Menu

Články

Mobilní aplikace ve firmě

ČlánkyOstatníPrávo ITDavid Szostok12.03.2017
David Szostok12.03.2017

V dnešní době užívají chytrý telefon necelé tři miliardy lidí[1], z nichž více jak polovina má na mobilních zařízeních zřízen přístup k internetu[2]. Právě možnost mobilního přístupu ke všem firemním datům společnosti vyžaduje vysoké zabezpečení takových zařízení. Firmy by tak jejich ochraně měly věnovat dostatečnou pozornost.

Cílem mobilního přístupu zaměstnanců k firemním datům a dokumentům je zvýšení jejich produktivity, zvláště pokud jsou zaměstnanci pro práci ochotni namísto firemních mobilních telefonů využívat své soukromé telefony (tzv. BYOD přístup – bring your own device), což je přístup, který se ve společnostech začíná čím dál tím více uplatňovat. Právě ve druhém případě, kdy zaměstnanec využívá svůj osobní telefon jako pracovní, není udržitelná možnost instalovat na mobilní zařízení pouze takový počet a druh aplikací, jež jsou objektivně považovány za bezpečné. V kontextu bezpečnosti v mobilním světě však není do takové míry stěžejní, kdo je vlastníkem chytrého telefonu, ale spíše jakým způsobem je mobilní zařízení využíváno a zabezpečeno.

Výsledky studie Ponemon Institute[3] z roku 2014 uvádí, že až 67 % společností zaznamenalo porušení ochrany mobilních dat. Bezpečnost firemních mobilních zařízení s různými operačními systémy je totiž ohrožena také používáním mobilních aplikací. Jen na Apple App Store bylo v minulém roce vydáno průměrně 53.993 aplikací[4] za měsíc. Protože lidé užíváním mobilních aplikací stráví až 87 % z celkového času stráveného používáním mobilního zařízení[5], je důležité zajistit bezpečné užívání takových aplikací, které jsou jinak schopny sledovat, mazat, externě spravovat či schovávat veškerá korporátní data.   

V posledních letech došlo k výraznému zvýšení počtu instalovaných aplikací využívaných v korporátním prostředí, které představují potenciální hrozbu pro infiltraci korporátních dat. Zpráva Secure Now z roku 2016[6] uvádí, že cca 25 % mobilních aplikací obsahuje nejméně jednu vysoce riskantní bezpečnostní chybu, přičemž tzv. “byznys“ aplikace mají oproti těm průměrným až trojnásobně vyšší pravděpodobnost úniku přihlašovacích údajů. Mimo zmíněného úniku soukromých informací existují i další příklady, kdy byznys aplikace mohou představovat bezpečnostní hrozbu pro samotný byznys. Není totiž pravidlem, že by aplikace adekvátně chránily nebo enkryptovaly data, která odesílají nebo přijímají. Jiné aplikace můžou obsahovat malware schopný infikovat mobilní zařízení (např. smazání účtů, přemístění informací, změna nastavení administrátora atd.). Přístup k soukromým informacím tohoto typu aplikace získávají na mobilním zařízení na základě poskytnutého souhlasu při jejich instalaci.

Zpráva CloudLock[7] uvádí, že mezi jednotlivými průmyslovými odvětvími existuje relativně rovnoměrné rozložení aplikací s nízkým, středním a vysokým rizikem. Procento rizikových aplikací je však vyšší především u finančních institucí. Ve zprávě se současně nepotvrdil předpoklad, že evropské společnosti budou kvůli zvýšené úrovni regulace používat nižší procento vysoce rizikových aplikací.

Nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů, které vstoupí v účinnost 25. května 2018, reguluje všechny případy, v nichž užívání aplikace v mobilních zařízeních zahrnuje zpracování osobních údajů fyzických osob. Toto přímo aplikovatelné nařízení tudíž fakticky nahradí zákon o ochraně osobních údajů.

