

Kvantové riziko prestáva byť vzdialenou budúcnosťou

Popri AI sa začína objavovať aj ďalšia technologická výzva – kvantové počítače. Bezpečnostní experti čoraz častejšie upozorňujú na scenár známy ako „harvest now, decrypt later“. Útočníci môžu dnes zbierať šifrované dáta s tým, že ich v budúcnosti dešifrujú pomocou kvantových technológií. Až 61 % organizácií považuje tento scenár za najväčšie kvantové riziko a takmer 60 % už testuje post-quantum kryptografiu. To znamená, že organizácie začínajú uvažovať o ochrane dát v horizonte desiatok rokov, nie len aktuálnych hrozieb.

Kontrola nad dátami sa stáva strategickou témou

V prostredí AI, cloudu a globálnych regulácií získava čoraz väčší význam aj data sovereignty – teda schopnosť organizácie kontrolovať, kde sa jej dáta nachádzajú a kto k nim má prístup.

Mnohé firmy preto menia svoju architektúru:

• viac ako polovica refaktoruje aplikácie, aby mala lepšiu kontrolu nad dátami
• časť organizácií presúva dáta do suverénnych regiónov
• rastie dôraz na silné šifrovanie a správu kryptografických kľúčov

Zároveň však AI aplikácie prepájajú viacero systémov naraz, čo tradičné hranice dátovej rezidencie ešte viac komplikuje.

Najväčší problém: organizácie nepoznajú svoje dáta

Napriek technologickému pokroku zostáva základná slabina prekvapivo jednoduchá. Mnohé organizácie nevedia presne, kde sa ich dáta nachádzajú. Podľa dostupných údajov má len približne tretina organizácií plný prehľad o umiestnení svojich dát. Ak organizácia nevie, kde sa jej citlivé dáta nachádzajú, je prakticky nemožné efektívne riadiť ich ochranu.

Čo by mali organizácie robiť teraz

Z pohľadu moderného data security sa ukazuje niekoľko jasných priorít:

• identifikácia a klasifikácia dát
• šifrovanie citlivých informácií
• externá správa kryptografických kľúčov
• zjednodušenie bezpečnostného stacku
• dôraz na identity-centric security
• príprava na post-quantum kryptografiu
• silná data governance pre AI aplikácie

Bez týchto základov sa AI môže veľmi rýchlo stať ďalším zdrojom bezpečnostného rizika. Firmy dnes neprehrávajú preto, že nemajú bezpečnostné nástroje. Prehrávajú preto, že nemajú dostatočnú kontrolu nad svojimi dátami v prostredí, kde AI dramaticky zvyšuje rýchlosť aj rozsah kybernetických útokov. A práve kontrola nad dátami sa stáva jednou z najdôležitejších bezpečnostných tém nasledujúcich rokov.

The post AI sa stáva novým insider threat appeared first on Avris Consulting.

Cieľom automatizovaných útokov je zistiť z internetu dostupné služby a ich nastavenia s cieľom potenciálneho prieniku do vnútra organizácie. S cieľom prechádzať takýmto útokom je vhodné čo najviac zabezpečiť verejne dostupné služby, teda systémy a rozhrania dostupné z verejného internetu.

Test zraniteľností je proces skenovania a analýzy systému, siete alebo aplikácie s cieľom identifikovať potenciálne zraniteľnosti a bezpečnostné riziká. Tieto zraniteľnosti by sa dali zneužiť útočníkmi na získanie neoprávneného prístupu k systému, krádež dát alebo by mohli narušiť prevádzku organizácie.

Test zraniteľností je kľúčový, ak chceme začať riešiť bezpečnosť IT infraštruktúry organizácie. Aj incidenty v SR ukazujú, že je potrebné sa pravidelne venovať tomu, čo je otvorené na perimetri, preverovať, či sú služby dostupné z internetu adekvátne chránené, aktualizované a najmä či je prístup z internetu k týmto službám skutočne potrebný.

S cieľom reagovať na potreby klientov v oblasti ochrany perimetra ponúkame realizáciu testu zraniteľností verejných služieb Vašej organizácie, kedy sa sústredíme na nasledovné aspekty:

• Verejné IP adresy a na nich bežiace služby
• Webové sídlo organizácie a prípadné aplikácie/informačné systémy prístupné verejnosti (ich verejná časť prístupná bez autentifikácie)
• Mailové služby, mechanizmy falšovania mena Vašej organizácie podvodnými emailmi
• VPN prístup (ak máte zriadený)
• Bezpečnosť doménového mena (názvu „adresy“ Vašej organizácie na internete)
• Verejne dostupné informácie o Vašej organizácií odhaľujúce určité technické slabiny

Čo všetko sa o mne útočník dozvie bez toho aby sa ku mne dostal?

Test zraniteľností Vám dá odpovede predovšetkým na tieto otázky:

1. Čo všetko môže potenciálny záškodník zistiť o Vašej spoločnosti „z vonku“ (z internetu)?
2. Aká je úroveň zabezpečenia verejných služieb – spravidla verejné IP adresy, VPN prístup, emailová komunikácia – čo všetko organizácie skryto vystavujú na internete a častokrát o tom netušia?
3. Čo by sme mali spraviť pre zlepšenie úrovne bezpečnosti?

