Do dnešného rozhovoru o IT bezpečnosti sme si pozvali advokátku Simonu Uhrinovú (S.U.), konateľku advokátskej kancelárie Balance Counsels, s.r.o., ktorá sa vo svojej praxi špecializuje na právo informačno-komunikačných technológií vrátane kyberbezpečnosti, s ktorým je nerozlučne späté právo duševného a priemyselného vlastníctva a e-commerce. Oblasti IT práva, najmä otázkam patentovateľnosti softvéru s umelou inteligenciou, sa venuje aj v rámci svojho postgraduálneho štúdia, popri štúdiu digitálneho marketingu a prekvapivému spojeniu tejto oblasti s kybernetickou bezpečnosťou a ochranou súkromia na internete. Popri svojej špecializácii venuje veľkú časť svojej praxe pro bono projektom, ktoré majú ambíciu zmeniť či už spoločenské povedomie, tak aj legislatívne nastavenie na Slovensku.
Čomu sa ako advokátka v oblasti IT bezpečnosti najčastejšie venujete?
S.U.: Ako advokátka sa venujem IT právu a ochrane dát v podstate v drvivej väčšine mojej praxe, a to viac-menej od začiatku. Začalo to ako hobby, ktoré prerástlo do profesijnej oblasti, za čo som dodnes vďačná. Podarilo sa mi unikátnym spôsobom prepojiť záľubu s profesiou, vďaka čomu využívam svoje technické znalosti vo svojej každodennej právnej praxi. Bez tejto kombinácie by sa dali vysoko odborné IT právne služby poskytovať len veľmi ťažko. A samozrejme bez neodmysliteľného neustáleho vzdelávania sa v rapídne vyvíjajúcej sa technologickej oblasti. Právo totiž žiaľ bude vždy určitým spôsobom zaostávať za právnou úpravou.
Čo sa týka IT bezpečnosti, najčastejšie s klientmi riešime bezpečnostné opatrenia v oblasti ochrany dát, najmä osobných údajov. Klientovi vždy treba na začiatku vysvetliť, že je tu určitý priemyselný štandard a základné pravidlá, ktoré je potrebné dodržiavať, ak sa chce v biznise presadiť a následne udržať. Napríklad viac-menej nutnosťou je šifrovanie dát in transit (v pohybe počas komunikácie) a at rest (pri ich uložení na serveri či nosiči), používanie bezpečných komunikačných nástrojov (nielen pre pracovné účely, ale ideálne aj pre súkromné, ktoré sú niekedy dokonca citlivejšie), a samozrejme riadne zaškolenie svojho personálu ohľadom bezpečného využívania internetu. Nechcem spomínať názvy konkrétnych spoločností či služieb, ale freemaily či sociálne siete už štandardne neoplývajú výrazným (prípadne žiadnym) kybernetickým zabezpečením. A ak aj nejaké deklarujú, potom zabudnú povedať aj to „B“, a to je, že v drvivej väčšine sami majú k dátam a komunikácii užívateľov plný prístup, a aktívne ich obsah dokonca využívajú na generovanie svojho zisku. Dodnes mnoho klientov zostáva v nemom úžase keď ich informujeme, že obsah súkromných správ na väčšine sociálnych sietí je aktívne skenovaný a vyhodnocovaný na základe vopred definovaných kľúčových slov, najmä na marketingové účely. Na základe týchto kľúčových slov, zjednodušene povedané, je vám následne zobrazovaná personalizovaná reklama. Vyskúšajte si to – porozprávajte sa s kamarátkou na sociálnej sieti cez súkromné správy o tom, že hľadáte kvalitnú detskú výbavičku pre dieťa, ktoré čakáte. A potom je už len ťažko nevšimnúť si zázračne sa objavujúce bannery s reklamami na kojenecké potreby naprieč internetovými stránkami, ktoré prehliadate, často ešte dlho po tomto rozhovore. Takmer každý z nás by si určite spomenul aspoň na jeden takýto prípad.
Používanie sociálnych sietí a to, aký obsah na nich jednotlivec zdieľa, je každého osobná vec. Čo však takmer všetci vieme urobiť, je pravidelne si vymazávať dáta uložené v prehliadačoch, prípadne používať prehliadače (browsery) a vyhľadávače (search engine), ktoré dbajú na ochranu súkromia svojich užívateľov. Aj keď to samozrejme je len začiatok cesty ku kybernetickému súkromiu a bezpečnosti.
