Nedodržanie noriem kybernetickej bezpečnosti môže mať pre spoločnosti právne dôsledky

Jednou z najvýznamnejších hrozieb dnešnej doby je bezpochyby počítačová kriminalita. Nakoľko priemerné náklady na porušenie ochrany údajov dosiahli historicky najvyššiu úroveň, 4,24 milióna dolárov, otázka kybernetickej bezpečnosti je veľmi aktuálna. Zdá sa však, že niektoré spoločnosti akoby nechápali potrebu a naliehavosť súčasných noriem, ktoré kybernetická bezpečnosť vyžaduje.

V tomto prípade by možno mohlo pomôcť zváženie právnych dôsledkov nedostatočnej kybernetickej bezpečnosti. Hoci USA nemajú komplexný celonárodný zákon o kybernetickej bezpečnosti, americké spoločnosti môžu v prípade nerešpektovania určitých noriem stále čeliť právnym problémom. Pre mnohé podniky totiž platia rôzne štátne, priemyselné a medzinárodné predpisy.

K zvýšeniu bezpečnosti môže prispieť aj správne pochopenie štandardov kybernetickej bezpečnosti, ktoré ovplyvňujú postavenie jednotlivých spoločností. V tomto duchu sa pozrieme na to, aké právne následky môžu vyplývať z nedodržania rôznych predpisov.

Dôsledky medzinárodných predpisov

Pravdepodobne najznámejším zákonom o kybernetickej bezpečnosti je všeobecné nariadenie Európskej únie o ochrane údajov /GDPR/. Hoci ide o európsky zákon, stále môže platiť pre niektoré americké spoločnosti. Napríklad v prípade, ak americký obchodný partner spolupracuje s firmami v EÚ alebo vkladá údaje v EÚ, či zhromažďuje údaje o európskych zákazníkoch, môže spadať pod jurisdikciu GDPR.

Podobne je to aj s novým čínskym zákonom o bezpečnosti údajov, ktorý sa vzťahuje aj na nečínske spoločnosti v prípade, ak uchovávajú údaje v Číne alebo ich zbierajú od čínskych občanov. Aj keď takéto predpisy nemusia mať vplyv na väčšinu amerických spoločností, ale ich nerešpektovanie môže viesť k závažným dôsledkom.

Pokuty za nedodržanie čínskeho zákona o bezpečnosti údajov začínajú od 15000 dolárov a môžu dosiahnuť výšku až 1,55 miliónov dolárov. Podobne represívne je aj GDPR, ktoré si môže v niektorých prípadoch účtovať až desiatky miliónov dolárov. V prípade oboch spoločností, ktoré nedodržiavajú pravidlá, môže hroziť strata licencie na činnosť aj v iných krajinách.

Špecifické normy

Veľa špecifických odvetví má svoje vlastné predpisy týkajúce sa kybernetickej bezpečnosti. Najpozoruhodnejším z nich je zákon o presnosti a zodpovednosti za zdravotné poistenie /HIPAA/, ktorý sa týka spoločností spracúvajúcich údaje o zdravotnej starostlivosti. Vzhľadom na citlivosť týchto informácií musia kryté objekty podľa HIPAA spĺňať prísne štandardy.

Tieto organizácie by mali zvážiť bezpečnosť svojich aplikácií a služieb tretích strán, ako aj svojich vlastných systémov. Napríklad niektorý softvér pre telekonferencie, môžeme spomenúť Zoom, ponúka systémy kompatibilné s HIPAA, ale nie všetky možnosti. Používanie aplikácie tretej strany nespĺňajúcej tieto predpisy by mohlo mať za následok právnu hrozbu pre spoločnosti.

Porušenie zákona HIPAA môže stáť spoločnosti až 50000 dolárov, pokuta sa môže vyšplhať ročne až do výšky 1,5 milióna dolárov. Dostatočne závažné porušenia môžu mať za následok obvinenie z trestného činu a väzenie. Podobné sú aj ďalšie nariadenia špecifické pre dané odvetvie, napríklad zákon Gramm – Leach- Bliley Act /GLBA/, ktorý upravuje finančné informácie a jeho porušenie môže viesť k udeleniu vysokých pokút alebo v niektorých prípadoch aj k väzeniu.