Ďalším krokom po jednorazovom vykonaní testu zraniteľností je jeho pravidelné, ideálne automatizované opakovanie v stanovenom intervale (závisí od konkrétnej organizácie). Pre klientov poskytujeme riešenia vo forme rozličných technológií, napr. značky FORTINET, ktorá má v portfóliu celú škálu vhodných nástrojov. Nesmie sa zabúdať ani na interné siete organizácie, perimeter je iba základom a časťou, ktorou sa treba zaoberať ako prvou.

Preveriť zraniteľnosti verejne dostupných služieb si môžete spočiatku svojpomocne, skrz online nástroje ako je SHODAN. SHODAN je internetový vyhľadávač, podobne ako Google, ale vyhľadáva služby dostupné na doménových menách a IP adresách. Ak má Vaša organizácia pridelenú verejnú IP adresu, je vhodné raz za čas, najmä pri významných zmenách či poruchách v sieti, overiť, aké otvorené porty sú verejne dostupné z internetu a aké služby na nich počúvajú. Ak je ľavá strana obrazovky „čistá“, môžete byť kľudnejší, SHODAN nenašiel známe zraniteľnosti (čo však neznamená, že je všetko 100% v poriadku, nakoľko tento nástroj má ako každý iný nástroj orientačný charakter). Ak je ľavá strana obrazovky zaplnená poznámkami o zraniteľnostiach a ich farebným či číselným ohodnotením (čísla približujúce sa k 10 znamenajú takmer istotu prieniku útočníka), je potrebné ihneď konať a zraniteľnosti odstrániť, príp. ak to nie je možné, zraniteľné porty z internetu zavrieť.

Aj vlaňajší útok kataster  SR bol podľa expertov dokonaný z príčiny, že kataster bol „deravý“. Analýzy odborníkov potvrdili, že útočník mal mnoho ciest, resp. zraniteľností, cez ktoré tam mohol preniknúť (link na článok nižšie). Preto je dôležité monitorovať, aké zraniteľnosti sa nachádzajú na hranici siete. Ako manažéri kybernetickej bezpečnosti používame nástroj SHODAN na základné zorientovanie toho, čo má organizácia dostupné z internetu a nedostatky hlásime ihneď prevádzkovateľovi základnej služby.

Dôležité!

SHODAN je relevantný iba v prípade ak má Vaša organizácia verejnú IP adresu a služby dostupné z vonkajšej siete. Nedá sa prostredníctvom neho testovať zraniteľnosť a už vôbec nie preveriť stav zabezpečenia internej siete. Pre tento účel sú vytvorené osobitné nástroje a postupy, pomocou ktorých je možné podrobnejšie preveriť zraniteľnosti v internej sieti, ktoré sú rovnako dôležité ako zraniteľnosti dostupné z internetu. Môže sa napr. hosť z WiFi dostať do Vášho interného firemného systému či na zálohovací server?

Na základe testu zraniteľností môžu Vaše zodpovedné útvary za IT a bezpečnosť vykonať opatrenia, prípadne môžete využiť nami poskytované technické konzultácie, kedy skúsení experti spracujú postupy ako zraniteľnosti eliminovať.

Hľadáte partnera pre test zraniteľností? Nezabudnite na dôležité zásady:

• Test zraniteľností verejných služieb by sa mal vykonávať pravidelne, napr. raz za rok alebo po zmene používaných systémov a technológií
• Po zistení zraniteľností je potrebné čím skôr opraviť zistené nedostatky
• Pri vykonávaní testu zraniteľností je dôležité postupovať odborne, systematicky a využívať overené programy a postupy pre prácu
• Odporúčame spolupracovať s odborníkmi na kybernetickú bezpečnosť, ktorí Vám pomôžu s interpretáciou výsledkov tak aby poskytli návody pre Vašich IT špecialistov, ktorí budú nedostatky odstraňovať

Literatúra:

• https://sprinto.com/blog/iso-27001-vulnerability-management/
• https://www.blazeinfosec.com/post/iso-27001-pentest-requirements/
• https://www.cisecurity.org/-/media/project/cisecurity/cisecurity/data/media/files/uploads/2020/06/Vulnerability-Scanning-Standard.docx
• https://help.fortinet.com/fweb/582/Content/FortiWeb/fortiweb-admin/vulnerability_scans.htm
• https://zive.aktuality.sk/clanok/ii1LlXN/kataster-bol-deravy-ako-reseto-nasiel-som-tam-totalne-chyby-hovori-odbornik/

The post Test zraniteľnosti: Čo všetko sa útočník dozvie? appeared first on Avris Consulting.

The post Priamy marketing po novele zákona o elektronických komunikáciách appeared first on Avris Consulting.

Biometrické dochádzkové systémy (odtlačok prsta, sken dlane či tváre) sľubujú spoľahlivú evidenciu dochádzky, či bezchybnú kontrolu vstupu do určitých priestorov. Z pohľadu práva však ide o jednu z najcitlivejších foriem spracúvania osobných údajov. Nižšie v texte nájdete zrozumiteľné vysvetlenie právnej regulácie a oficiálnych usmernení v tejto oblasti.