Ďalším problémom, ktorý riešime v praxi najčastejšie, sú autorské práva k softvéru. V obchodných vzťahoch je skôr pravidlom reťazenie objednávok pri vývoji softvéru – jedna spoločnosť si objedná vývoj softvéru u inej a táto vývoj rieši subdodávateľsky cez ďalšie subjekty. Nastavenie prvého objednávateľa je pochopiteľné – ja to platím, ja softvér vlastním. Takto to žiaľ z pohľadu práva nefunguje. Náš Autorský zákon reguluje prípady diela na objednávku, ku ktorému automaticky vykonáva autorské práva objednávateľ. To však platí len v prípade, že tento objednávateľ má uzatvorenú zmluvu o vývoji priamo s programátorom ako autorom softvéru. Ak tomu tak nie je, váš subdodávateľ musí na vás previesť právo výkonu majetkových práv, nenadobúdate tieto práva automaticky. Toto býva veľmi často kameňom úrazu, najmä ak sa na to príde pri právnom audite predchádzajúcom predaju informačnému systému, ku ktorému predávajúci tým pádom často ani nedisponuje potrebnými právami, bez toho aby o tom vôbec vedel.
Zvyšuje sa priamo úmerne s rozvojom technológií aj počet klientov či sporov?
S.U.: Ťažko povedať či sa v súvislosti s rozvojom technológií zvyšuje počet klientov, skôr sa zvyšuje počet právnych vecí, ktoré si vyžadujú odborníka na IT právo. Napríklad niekto porušuje vaše práva k vašej ochrannej známke tým, že si zriadi doménu, v ktorej vašu chránenú známku v nejakej kombinácii zaregistruje. Aby toho nebolo málo, nezriadi si doménu na TLD.sk, ale napríklad na TLD.com, kedy registrátori umožňujú prostredníctvom rôznych doplnkových služieb kompletne zakryť vo verejnom registri identifikáciu držiteľa takejto domény. Vo finále teda je tu doména s vašim názvom a s obsahom webovej stránky, ktorá poškodzuje vaše dobré meno, a vy nemáte konkrétneho držiteľa domény. V takom prípade je potrebné konať rýchlo a najmä sa obrátiť na advokáta, ktorý vie ako treba postupovať. Mne osobne sa už podarilo dosiahnuť zrušenie takýchto domén aj spolu s celou webovou platformou s obsahom porušujúcim autorské práva a zasahujúcim do dobrej povesti. Pritom klient prišiel v jednom z týchto prípadov s tým, že inde mu povedali, že sa s tým nedá nič robiť, keď sa nedá zistiť, kto konkrétnu doménu zaregistroval, lebo nemáte koho žalovať. Treba si uvedomiť, že aj poskytovatelia služieb informačnej spoločnosti majú svoju zodpovednosť. A tá bola uznaná na úrovni práva EÚ aj z dôvodu rozšírenej anonymity užívateľov internetu. Vždy sa dá (aspoň) niečo urobiť, len treba vedieť na koho sa obrátiť.
Čo je aktuálny problém v IT bezpečnosti, na tému ktorého najčastejšie poskytujete právne poradenstvo?
S.U.: Jednoducho povedané – nedostatok povedomia o potrebe, resp. nevyhnutnosti implementácie účinných opatrení IT bezpečnosti v praxi a postupu, keď bezpečnostný incident nastane. A to je úplne jedno či ste súkromný užívateľ, malý e-shop, alebo orgán verejnej moci. A ruka v ruke s tým ide aj výber správnych odborníkov, ktorí by boli schopní (často za rozumnú odplatu) implementovať zákonné požiadavky do praxe konkrétneho klienta a rešpektovali vaše odporúčania ako advokáta v tejto oblasti.