Vládne zmluvy

Spoločnosti, ktoré spravujú štátne zákazky, môžu podliehať ešte vyšším štandardom. Takéto zmluvy môžu byť síce lukratívne, ale nerešpektovanie ich štandardov kybernetickej bezpečnosti môže byť príčinou značných sankcií vrátane straty týchto výnosných pozícií. Dokonca aj zlyhania v minulosti môžu spôsobiť právne problémy, ak sa spoločnosť pokúsi získať vládnu zákazku.

Napríklad v roku 2019 spoločnosť Aerojet čelila obvineniam zo zákona o falošných nárokoch týkajúcich sa ich minulého nedodržania predpísaných štandardov. Spoločnosť predtým nespĺňala príslušné normy kybernetickej bezpečnosti a toto zlyhanie nezverejnila , keď jej ministerstvo obrany /DoD/ udelilo zmluvu. A hoci sa uvedené štandardy kybernetickej bezpečnosti nevzťahovali priamo na prácu s DoD, stále kvôli tomu spoločnosť Aerojet čelila problémom.

Je samozrejmé, že vládne agentúry očakávajú, že ich dodávatelia budú spĺňať určité štandardy. Nesplnenie povinnosti alebo neodhalenie bezpečnostných nedostatkov vopred, ako to bolo v prípade spoločnosti Aerojet, môže viesť k právnym krokom.

Štátny zákonodarný zbor

Federálna vláda možno nemá zavedenú komplexnú legislatívu o kybernetickej bezpečnosti, ale mnohé štáty ju majú. Priekopníkom štátnych predpisov o kybernetickej bezpečnosti je kalifornský zákon o ochrane súkromia spotrebiteľa /CCPA/. Podobne ako zákon o ochrane osobných údajov /GDPR/,  aj CCPA sa môže za určitých okolností vzťahovať na nekalifornské spoločnosti.

Zákon o ochrane súkromia spotrebiteľa – CCPA sa zaoberá predovšetkým transparentnosťou podobne ako ostatné štátne právne predpisy o kybernetickej bezpečnosti. Spoločnosti by mali mať so spotrebiteľmi jasno v tom, aké druhy údajov zhromažďujú a umožniť im väčšiu kontrolu nad tým, čo sa s nimi stane. Keďže kybernetická bezpečnosť sa stáva prominentnejším problémom, viac štátov pravdepodobne prijme podobnú politiku.

Zákon CCPA stanovuje za porušenie údajov pokutu vo výške 750 dolárov na zákazníka za incident alebo skutočné škody, podľa toho, ktorá hodnota je vyššia. Ak by sa porušenie týkalo 10000 zákazníkov, sankcia za nedodržanie by mohla dosiahnuť až 7,5 milióna dolárov. Okrem toho spoločnostiam môže hroziť pokuta vo výške 7500 dolárov, ak neurobia nápravu následne po tom, ako ich štát upozorní na dané porušenie.

Súlad s kybernetickou bezpečnosťou je zásadnejší než kedykoľvek predtým

Vlády na celom svete vnímajú kybernetickú bezpečnosť vážne, podobne ako firmy. Okrem priamych strát v dôsledku porušenia ochrany údajov môžu spoločnostiam, ktoré nedodržiavajú nariadenia, podľa týchto rastúcich predpisov hroziť vysoké sankcie, strata podnikania a dokonca aj väzenie. To znamená, že žiadna firma sa už nemôže ospravedlňovať ignorovaním štandardov kybernetickej bezpečnosti.

Pravdou je, že príprava je vždy lepšia ako kontrola poškodenia. Podniky by sa mali snažiť zaistiť súlad so všetkými príslušnými zákonmi o kybernetickej bezpečnosti, pretože riziko neúspechu je príliš nákladné.