Vedenie dochádzky podľa Zákonníka práce

Zamestnávateľ musí viesť evidenciu pracovného času, t. j. začiatok a koniec úseku, keď zamestnanec pracoval alebo mal pracovnú pohotovosť. Zákonník práce však nepredpisuje formu, v akej má zamestnávateľ túto evidenciu viesť (papier, čipová karta, aplikácia atď.). Z tejto zákonnej povinnosti preto nevyplýva, že by zamestnávateľ musel alebo mohol používať odtlačky prstov len preto, aby splnil svoje povinnosti podľa § 99 Zákonníka práce.

Biometria podľa GDPR

Podľa GDPR patria biometrické údaje (napr. daktyloskopické údaje – odtlačky prstov) medzi osobitné kategórie osobných údajov. Ich spracúvanie je v zásade zakázané, pokiaľ sa neopriete o výnimku z článku 9 ods. 2 GDPR (napr. výslovný súhlas dotknutej osoby, osobitný zákon vo verejnom záujme atď.). Navyše, biometrické údaje GDPR definuje ako údaje, ktoré umožňujú alebo potvrdzujú jednoznačnú identifikáciu osoby vďaka špecifickému technickému spracovaniu (typicky práve snímač odtlačku).

Súhlas zamestnanca? Pozor na nerovnováhu moci!

V pracovnom vzťahu je zamestnávateľ v silnejšej pozícii, preto súhlas zamestnanca často nie je „slobodný“ a nebýva platným právnym základom. Európsky výbor pre ochranu údajov (EDPB) v oficiálnych pokynoch zdôrazňuje, že pri nerovnováhe moci (ako je typicky v pracovných vzťahoch) je súhlas spravidla nevhodným právnym základom, t. j. zamestnanec sa reálne nemusí cítiť slobodne, aby mohol takýto súhlas odmietnuť bez následkov. Rovnaký záver uvádza aj staršia, no dodnes rešpektovaná Opinion 2/2017 (WP29) k spracúvaniu údajov v práci.

Iný právny základ?

Aj keby zamestnávateľ vedel odôvodniť oprávnený záujem (čl. 6 ods. 1 písm. f GDPR), napríklad prevenciu podvodov pri dochádzke, pri biometrii to nestačí. Pri osobitných kategóriách údajov musíte popri právnom základe z čl. 6 GDPR splniť aj jednu z výnimiek podľa čl. 9 ods. 2 GDPR. V praxi sa preto zamestnávateľ bez osobitného zákonného oprávnenia alebo platného výslovného súhlasu (ktorý je v zamestnaní problematický) dostane do slepej uličky.

Postoj dozorného orgánu: povinná DPIA a dôkaz „nevyhnutnosti“

Úrad na ochranu osobných údajov SR výslovne uvádza, že spracúvanie biometrických údajov na účely individuálnej identifikácie patrí medzi operácie, pri ktorých je povinné posúdenie vplyvu na ochranu údajov (DPIA). Už len táto povinnosť naznačuje, že ide o vysokorizikové spracúvanie, ktoré treba vedieť presvedčivo odôvodniť nevyhnutnosťou a primeranosťou oproti menej invazívnym alternatívam.

Úrad vo svojich výročných správach zároveň dlhodobo uvádza, že sa kontrolám evidencie dochádzky venuje, t. j. posudzuje zákonnosť, bezpečnostné opatrenia a dodržiavanie zásad GDPR u prevádzkovateľov.

Kedy by mohla biometrická dochádzka obstáť?

Aby bolo možné biometrickú dochádzku obhájiť, museli by ste preukázať reálnu nevyhnutnosť (nie iba prevenciu pred podvodmi zamestnancov), absenciu menej invazívnych riešení (napr. prečo nemôžete využívať čipové karty) a zároveň spadať pod konkrétnu výnimku podľa čl. 9 ods. 2 GDPR, napr. osobitný zákon vo verejnom záujme, ktorý takýto postup výslovne dovoľuje a zároveň stanovuje primerané záruky.

V bežnom komerčnom prostredí takýto osobitný zákon k dochádzke neexistuje a poukazovať na § 99 Zákonníka práce nestačí (ten „formu“ evidencie nepredpisuje). Bežný zamestnávateľ preto právny základ na odtlačky prstov pri dochádzke spravidla nemá.

Aké alternatívy sú spravidla vhodnejšie?

Skôr než biometriu zvážte riešenia, ktoré plnia cieľ s primeraným zásahom do súkromia: čipové karty, identifikátory v mobilnej appke, PIN, prípadne geofencing v opodstatnených situáciách. Pri nich sa viete oprieť o bežný právny základ (napr. plnenie zákonnej povinnosti viesť evidenciu pracovného času a oprávnený záujem na ochrane majetku), pričom nepracujete s osobitnou kategóriou údajov (biometriou). Nezabudnite však stále dodržať všetky zásady GDPR – informovanie, minimalizáciu, bezpečnosť atď.

„Aj tak chceme biometrickú dochádzku.“ Čo minimálne musíte urobiť?