Ak by som mala spomenúť konkrétny problém z praxe, je to určite výber poskytovateľa cloudového riešenia. Tu býva najčastejším problémom, že poskytovateľ má potrebnú infraštruktúru, služby z technologického hľadiska na vysokej úrovni, support 24/7, ale právnej regulácii svojich služieb už nerozumie tak dobre ako ich technickej stránke. Preto sa často stáva, že klient ako firma príde s uzatvorenou zmluvou pre koncového užívateľa ako fyzickej osoby, či bez dostatočného ošetrenia zodpovednosti za spracúvanie osobných údajov. Mnohí poskytovatelia cloudových riešení, serverhousingu a obdobných služieb ani netušia, že majú povinnosti podľa GDPR. A tu väčšinou klient ťahá za kratší koniec, keďže takýto poskytovatelia trvajú na svojich všeobecných obchodných podmienkach, bez ohľadu na to, akú právnu kvalitu majú, či ako sa na pomery konkrétneho klienta (ne)hodia. Obdobný problém je aj pri poskytovateľoch služieb hromadného rozposielania e-mailov, nehovoriac o poskytovateľoch, ktorí majú časť svojich serverov na území USA, čo môže byť dosť veľký problém po zneplatnení tzv. Privacy Shield Súdnym dvorom EÚ v júli tohto roku.
Je podľa Vás na Slovensku dostatok odborníkov na IT právo alebo ide stále o jednu z menej rozvinutých právnych oblastí?
S.U.: Neviem posúdiť či dostatok, skôr asi máme v tejto oblasti ešte rezervy, ale kladne hodnotím záujem o IT právo u mladých právnikov. Často od mladých začínajúcich právnikov počúvam, že by sa v budúcnosti po vstupe do advokácie chceli venovať regulácii kryptomien, softvérovému právu a umelej inteligencii, čo mňa osobne veľmi teší. Myslím, že časom sa nám výrazne rozrastie počet právnych odborníkov aj na oblasť IT, ako sa to stalo napr. po 25.05.2018, po nástupe GDPR v oblasti ochrany osobných údajov, kedy sme zaznamenali naozaj raketový nárast počtu rôznych špecialistov na GDPR. V IT oblasti môže a zrejme aj bude takýmto impulzom nárast nevyhnutnosti využívania informačných technológií v súvislosti s prijímanými protipandemickými opatreniami.
Kto každý by mal riešiť IT bezpečnosť v bežnom živote?
S.U.: Odpoveď je jednoduchá, každý kto sa pripája na internet. Obdobie, kedy ešte bolo možné komunikovať na internete pri súčasnom rešpektovaní nášho súkromia je už dávno preč. Nie náhodou Edward Snowden po svojich odhaleniach v roku 2013 o prístupe amerických tajných služieb k celosvetovej internetovej a telefonickej komunikácii opakovane uvádzal ako jeden z hlavných dôvodov pre svoje rozhodnutie to, že on si ešte pamätá slobodný internet, kedy žurnalisti, študenti, whistlebloweri, politickí oponenti, ale aj úplne bežní ľudia, mohli komunikovať na internete bez obavy, že im zajtra niekto zaklope na dvere. Toto je otázka, ku ktorej by sa dalo rozprávať naozaj veľa. Vo všeobecnosti však platí, že nedávajte na internet nič, čo by ste neukázali cudziemu človeku na ulici. Najčastejšie používam jedno prirovnanie. Predstavte si, že trávite čas na svojom počítači, ste prihlásení na všetkých svojich štandardných platformách a niekto celý čas stojí za vami a pozerá vám cez plece. Ako by ste sa cítili? Vypli by ste počítač alebo by ste stále tvrdili, že nemáte čo skrývať, nech to pokojne celé sleduje? A teraz si predstavte, že za vašim plecom stoja tisícky ľudí s rôznymi motiváciami na sledovanie vašej aktivity. Takto to zjednodušene vyzerá, keď ste pripojení na internete. Len s tým rozdielom, že tie tisícky pozorovateľov sa nachádzajú na druhej strane za vašim monitorom, nie za vašim plecom, a majú omnoho sofistikovanejšie metódy na analýzu vašej činnosti, ako len „pozeranie sa“.
S týmto myšlienkovým nastavením by sme mali k internetu pristupovať. Úplným základom by mali byť dostatočne silné heslá, ktoré nerecyklujete, to znamená, že ideálne by ste pre každú službu, aspoň pre tie najdôležitejšie, mali používať dostatočne silné jedinečné heslá. Určitou, aj keď trochu úsmevnou pomôckou, môžu byť zverejnené zoznamy najčastejšie používaných prístupových hesiel.
