Kde sú hranice opatrení na zaistenie bezpečnosti?

Prípad je zaujímavý tým, že doteraz nebolo zvykom, aby klient žaloval banku kvôli tomu, že táto ho dostatočne nevarovala aby si zabezpečil svoj systém ... Vzhľadom na právny systém v USA a úlohu, akú v ňom zohrávajú precedensy, je možné, že úspech tejto žaloby by mohol inšpirovať ďalších a do značnej miery tak ovplyvniť nazeranie na povinnosti bánk v oblasti informačnej bezpečnosti ... zatiaľ len v USA.

Akosi si neviem predstaviť, že by u nás došlo k podobnej žalobe, a to nielen preto, že náš právny systém je iný ako v USA ... Hmmm, zákon ukladá bankám na Slovensku zabezpečiť každoročné overenie bezpečnosti svojho informačného systému a nepochybujem, že bankový dohľad NBS dôsledne sleduje plnenie aj tejto požiadavky. Faktom však je, že doteraz sa pod bezpečnosťou IS bežne rozumie zaistenie bezpečnosti tých komponentov systému, ktoré má prevádzkovateľ „pod priamou kontrolou“ a môže si teda vynútiť plnenie potrebných bezpečnostných opatrení. Takéto nazeranie na bezpečnosť pretrváva od počiatkov disciplíny počítačovej bezpečnosti ... pravda, v tom čase bola situácia predsa len odlišná od tej dnešnej i od toho, čo môžme očakávať v budúcnosti. V tých časoch používateľmi IS boli zamestnanci jeho prevádzkovateľa, ktorý teda mal zabezpečenú istú úroveň kontroly ako nad používateľmi, tak aj nad tým ako pristupovali k IS a službám, ktoré poskytoval. Situácia sa však predsa len do istej miery zmenila - používateľmi IS sú aj osoby či inštitúcie mimo priamej kontroly prevádzkovateľa, ktoré na komunikáciu s IS používajú zariadenia, ktoré sú tiež do značnej miery mimo dosah prevádzkovateľa IS.

Myšlienke, že by nezaškodilo sa zaujímať aj o úroveň zaistenia bezpečnosti zariadení použitých pre styk s chráneným systémom, nemožno teda uprieť isté racionálne jadro ... obzvlášť v prípadoch, ak ide o zariadenia obsluhované používateľmi bez špeciálnej kvalifikácie a teda menej odolnými voči rôznym útokom. Veď skutočnosť, že práve takéto zariadenia sú používané pre bežný styk s chráneným IS znamená, že sa im z pohľadu tohto IS hoci aj len implicitne môže prisúdiť väčšia miera „dôveryhodnosti“ ako úplne cudzím systémom ... a ich prípadným ovládnutím sa tak útočník dostane „bližšie“ k chránenému IS. Dalo by sa teda konštatovať, že prevádzkovateľ IS by mohol mať záujem na zaistení náležitej bezpečnosti takýchto zariadení. Pochopiteľne, keďže ide o "územie" nad ktorým prevádzkovateľ nemá priamu kontrolu, jeho možnosti na prípadné zlepšenie aktuálneho stavu sú do značnej miery obmedzené ... čo však neznamená, že neexistujú.

Je teda možné, že sa časom dočkáme istého posunu v nazeraní na to, kde sú hranice pre opatrenia súvisiace s bezpečnosťou IS ... posunu skôr z pragmatického hľadiska ako z právneho pohľadu – samozrejme, prevádzkovateľ IS nemôže niesť plnú zodpovednosť za niečo, čo nemá pod náležitou kontrolou. Zatiaľ teda nepredpokladám, že by naše súdy museli riešiť podobné problémy ... možno až keď aj u nás bude taký prebytok právnikov, že títo budú nútení aktívne vyhľadávať potenciálne žalovateľné prípady, aby prežili.