Ak by ste napriek vyššie uvedenému uvažovali o biometrii, počítajte s tým, že pôjde o výnimku, ktorú treba výborne zdokumentovať:

1. Posúdenie vplyvu (DPIA) – povinné pri biometrickej identifikácii. Vyhodnoťte riziká, nevyhnutnosť a alternatívy; zvoľte kompenzačné opatrenia.
2. Obhájenie právneho základu podľa čl. 6 GDPR, nájdenie výnimky podľa čl. 9 ods. 2 GDPR. Jednoduchý „oprávnený záujem“ alebo formálny „súhlas“ zamestnanca spravidla neobstojí.
3. Minimalizácia a technický dizajn – ak už chcete používať biometriu, tak 1:1 verifikácia (porovnanie s vlastnou šablónou), nie 1:N identifikácia; neuchovávajte surové obrazy odtlačkov; používajte šablóny v zariadení a krátke retenčné doby. V každom prípade však ide o stále o biometrické údaje.
4. Bezpečnosť – šifrovanie, oddelenie databáz, riadenie prístupov, pravidelné testovanie, plán reakcie na incidenty; to všetko primerane vyššiemu riziku.
5. Informačná povinnosť – transparentne vysvetlite účel, právny základ, riziká, dobu uchovania, príjemcov, práva zamestnancov.
6. Zmluvy s dodávateľmi – spracovateľské zmluvy, audity dodávateľa, umiestnenie a správa dát.
7. Interné pravidlá a školenia – aby systém nebol používaný nad rámec účelu (napr. „mikro-monitoring“ prestávok).

Autor článku sa domnieva, že biometrická dochádzka by bola zákonná (aj napriek uskutočneniu vyššie uvedených krokov) len v prípade vstupu do citlivých priestorov, napr. kritická digitálna infraštruktúra, letiská, priemyselné riadiace systémy, energetika, priestory s utajovanými skutočnosťami, farmaceutická výroba, biologické a chemické laboratóriá a pod.

Krátke FAQ k dochádzke biometriou

Môžeme to postaviť na súhlase zamestnanca?

Väčšinou nie. Súhlas v zamestnaní býva neslobodný; ak zamestnanec nemôže bezpečne súhlas odmietnuť bez následku, súhlas nie je platný.

Ale veď odtlačok je len „šablóna“, nie skutočný obraz prsta.

Stále ide o biometrický údaj, ak umožňuje potvrdiť identitu osoby. Stále teda spadá pod čl. 9 GDPR.

Musíme robiť DPIA?

Áno, spracúvanie biometrických údajov na účely identifikácie je na zozname“ operácií povinne podliehajúcich DPIA.

Stačí, že to potrebujeme kvôli presnejšej evidencii?

Nie. Zákonník práce nevyžaduje biometriu a existujú menej invazívne spôsoby vedenia dochádzky. Bez osobitného zákonného oprávnenia (alebo výnimočne platného súhlasu) spravidla chýba právny základ podľa čl. 9 GDPR.

Zhrnutie pre prax

Povinnosť viesť evidenciu pracovného času neznamená, že smiete používať odtlačky prstov. Forma evidencie dochádzky nie je Zákonníkom práce stanovená a biometria je pre bežnú dochádzku neprimeraná.

Biometria je osobitná kategória údajov; na jej spracúvanie potrebujete okrem právneho základu z čl. 6 GDPR aj výnimku podľa čl. 9 GDPR. V pracovnom vzťahu súhlas spravidla nefunguje.

DPIA je povinná a musíte vedieť preukázať nevyhnutnosť a primeranosť oproti menej invazívnym riešeniam vedenia dochádzky.

Potrebujete poradiť v oblasti GDPR? Neváhajte nás kontaktovať na avris@avris.sk .

The post Dochádzka odtlačkom prsta a kedy (ne)smie zamestnávateľ siahnuť po biometrii? appeared first on Avris Consulting.

Umelá inteligencia sa stala súčasťou každodennej práce – od analýzy a sumarizácie textov, cez písanie e-mailov až po tvorbu prezentácií. Čoraz častejšie dochádza k situáciám, keď zamestnanci používajú nástroje, ktoré ich IT oddelenie nepozná ani neschválilo. A práve tu sa začína riziko. „Neviditeľný pomocník“ sa razom môže zmeniť na zdroj úniku dôležitých firemných či osobných údajov. Bavíme sa tu o novom fenoméne –  takzvanom shadow AI.

Čo je Shadow AI

Pojem shadow AI označuje využívanie umelej inteligencie mimo kontroly organizácie – teda bez vedomia a súhlasu IT oddelenia. Môže ísť o používanie populárnych chatbotov, online prekladačov či generátorov textov a obrázkov, ale aj o vlastné AI aplikácie alebo agenty, ktoré si zamestnanci vytvoria pre zefektívnenie práce.

Najčastejším zdrojom shadow AI sú práve generatívne AI nástroje – teda systémy schopné na základe textového zadania vytvárať nový obsah, sumarizovať dokumenty, analyzovať dáta alebo programovať. Ich sila je obrovská, no zároveň skrývajú riziko, že sa do nich nevedomky odošlú interné alebo osobné údaje, ktoré môžu byť následne spracované alebo uložené mimo kontrolu organizácie. Tieto údaje ďalej môžu byť použité na tréning AI modelov a časom sa potenciálne môžu dostať na verejnosť vo forme odpovedí od AI modelu inému používateľovi. Aj preto sa shadow AI dnes stáva jedným z najdiskutovanejších tém kybernetickej bezpečnosti.