Většina údajů dostupných v mobilních zařízeních totiž patří k osobním údajům. Tuto problematiku doposud analyzovala Pracovní skupina zřízena dle článku 29 evropské směrnice o ochraně osobních údajů, která vydala formálně nezávazné, ale široce respektované Stanovisko 2/2013 o aplikacích na mobilním telefonu. To uvádí, že úzká interakce s operačním systémem prostřednictvím rozhraní pro programování aplikací (API – Application Programming Interface) umožňuje aplikacím přístup k podstatně většímu množství údajů než tradiční internetový prohlížeč. Za hlavní rizika pro konečné uživatele se považují v první řadě transparentnost aplikace (mnoho z nich nemá politiku ochrany soukromí nebo potenciální uživatele smysluplně neinformuje o druhu osobních údajů, jež aplikace zpracovává a proč). Větším rizikem jsou nedostatečná bezpečnostní opatření, která mohou vést ke zneužití citlivých osobních údajů. Jiný problém nastane, když strany, podílející se na zpracování údajů, nezohledňují zásadu omezení účelu, dle níž musí být osobní údaje shromažďovány a zpracovávány pouze pro konkrétní a legitimní účely. Osobní údaje shromažďované aplikacemi mohou být široce distribuovány třetím stranám pro neurčité účely tzv. „výzkumu trhu“. Případně mohou být shromažďovány, aniž by existoval smysluplný vztah se zjevnou funkcí aplikace.

Velké riziko pro ochranu osobních údajů při užívání mobilních aplikací vyplývá i z mnohosti aktérů, kteří se podílí na vývoji, distribuci a fungování těchto aplikací. Jejich vývojáři, obchody s aplikacemi, výrobci OS a zařízení a třetí strany musí na ochranu osobních údajů přijmout vhodná technická a organizační opatření k tomu, aby byly tyto osobní údaje dostatečně chráněny za předpokladu, že tyto údaje spravují nebo zpracovávají.

Povinnost zajistit bezpečnost osobních údajů a aktivně informovat uživatele o náhlém narušení bezpečnosti je nyní stanovena pouze pro poskytovatele veřejně dostupných komunikačních služeb. Tato povinnost se nově rozšíří na všechny správce a zpracovatele údajů i v souvislosti s mobilními aplikacemi nařízením o ochraně fyzických osob v souvislosti se zpracováním osobních údajů, které vstoupí v účinnost 25. května 2018, za předpokladu, že toto narušení bezpečnosti bude mít za následek vysoké riziko pro práva a svobody fyzických osob.

Příkladem takové bezpečnostní hrozby pro společnosti je velmi populární hra Pokémon Go. Tato aplikace, kterou si za prvních 19 dnů stáhlo 50 miliónů lidí[8], měla oprávnění jednat za uživatele prostřednictvím OAuth spojení. To znamená, že Pokémon Go aplikace a potažmo její prodejce mohli sledovat, měnit, sbírat nebo mazat cokoliv, co bylo spojeno s Google účtem uživatele. Tedy i posílat emaily, sbírat osobní data nebo mít přístup ke kameře.

Společnost Niantic, jakožto vývojář aplikace Pokémon Go, následně vydala prohlášení, v němž uvedla, že se jednalo o „omyl“, kdy aplikace žádala uživatele o přístup k jejich Google účtům, avšak zároveň ujistila uživatele, že na základě těchto souhlasů shromažďovala společnost jen základní informace o těchto účtech, což bylo potvrzeno i společností Google, která následně omezila oprávnění Niantic bez nutnosti uživatelů jakkoliv reagovat.

Závěrem je tedy doporučení pro společnosti, které by si měly uvědomit důležitost obsahu obchodních podmínek různých mobilních aplikací určených právě pro byznys.


[1] https://www.statista.com/statistics/330695/number-of-smartphone-users-worldwide/

[2] http://www.statista.com/statistics/284202/mobile-phone-internet-user-penetration-worldwide

[3] http://www.ponemon.org/local/upload/file/AT%26T%20Mobility%20Report%20FINAL%202.pdf

[4] http://www.pocketgamer.biz/metrics/app-store/submissions/

[5] https://www.comscore.com/Insights/Presentations-and-Whitepapers/2015/The-2015-US-Mobile-App-Report

[6] https://info.nowsecure.com/rs/201-XEW-873/images/2016-NowSecure-mobile-security-report.pdf

[7] https://www.cloudlock.com/wp-content/uploads/2016/06/Q2-Cybersecurity-Report-Explosion-of-Apps.pdf

[8] https://sensortower.com/blog/pokemon-go-50-million-downloads

David Szostokprávník mezinárodní advokátní kanceláře PwC Legal
0%
Hodnocení článku
Pro hodnocení článku musíte býtpřihlášen/a
Přidat komentář
Pro přidání komentáře musíte být přihlášen/a
Tento web využívá cookies pro zajištění funkčnosti webu a získání statistik návštěvnosti webu

Partneři projektu

Všichni partneři