Jak souvisí ochrana digitálních aktiv společnosti a corporate governance ve 21. století?

20.3.2012

Vladimír Brož, prezident ČITOS

Pod digitálními aktivy lze zjednodušeně rozumět IT sítě, systémy a data v nich uložená, shromažďovaná a zpracovávaná. Jakkoliv si to začasto neuvědomujeme, digitální aktiva patří ke klíčovým položkám majetku téměř každé obchodní společnosti, bez ohledu na její velikost či předmět podnikání. Zatímco v případě „standardních“ aktiv je odpovědnost členů statutárního orgánu (a odvozeně též dalších orgánů společnosti) za ochranu jejich hodnoty a efektivní využívání k podnikání společnosti všeobecně akceptována a (v praxi ovšem na různých kvalitativních úrovních) i praktikována, v případě digitálních aktiv, jak ukazují aktuální průzkumy, přetrvává ve světě neutěšená situace a v ČR na tom jsme obdobně špatně.
Situaci v předních světových společnostech zařazených v žebříčku Forbes 2000 zkoumala v letech 2008, 2010 a 2012 Carnegie Mellon University a došla ke znepokojivým výsledkům. Ačkoliv se v průběhu sledovaného období řádově zvýšilo riziko kyberzločinu, angažovanost správních rad / statutárních orgánů v této oblasti se posunula k lepšímu pouze v nevýznamném rozsahu. Výsledky posledního průzkumu (2012) jsou následující: Více než polovina zkoumaných společností se nezabývá vůbec (nebo jen zřídka) stanovením a hodnocením strategií a politiky v oblasti IT bezpečnosti, schvalováním působnosti managerů pro oblast IT bezpečnosti a ochrany informací a posuzováním a určováním rozpočtů pro ochranu digitálních aktiv. Ve čtvrtině sledovaných společností správní rady (statutární orgán) se nezabývá riziky IT bezpečnosti a ochrany informací vůbec a v dalších 34% společností se tato témata dostávají na pořad jednání pouze příležitostně (tj. nesystematicky). Ze stejného průzkumu dále vyplynulo, že oblast kyberbezpečnosti zůstává v obchodních společnostech k tématům, které jsou ze strany statutárních orgánů nejvíce opomíjené a zanedbávané.

Jaká je situace v českých společnostech? Zřejmě nejaktuálnější pohled nabízí výsledky 6. průzkumu hospodářské kriminality provedeného v roce 2011 celosvětově (i v ČR) konzultační společností PricewaterhouseCoopers, který byl tentokrát primárně zaměřen na problematiku počítačové kriminality (do počítačové kriminality lze zařadit jakýkoliv hospodářský trestný čin spáchaný pomocí počítače nebo internetu). Pouze 20% českých společností přehodnocuje rizika IT bezpečnosti častěji než jedenkrát ročně, polovina společností ponechává prevenci i šetření počítačové kriminality výhradně na managerech IT (tato oddělení jsou přitom všeobecně označována IT odborníky i respondenty jako největší interní hrozba počítačového zločinu!).
Co je společným jmenovatelem tohoto všeobecně neutěšeného stavu? Statutárním orgánům chybí potřebná kompetence v oblasti IT bezpečnosti, kyberzločin není začasto chápán jako standardní součást provozního rizika společností, v řadě případů je zajištění IT bezpečnosti na odpovídající úrovni odkládáno pod heslem nutnosti snižování investičních a provozních nákladů a redukce počtu zaměstnanců.

Společnostem, které podceňují nebezpečí kyberzločinu, hrozí zvýšené riziko finančních ztrát a poškození reputace. Efektivní správa IT bezpečnosti a ochrany informací přitom představuje konkurenční výhodu – společnosti jsou vnímány jako důvěryhodný obchodní partner a zaměstnavatel, ziskovost společnosti není ohrožena finančními dopady postihů za neplnění zákonných požadavků compliance, finančními ztrátami z omezení či zastavení podnikatelské činnosti, dopady podvodů, ztrátami obchodního tajemství (včetně např. databází zákazníků) atd.

Členy správních orgánů českých společností by měla problematika zajištění IT bezpečnosti v jimi spravovaných subjektech zajímat mj. též s přihlédnutím k sankcím, které od počátku letošního roku přináší zákon o trestní odpovědnosti právnických osob (TOPOZ). V katalogu 78 trestných činů, které tento zákon uvádí, jsou tři oblasti jednání, které se týká problematiky IT: neoprávněný přístup k počítačového systému a nosiči informací (§ 230 trestního zákoníku), opatření a přechovávání přístupového zařízení a hesla k počítačovému systému a jiných takových dat (§ 231 trestního zákoníku), poškození záznamu v počítačovém systému a na nosiči informací a zásah do vybavení počítače z nedbalosti (§ 232 trestního zákoníku). Pokud dojde k naplnění uvedených trestných činů a zároveň bude prokázáno, že ve společnosti jsou nedostatečným způsobem ošetřena rizika IT bezpečnosti a ochrany informací, bude společnosti uložen trest (zpravidla bude primárně připadat v úvahu peněžitý trest, který může dosáhnout v mezní výši až 2 mil. Kč denně) a za způsobení této škody budou primárně odpovídat členové statutárního orgánu (jednatelé, představenstvo) a sekundárně též členové dozorčí rady, a to z důvodu porušení povinnosti péče řádného hospodáře. V případě členů statutárního orgánů připadá v úvahu též trestněprávní postih za porušení povinnosti pří správě cizího majetku dle § 220 nebo § 221 trestního zákoníku, přičemž v případě druhého z uváděných trestných činů postačí pouhopouhé prokázání zanedbání výkonu povinností (nedbalostní trestný čin). Co mohou členové statutárního orgánu společnosti udělat pro mitigaci rizika postihu dle TOPOZ v oblasti IT bezpečnosti a ochrany informací? Stručně řečeno, v prvé řadě by měli posoudit rizikový profil společnosti (s přihlédnutím k její velikosti, předmětu podnikání, počtu a charakteru obchodních partnerů apod.), posílit svou kompetenci (vnitřní – angažováním člena orgánu, který bude odborníkem na oblast IT bezpečnosti; vnější – využívání odborné pomoci externích odborníků) a návazně implementovat fungující compliance program napříč celou společností.

Malý dodatek k tématu IT na závěr: TOPOZ umožní efektivněji a účinněji postihovat též případy nelegálního užívání softwaru (porušení autorského práva, práv souvisejících s právem autorským a práv k databázi – § 270 trestního zákoníku). Pro postih právnické osoby dle TOPOZ bude postačovat, že ve svých IT zařízeních má instalován nelegálně získaný software a že v oblasti prevence proti tomu nic neučinila. Že se jedná o aktuální téma, svědčí průzkumy BSA (Business Software Aliance), podle které je zhruba 36% užívaného softwaru v ČR (v odhadované hodnotě 3,7 mld. Kč) pořízeno nelegálně. V podnikatelské sféře je nejvíce viníků mezi malými a středními společnostmi které mají deset až sto zaměstnanců. Z odvětvového pohledu převažují dle BSA podniky v oblasti logistiky, designu nebo grafiky.