Výpovedné údaje: ako rastie používanie a čo hovoria čísla

Podľa Netskope Threat Labs (2025) využíva dnes až 89 % organizácií aspoň jednu AI aplikáciu. No až 60 % používateľov stále pracuje s AI nástrojmi, ktoré nie sú schválené ich IT oddelením – teda v zóne shadow AI. Medzi februárom a májom 2025 vzrástlo používanie generatívnych AI platforiem o 50 %, pričom sieťová prevádzka smerujúca do týchto služieb sa zvýšila až o 73 %. Najpopulárnejšími platformami sú Microsoft Azure OpenAI (29 %), Amazon Bedrock (22 %) a Google Vertex AI (7 %).

Ešte znepokojujúcejšie sú dáta z praxe. IBM vo svojej správe Cost of a Data Breach 2025 uvádza, že 20 % organizácií už zaznamenalo únik dát spôsobený nesprávnym používaním AI nástrojov. Firmy s vysokou mierou shadow AI mali priemerné náklady na incident až o 670 000 USD vyššie než ostatné.
Len 3 % z nich mali adekvátne nastavené prístupové opatrenia k AI systémom – zvyšok nevedel presne určiť, kto a aké nástroje používa. Ukazuje sa, že problém nie je len v nedisciplinovanosti používateľov, ale aj v neexistencii rámca, ktorý by AI v organizácii riadil a monitoroval.

Prečo je Shadow AI nebezpečný

1. Únik firemných informácií – Ak zamestnanec zadá do AI interné dáta, texty zmlúv či kód, tieto informácie sa môžu dostať mimo organizáciu a stať sa súčasťou trénovacích dát modelu.
2. Strata kontroly a auditovateľnosti – IT oddelenie často ani nevie, že niekto takýto nástroj používa. Nie je možné spätne overiť, čo sa odoslalo a kam.
3. Riziko regulácií a pokút – Porušenie GDPR alebo iných predpisov môže viesť k vysokým sankciám a reputačnej strate.
4. Zneužitie AI útočníkmi – Generatívna AI sa dnes využíva aj na tvorbu realistických phishingov či deepfake obsahu. Podľa dát IBM bola generatívna umelá inteligencia zapojená až v 16 % všetkých kybernetických incidentov v roku 2025.

Všetky tieto riziká robia zo shadow AI nie len technologický, ale aj organizačný problém.

Ako tomu čeliť

Úspešná ochrana pred shadow AI spočíva v kombinácii technológií, procesov a vzdelávania:

• Zmapujte svoje prostredie – zistite, aké AI aplikácie sa v organizácii používajú, aj tie, ktoré neprešli schválením.
• Zaveďte technické opatrenia – centrálna správa zariadení (MDM),  DLP alebo SIEM riešenia dokážu odhaliť neautorizované AI požiadavky či prenos klasifikovaných údajov.
• Nastavte jasné pravidlá – vytvorte internú politiku pre používanie AI, definujte povolené nástroje a nastavte proces schvaľovania nových.
• Vzdelávajte používateľov – školenia a real-time upozornenia pomáhajú predchádzať chybám a nevedomému zdieľaniu dát. Vo vzdelávaní dbajte na to, aby zamestnanci nevkladali do verejných (mimo schválených organizáciou) AI modelov interné údaje. Ich použite na všeobecné otázky či úlohy, v ktorých sa neprezrádzajú údaje o organizácii, projekte či osobách môžu byť v poriadku. Problém vznikne vtedy, ak sa zamestnanci z „pohodlnosti“ snažia vyriešiť pripomienkovanie interných zmlúv, spracovanie databázy údajov a pod. za pomoci umelej inteligencie.

Spolu bezpečne do éry umelej inteligencie

Bezpečné využívanie umelej inteligencie je možné – ak je pod kontrolou.
Namiesto obmedzovania AI technológií by organizácie mali zamerať pozornosť na ich zodpovedné a riadené používanie.

Naša spoločnosť pomáha firmám odhaliť a minimalizovať riziká spojené so shadow AI, nastaviť interné politiky pre generatívnu AI, zaviesť technické opatrenia a zabezpečiť vzdelávanie používateľov.

Kontaktujte nás a zistite, ako môže vaša organizácia využívať výhody umelej inteligencie bezpečne, efektívne a v súlade s kybernetickými štandardmi.

The post Shadow AI – skrytá hrozba pri kybernetickej bezpečnosti appeared first on Avris Consulting.

Neskoré alebo nedostatočné vybavenie žiadosti dotknutej osoby zvyčajne vedie k tomu, že sa táto osoba obráti na Úrad na ochranu osobných údajov SR ako dozorný orgán, ktorý v danej spoločnosti začne preverovať nastavenie ochrany osobných údajov. Pokiaľ dozorný orgán zistí, že žiadosť nebola včas alebo riadne vybavená prípadne zistí, že sa spoločnosť dopúšťa aj ďalších porušení GDPR, môže spoločnosti, okrem iného, uložiť aj pokutu.

Práve preto by malo byť pre každú spoločnosť dôležité, aby pri takejto žiadosti spozornela a dala jej v rámci svojich iných povinností náležitú prioritu.

Kto môže žiadosť o uplatnenie práv podať?