Ďalej, pre komunikáciu by ste si mali vybrať providerov e-mailových služieb, ktorí dbajú na ochranu súkromia. Freemaily nie sú úplne najlepšou voľbou, aj keď je pravda, že niektorí provideri bezpečných emailových služieb, napr. tutanota alebo ProtonMail, poskytujú svoje služby do určitej miery aj zadarmo. To isté platí aj o webových prehliadačoch, online komunikátoroch, a samostatná otázka je výber poskytovateľov cloudu, a to aj pre súkromné účely. Len pre zaujímavosť pripomeniem, že už sme zaznamenali niekoľko prípadov, kedy na krádež identity či vytvorenie veľmi dôveryhodne vyzerajúceho falošného profilu postačilo len zopár citlivých fotiek získaných z nedostatočne chráneného cloudu. A posledná vec – myslím, že mnohí z nás si pamätajú aféru s narušením bezpečnosti serverov kanadskej internetovej zoznamky pre zadaných - Ashley Madison, kedy hackeri získali a zverejnili kompletný obsah komunikácie užívateľov, ktorí boli v drvivej väčšine zadaní muži. Následky boli v mnohých prípadoch až fatálne, samovraždy poškodených nevynímajúc. Paradoxne, táto zoznamka dodnes funguje.
Internet je skrátka prepojená sieť, ktorá sa približuje za určitých okolností skôr k otvorenej knihe ako zakódovanému trezoru. Niektorí bezpečnostní analytici prirovnávajú e-mailové správy skôr k offlinovým pohľadniciam, ako listom v obálkach. A na to netreba zabúdať. Netreba sa opíjať povedomím, že ak nerobíme nič zlé, nemáme čo skrývať. Nejde totiž o nás a naše dobré či zlé úmysly. Aj tie najneutrálnejšie údaje zverejnené na internete môžu byť zneužité inými osobami, ktoré už také dobré úmysly ako my nemajú. Neveríte? Tak sa zamyslite nad následkami zverejnenia čísla svojho bankového účtu vrátane prístupových údajov, zverejnením obsahu svojej elektronickej pobočky vedenej vo vašej zdravotnej poisťovni, zverejnením nevinnej konverzácie s bývalou spolužiačkou v piatok večer, keď vaša priateľka nebola doma. Populárny koncept „I have nothing to hide (nemám čo skrývať)“ nie je o zlých úmysloch, ale o tom, že v prvom rade každý z nás nevyhnutne potrebuje priestor pre seba, kde má svoje súkromie, a kde má dôvod sa domnievať, že ho nikto nesleduje. A potom je tu samozrejme nevyhnutnosť bezpečného priestoru, ktorý keby nebol, mohlo by to ohroziť naše úspory na bankovom účte, naše zamestnanie, ak by zamestnávateľ vedel aké názory zastávate, či aký máte zdravotný stav.
S akými právnymi odvetviami sa IT právo najčastejšie prelína?
S.U.: V IT práve je veľmi málo odvetví alebo oblastí práva, ktoré nepotrebujete ovládať a vedieť využiť, hoci len okrajovo. Ak mám však spomenúť najzákladnejšie oblasti, ktoré by si mal študent práva vybrať ako voliteľné predmety, ak sa chce venovať IT právu, tak je to určite oblasť ochrany osobných údajov, právo duševného a priemyselného vlastníctva, a samozrejme neodmysliteľná úprava obchodných zmlúv a nekalej súťaže.
Aké predpoklady by mal mať IT právnik?
S.U.: Základným predpokladom vo všeobecnosti je vždy mať rád/rada svoju prácu a vedieť pracovať s ľuďmi, aktívne ich vedieť počúvať a úprimne sa snažiť hľadať riešenia, a to aj (alebo predovšetkým) tam, kde by ich nikto iný nehľadal.
Konkrétne pre IT právnika je dôležitý nielen záujem o technológie a technologický pokrok, ale aj reálna práca s nimi. Ak ste niekedy mali možnosť konverzovať s klientom zo sveta IT, viete, že je nevyhnutné poznať minimálne ich základné pojmy. Mali by ste vedieť čo znamená API, UX/UI, dynamická/statická IP adresa, testovacia a produktívna fáza programu, a mnohé ďalšie. Bez toho právnik nemá šancu sa tejto špecifickej oblasti venovať. Je to akoby ste sa venovali zdravotnému právu a pritom nepoznali ani základné typy poskytovateľov zdravotnej starostlivosti.