Žiadosť o uplatnenie práv môže podať len dotknutá osoba prípadne jej splnomocnený (advokát) alebo zákonný zástupca (rodič dieťaťa). Dotknutou osobou je každá fyzická osoba, ktorej osobné údaje spoločnosť spracúva (napr. zamestnanec, uchádzač o zamestnanie, zákazník, dodávateľ, návštevník webovej stránky).

Žiadosť u uplatnenie práv teda nemôže podať osoba, ktorej sa osobné údaje netýkajú. Preto je spoločnosť, v prípade pochybností, povinná overiť identitu dotknutej osoby. Ak je to potrebné, môže spoločnosť dotknutú osobu pred vybavením jej žiadosti požiadať o doplňujúce informácie, na základe ktorých bude vedieť riadne overiť jej identitu (napr. nahliadnutím do dokladu totožnosti; preverením emailovej adresy, pokiaľ dotknutá osoba uplatnila žiadosť z inej emailovej adresy, akú uviedla pri objednávke tovaru a pod.). Takto sa spoločnosť vyhne riziku, že by informácie o osobných údajoch dotknutej osoby poskytla neoprávnenej osobe.

Ako žiadosť o uplatnenie práv dotknutej osoby identifikovať?

Keďže uplatnenie práv dotknutej osoby môže byť spojené aj s inými požiadavkami dotknutej osoby, napr. reklamáciou tovaru alebo služby, je potrebné vedieť takúto žiadosť identifikovať a oddeliť od iných skutočností.

Niekedy nie je úplne jednoznačné, či si dotknutá osoba uplatňuje svoje práva podľa GDPR alebo len komentuje nejaké postupy spoločnosti. Každopádne je vhodné, v prípade pochybností, pristupovať k takejto žiadosti ako k žiadosti o uplatnenie práv dotknutej osoby.

Často žiadosť dotknutej osoby nemusí mať nejaké konkrétne náležitosti alebo nemusí byť podaná na tlačive, ktoré spoločnosť používa alebo nemusí byť poslaná na email zodpovednej osoby. Spoločnosť sa nezbaví povinnosti žiadosť vybaviť tým, že bude argumentovať, že dotknutá osoba nepodala žiadosť určeným spôsobom. Preto je potrebné, aby všetky osoby, ktoré v rámci spoločnosti komunikujú s dotknutými osobami, boli poučené o možnostiach podávania takýchto žiadostí a ďalšom postupe určenom spoločnosťou na ich vybavenie (napr. okamžité preposlanie žiadosti na vybavenie určenej osobe).

Aké práva si môže dotknutá osoba uplatniť?

Dotknutá osoba má právo na potvrdenie o tom, či sa jej osobné údaje v spoločnosti spracúvajú a ak tomu tak je, má právo získať informácie o:

1. účeloch spracúvania,
2. kategórii osobných údajov,
3. príjemcoch týchto údajov,
4. lehote uchovávania,
5. existencii všetkých práv dotknutej osoby vrátane práva podať sťažnosť dozornému orgánu,
6. zdroji osobných údajov, ak sa nezískali priamo od dotknutej osoby,
7. existencii prípadne neexistencii automatizovaného rozhodovania vrátane profilovania.

Ak dochádza k prenosu údajov do tretích krajín, aj informáciu o primeraných zárukách tohto prenosu.

Spoločnosť v rámci uplatnenia tohto práva poskytuje dotknutej osobe kópiu osobných údajov.

Ďalej má dotknutá osoba vždy právo na okamžitú opravu svojich nesprávnych údajov.

Za určitých okolností, teda nie v každom prípade, môže dotknutá osoba žiadať o vymazanie osobných údajov, obmedzenie ich spracúvania alebo ich prenos do inej spoločnosti.

Rovnako má dotknutá osoba právo namietať spracúvanie svojich osobných údajov na základe oprávneného záujmu spoločnosti, ako aj namietať automatizované individuálne rozhodovanie vrátane profilovania, ak sa domnieva, že ho spoločnosť vykonáva.

Pokiaľ spoločnosť spracúva osobné údaje dotknutej osoby na základe jej súhlasu (napr. zverejňovanie fotografie, posielanie Newslettra), dotknutá osoba na vždy právo kedykoľvek tento súhlas odvolať.

Uplatnenie vyššie uvedených práv nie je absolútne a spoločnosť v každom jednotlivom prípade posúdi, či môže žiadosti dotknutej osoby vyhovieť úplne, čiastočne alebo jej nemôže vyhovieť vôbec (napr. zamestnávateľ nemôže vymazať osobné údaje zamestnanca, ktoré spracúva na účel sociálneho poistenia alebo plnenia daňových povinností). Aj v prípade, ak spoločnosť žiadosti dotknutej osoby nemôže vyhovieť, musí na jej žiadosť adekvátnym spôsobom zareagovať a nezabudnúť uviesť všetky informácie o spracúvaní osobných údajov dotknutej osoby v spoločnosti, o jej právach, ako aj dôvodoch nevyhovenia žiadosti.

Určite netreba opomenúť v žiadosti uviesť aj právo dotknutej osoby, že ak s vybavením žiadosti nesúhlasí alebo vybavenie považuje za nedostatočné, môže sa obrátiť na Úrad na ochranu osobných údajov SR.

V akej lehote musí spoločnosť žiadosť dotknutej osoby vybaviť?

Spoločnosť musí vybaviť žiadosť dotknutej osoby bez zbytočného odkladu najneskôr do 30 dní od jej prijatia. Túto lehotu môže spoločnosť predlžiť o ďalšie dva mesiace, ak je žiadosť komplikovaná. O taktom predĺžení lehoty však musí spoločnosť dotknutú osobu informovať.

Akým spôsobom je potrebné žiadosť dotknutej osoby vybaviť?

Žiadosť dotknutej osoby sa zvyčajne vybavuje spôsobom, akým bola jej žiadosť uplatnená (napr. ak poslala žiadosť emailom, odpoveď na žiadosť bude poslaná na tento email). Dotknutá osoba však môže požiadať aj o iný spôsob vybavenia žiadosti, napr. že si odpoveď vyzdvihne osobne v sídle spoločnosti. Ak je to možné, spoločnosť by mala takejto žiadosti dotknutej osoby vyhovieť.

Pokiaľ sú však v odpovedi na žiadosť dotknutej osoby uvedené aj citlivé osobné údaje (napr. dokumenty obsahujúce údaje o zdraví), je vhodné zvážiť poslanie odpovede poštou do vlastných rúk, aby sa predišlo riziku, že sa k nim dostane neoprávnená osoba alebo sa tieto dokumenty stratia.

Aké ďalšie povinnosti vyplývajú spoločnosti pri vybavovaní žiadostí dotknutých osôb?

Vybavenie žiadosti dotknutej osoby je bezplatné. Pokiaľ ide o žiadosť neopodstatnenú alebo neprimeranú, najmä ak je žiadosť opakovaná, môže si spoločnosť žiadať primeraný poplatok alebo aj odmietnuť konať. Bremeno dokazovania týchto skutočností je však na spoločnosti samotnej.

Všetky žiadosti, odpovede na žiadosti a evidenciu žiadostí dotknutých osôb musí spoločnosť uchovávať 5 rokov, aby vedela preukázať splnenie týchto povinností pri prípadnej kontrole zo strany dozorného orgánu.

Záver

Riadnym a včasným vybavením žiadosti dotknutej osoby môže spoločnosť predísť kontrole zo strany dozorného orgánu, keďže je vysoký predpoklad, že sa dotknutá osoba, v prípade nespokojnosti, na tento orgán obráti. V prípade, že sa dotknutá osoba na dozorný orgán obráti, spoločnosť bude vedieť preukázať, že na žiadosť dotknutej osoby odpovedala v prepísanej lehote, so všetkými potrebnými informáciami a vhodným spôsobom.

Potrebujete nastaviť systém vybavovania žiadosti dotknutých osôb vo Vašej organizácii? Dajte nám vedieť na avris@avris.sk.

The post Vyhnite sa rizikám pri vybavovaní žiadosti dotknutej osoby appeared first on Avris Consulting.

The post Povinnosti pri používaní GPS v služobných vozidlách appeared first on Avris Consulting.

Ako ovplyvňuje GDPR vývoj AI a čo prinesie nová regulácia?

GDPR kladie dôraz na niekoľko základných zásad spracúvania osobných údajov, ktoré sa však dostávajú do konfliktu s fungovaním AI. Ide o najmä o tieto zásady:

1. Transparentnosť a informovanosť

GDPR vyžaduje, aby boli algoritmy a rozhodovacie procesy zrozumiteľné pre jednotlivcov, ktorých osobné údaje sú spracúvané, čo je problém pri zložitých modeloch strojového učenia AI (napr. neurónové siete). Užívateľ AI má právo vedieť, ako AI dospela k určitému rozhodnutiu, čo je v praxi ťažké zabezpečiť. Problematická je aj tzv. „black box“ AI, kde modely na báze hlbokého učenia robia rozhodnutia bez možnosti jednoduchého vysvetlenia ich logiky.

Riešením môže byť použitie tzv. interpretable AI (XAI), kde sú modely navrhnuté tak, aby boli ľahšie pochopiteľné. Ide najmä o metódy:

• Feature importance (Dôležitosť prvkov) – identifikácia kľúčových faktorov, ktoré ovplyvnili rozhodnutie modelu.
• SHAP (Shapley Additive Explanations) – kvantifikácia vplyvu jednotlivých vstupných parametrov na výstup AI modelu.
• LIME (Local Interpretable Model-Agnostic Explanations) – vytvorenie zjednodušeného modelu, ktorý napodobňuje správanie AI v konkrétnej situácii.
• Vizualizácie neurónových sietí – nástroje na grafické znázornenie aktivácií neurónov v rôznych vrstvách modelu.

2. Súhlas so spracúvaním osobných údajov

AI často spracováva veľké objemy dát, pričom získanie súhlasu od každého jednotlivca je náročné. GDPR však vyžaduje špecifický a informovaný súhlas, čo môže obmedziť využívanie určitých AI technológií. Niektoré AI systémy, ako personalizované reklamy či odporúčacie algoritmy, môžu operovať na údajoch, ktoré neboli získané priamym súhlasom, ale cez tzv. oprávnený záujem, čo je právne sporné.

Pre firmy je dôležité jasne komunikovať, ako sa osobné údaje používajú a umožniť jednoduché odvolanie súhlasu.