Čím viac je právnik v informačných technológiách ponorený, tým je komunikácia s ním pre klienta jednoduchšia. Viem z vlastnej praxe povedať, ako veľmi mi dodnes v komunikácii s klientami pomáha, že mám skúsenosti s programovaním, tvorbou webových stránok (vrátane nášho firemného webu) a taktiež s digitálnym marketingom, ktorý momentálne študujem.
_____________________
Pre lepšie pochopenie praktického fungovania právnika venujúcemu sa oblasti IT práva, sme podobné otázky položili aj advokátovi Oliverovi Majdúchovi (O.M.), z advokátskej kancelárie SCHIN & MAJDÚCH legal s.r.o., ktorý v advokácii pracuje už jedenásť rokov. Momentálne má na starosti IT klientov, realitné projekty a vyjednávanie sporov. Okrem právnickej roboty sa venuje aj riadeniu obchodných činností a vedeniu kancelárie. V druhom roku fungovania spoločnosti získali ako advokátska kancelária cenu Právnická firma roka pre IT a nomináciu na prestížnu CIJ Award pre najlepšiu advokátsku kanceláriu na právo komerčných nehnuteľností hneď v ďalšom roku.
Čo je Vašou najčastejšou agendou a v akých IT problémoch radíte svojim klientom najčastejšie?
O.M.: Najviac projektov riešime pre oblasť software, licencií, e-commerce a duševného vlastníctva. Klienti nám najčastejšie volajú s otázkami k zabezpečeniu softvérových a robotických riešení. Často riešime situácie, kedy IT firmy spolupracujú na rovnakých projektoch a my im pomáhame nastaviť joint-ventures, kde zabezpečujeme ochranu ich technológií.
Spôsobuje rozmach v technológiách aj väčší počet klientov?
O.M.: Určite áno, na Slovensku je silná TECH komunita a podniká tu veľa slovenských a medzinárodných IT firiem, ktoré predávajú svoje riešenia do zahraničia. Rastie tu tiež zaujímavá startupová skupina a zlepšuje sa prúdenie venture kapitálu. Takže na trhu vzniká vyšší počet IT projektov, vrátane sporov. Aj keď nedá sa povedať, že súdny systém je na ne pripravený.
Čo by mali byť základné predpoklady právnika úspešného v oblasti IT a aký máte Vy vzťah k technológiám?
O.M.: IT je mladá oblasť práva a pre mnohé kancelárie je to bolehlav. Pre nás to bol jeden z dôvodov, prečo sme si ju vybrali ako niche - trh je menej obsadený a rýchlejšie sa nám darí budovať kanceláriu. Myslím, že najdôležitejšie je mať otvorenú hlavu. Technológie idú neustále vpred a právny svet sa musí prispôsobiť, čo sa mu nie vždy darí. Tiež je dôležité spolupracovať s IT odborníkmi. My právnici si radi myslíme, že sme vytvorili skvelé riešenie, ale treba aby bolo pekné nielen na papieri, ale fungovalo aj v reálnom projekte.
Pre mňa sú technológie zrkadlom doby a myslím, že právnemu svetu môžu len prospieť. V kancelárii sme začali využívať viacero softvérových riešení a prakticky každú časť firmy máme už elektronizovanú. IT klienti ma ako advokáta naučili pracovať agilnejšie a komunikovať jednoduchšie.
Nebáť sa ísť s kožou na trh a robiť rýchle rozhodnutia, lebo tú aplikáciu klient spustil na novom trhu už včera.
S akými právnymi odvetviami sa IT právo najčastejšie prelína?
O.M.: Technológie sú prepojené s telekomunikáciami, autorským právom a duševným vlastníctvom. V praxi hovoríme o autorských a zamestnaneckých dielach, databázach, licenciách, zmluvách o elektronickej komunikačnej službe atď. Veľa klientov za nami prichádza ako za IT právnikmi, ale zveria nám obchodný projekt - napríklad akvizíciu technologickej firmy. Chcú, aby ich právnik rozumel nielen komerčnej agende, ale aj tomu, prečo tú firmu kupujú - IT riešeniu.
A napokon, kto každý by sa mal o IT bezpečnosť zaujímať?
O.M.: Každý, kto využíva technológie. Takže asi každý.
_____________________
Za zaujímavé odpovede respondentom ďakujeme a Vám želáme veľa obozretnosti a bezpečnosti v oblasti počítačov, internetu a technológií.