3. Právo na výmaz („právo byť zabudnutý“)

Ak AI pracuje s osobnými údajmi a jednotlivec požiada o ich vymazanie, môže to byť problematické, ak boli už údaje použité na trénovanie modelu. Modely strojového učenia si môžu „pamätať“ určité údaje aj po ich formálnom odstránení, čo môže viesť k porušeniu GDPR.

4. Minimalizácia osobných údajov a získavanie len nevyhnutných údajov

GDPR vyžaduje, aby boli spracúvané len nevyhnutné údaje, no AI systémy často fungujú efektívnejšie pri väčších datasetoch. Firmy musia nájsť rovnováhu medzi efektívnosťou AI a požiadavkou na ochranu súkromia. Implementácia techník ako syntetické dáta, kde sa generujú anonymizované verzie skutočných údajov, môže pomôcť splniť požiadavky GDPR bez straty výkonnosti AI modelov.

AI Act vs. GDPR

GDPR rieši ochranu osobných údajov, zatiaľ čo AI Act sa zameriava na bezpečnosť a etiku AI systémov. Spolu vytvárajú komplexný regulačný rámec pre AI v EÚ.

Európska únia prijala AI Act, ktorý dopĺňa GDPR a zavádza nové pravidlá pre využívanie AI:

1. Kategorizácia AI systémov podľa rizika:

AI Act rozdeľuje systémy do štyroch skupín:

1. zakázané (napr. AI systémy na sociálne skórovanie, ako je napr. hodnotenie jednotlivcov na základe och správania a manipulácia verejnej mienky);
2. vysokorizikové (napr. systémy používané v biometrickej identifikácii, zdravotníctve, bankovníctve a v kritickej infraštruktúre);
3. obmedzené riziko (napr. chatboty, ktoré musia jasne informovať používateľa, že s ním komunikuje AI);
4. minimálne riziko (napr. AI systémy na automatické preklady, spamové filtre alebo herné AI, ktoré nezasahujú do práv jednotlivcov).

     2. Nové povinnosti pre vývojárov a firmy

Vývojári  a firmy majú povinnosť zabezpečiť transparentnosť a náležitú starostlivosť pri vývoji AI systémov. AI Act kladie dôraz na požiadavku pri overení  a testovaní AI pred jej uvedením na trh. Vývojári musia zdokumentovať spôsob fungovania AI, jeho tréningové dáta a mechanizmy rozhodovania.

Ďalej je potrebné zaviesť etické a bezpečnostné kontroly, ktoré zabránia zaujatosti alebo nepredvídaným dôsledkom rozhodnutí AI.

Rovnako vzniká povinnosť pravidelného auditovania AI systémov najmä, ak patria do kategórie vysokorizikových systémov. Zabezpečenie, že AI systémy umožnia ľudský dohľad, čím sa minimalizuje riziko autonómnych rozhodnutí bez možnosti zásahu človeka.

Dôležitá tiež bude implementácia mechanizmov na odvolanie alebo opravu rozhodnutí AI, najmä v situáciách, kde môže dôjsť k nespravodlivosti alebo diskriminácii.

Ako sa firmy môžu pripraviť?

1. Zaviesť audit AI systémov spočívajúci v kontrole, či AI dodržiava pravidlá GDPR a AI Act a rovnako vykonávať pravidelné hodnotenie rizík súvisiacich so spracúvaním osobných údajov.

1. Zabezpečiť transparentnosť poskytovaním zrozumiteľných informácií pre používateľov o tom, ako AI pracuje, dokumentovať rozhodovacie procesy AI a umožniť ich kontrolu dozornými orgánmi.

3. Minimalizovať spracúvanie osobných údajov používaním anonymizácie a pseudonymizácie osobných údajov a zaviesť techniky federatívneho učenia na ochranu súkromia (učenie, pri ktorom sa modely trénujú priamo na používateľských zariadeniach, napr. smartfónoch a počítačoch, namiesto odosielania všetkých údajov na centrálny server.

1. Školiť zamestnancov v oblasti GDPR a nových regulácií týkajúcich sa AI a pripraviť interné postupy na riešenie incidentov súvisiacich s únikom osobných údajov.
2. Zaviesť mechanizmy na spracúvanie žiadostí o právo na výmaz, najmä vytvoriť efektívne procesy na odstránenie údajov z AI systémov na požiadanie a monitorovať, či sú splnené požiadavky GDPR na vymazanie osobných údajov.

Záver

GDPR a AI Act predstavujú zásadný krok k regulácii AI technológií. Hoci GDPR kladie dôraz na ochranu osobných údajov, AI Act dopĺňa tieto pravidlá špecifickými požiadavkami na vývoj a použitie AI systémov.

Pre firmy a vývojárov AI je dôležité pochopiť nové povinnosti a implementovať opatrenia na ochranu osobných údajov. Budúcnosť AI v EÚ bude závisieť od schopnosti regulátorov a technologických firiem nájsť rovnováhu medzi inováciami a ochranou súkromia.

Potrebujete pomôcť s nastavením pravidiel pri vývoji a používaní AI tak, aby bola v súlade s GDPR? Neváhajte nás kontaktovať na avris@avris.sk.

The post Výzvy pri používaní AI pri zabezpečovaní ochrany osobných údajov a AI Act appeared first on Avris Consulting.

The post Audit kybernetickej bezpečnosti – overenie stavu KB appeared first on Avris Consulting.