Mobilní aplikace ve firmě
V dnešní době užívají chytrý telefon necelé tři miliardy lidí[1], z nichž více jak polovina má na mobilních zařízeních zřízen přístup k internetu[2]. Právě možnost mobilního přístupu ke všem firemním datům společnosti vyžaduje vysoké zabezpečení takových zařízení. Firmy by tak jejich ochraně měly věnovat dostatečnou pozornost.
Cílem mobilního přístupu zaměstnanců k firemním datům a dokumentům je zvýšení jejich produktivity, zvláště pokud jsou zaměstnanci pro práci ochotni namísto firemních mobilních telefonů využívat své soukromé telefony (tzv. BYOD přístup – bring your own device), což je přístup, který se ve společnostech začíná čím dál tím více uplatňovat. Právě ve druhém případě, kdy zaměstnanec využívá svůj osobní telefon jako pracovní, není udržitelná možnost instalovat na mobilní zařízení pouze takový počet a druh aplikací, jež jsou objektivně považovány za bezpečné. V kontextu bezpečnosti v mobilním světě však není do takové míry stěžejní, kdo je vlastníkem chytrého telefonu, ale spíše jakým způsobem je mobilní zařízení využíváno a zabezpečeno.
Výsledky studie Ponemon Institute[3] z roku 2014 uvádí, že až 67 % společností zaznamenalo porušení ochrany mobilních dat. Bezpečnost firemních mobilních zařízení s různými operačními systémy je totiž ohrožena také používáním mobilních aplikací. Jen na Apple App Store bylo v minulém roce vydáno průměrně 53.993 aplikací[4] za měsíc. Protože lidé užíváním mobilních aplikací stráví až 87 % z celkového času stráveného používáním mobilního zařízení[5], je důležité zajistit bezpečné užívání takových aplikací, které jsou jinak schopny sledovat, mazat, externě spravovat či schovávat veškerá korporátní data.
V posledních letech došlo k výraznému zvýšení počtu instalovaných aplikací využívaných v korporátním prostředí, které představují potenciální hrozbu pro infiltraci korporátních dat. Zpráva Secure Now z roku 2016[6] uvádí, že cca 25 % mobilních aplikací obsahuje nejméně jednu vysoce riskantní bezpečnostní chybu, přičemž tzv. “byznys“ aplikace mají oproti těm průměrným až trojnásobně vyšší pravděpodobnost úniku přihlašovacích údajů. Mimo zmíněného úniku soukromých informací existují i další příklady, kdy byznys aplikace mohou představovat bezpečnostní hrozbu pro samotný byznys. Není totiž pravidlem, že by aplikace adekvátně chránily nebo enkryptovaly data, která odesílají nebo přijímají. Jiné aplikace můžou obsahovat malware schopný infikovat mobilní zařízení (např. smazání účtů, přemístění informací, změna nastavení administrátora atd.). Přístup k soukromým informacím tohoto typu aplikace získávají na mobilním zařízení na základě poskytnutého souhlasu při jejich instalaci.
Zpráva CloudLock[7] uvádí, že mezi jednotlivými průmyslovými odvětvími existuje relativně rovnoměrné rozložení aplikací s nízkým, středním a vysokým rizikem. Procento rizikových aplikací je však vyšší především u finančních institucí. Ve zprávě se současně nepotvrdil předpoklad, že evropské společnosti budou kvůli zvýšené úrovni regulace používat nižší procento vysoce rizikových aplikací.
Nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů, které vstoupí v účinnost 25. května 2018, reguluje všechny případy, v nichž užívání aplikace v mobilních zařízeních zahrnuje zpracování osobních údajů fyzických osob. Toto přímo aplikovatelné nařízení tudíž fakticky nahradí zákon o ochraně osobních údajů.
Většina údajů dostupných v mobilních zařízeních totiž patří k osobním údajům. Tuto problematiku doposud analyzovala Pracovní skupina zřízena dle článku 29 evropské směrnice o ochraně osobních údajů, která vydala formálně nezávazné, ale široce respektované Stanovisko 2/2013 o aplikacích na mobilním telefonu. To uvádí, že úzká interakce s operačním systémem prostřednictvím rozhraní pro programování aplikací (API – Application Programming Interface) umožňuje aplikacím přístup k podstatně většímu množství údajů než tradiční internetový prohlížeč. Za hlavní rizika pro konečné uživatele se považují v první řadě transparentnost aplikace (mnoho z nich nemá politiku ochrany soukromí nebo potenciální uživatele smysluplně neinformuje o druhu osobních údajů, jež aplikace zpracovává a proč). Větším rizikem jsou nedostatečná bezpečnostní opatření, která mohou vést ke zneužití citlivých osobních údajů. Jiný problém nastane, když strany, podílející se na zpracování údajů, nezohledňují zásadu omezení účelu, dle níž musí být osobní údaje shromažďovány a zpracovávány pouze pro konkrétní a legitimní účely. Osobní údaje shromažďované aplikacemi mohou být široce distribuovány třetím stranám pro neurčité účely tzv. „výzkumu trhu“. Případně mohou být shromažďovány, aniž by existoval smysluplný vztah se zjevnou funkcí aplikace.
Velké riziko pro ochranu osobních údajů při užívání mobilních aplikací vyplývá i z mnohosti aktérů, kteří se podílí na vývoji, distribuci a fungování těchto aplikací. Jejich vývojáři, obchody s aplikacemi, výrobci OS a zařízení a třetí strany musí na ochranu osobních údajů přijmout vhodná technická a organizační opatření k tomu, aby byly tyto osobní údaje dostatečně chráněny za předpokladu, že tyto údaje spravují nebo zpracovávají.
Povinnost zajistit bezpečnost osobních údajů a aktivně informovat uživatele o náhlém narušení bezpečnosti je nyní stanovena pouze pro poskytovatele veřejně dostupných komunikačních služeb. Tato povinnost se nově rozšíří na všechny správce a zpracovatele údajů i v souvislosti s mobilními aplikacemi nařízením o ochraně fyzických osob v souvislosti se zpracováním osobních údajů, které vstoupí v účinnost 25. května 2018, za předpokladu, že toto narušení bezpečnosti bude mít za následek vysoké riziko pro práva a svobody fyzických osob.
Příkladem takové bezpečnostní hrozby pro společnosti je velmi populární hra Pokémon Go. Tato aplikace, kterou si za prvních 19 dnů stáhlo 50 miliónů lidí[8], měla oprávnění jednat za uživatele prostřednictvím OAuth spojení. To znamená, že Pokémon Go aplikace a potažmo její prodejce mohli sledovat, měnit, sbírat nebo mazat cokoliv, co bylo spojeno s Google účtem uživatele. Tedy i posílat emaily, sbírat osobní data nebo mít přístup ke kameře.
Společnost Niantic, jakožto vývojář aplikace Pokémon Go, následně vydala prohlášení, v němž uvedla, že se jednalo o „omyl“, kdy aplikace žádala uživatele o přístup k jejich Google účtům, avšak zároveň ujistila uživatele, že na základě těchto souhlasů shromažďovala společnost jen základní informace o těchto účtech, což bylo potvrzeno i společností Google, která následně omezila oprávnění Niantic bez nutnosti uživatelů jakkoliv reagovat.
Závěrem je tedy doporučení pro společnosti, které by si měly uvědomit důležitost obsahu obchodních podmínek různých mobilních aplikací určených právě pro byznys.
-28951871.png)
[1] https://www.statista.com/statistics/330695/number-of-smartphone-users-worldwide/
[2] http://www.statista.com/statistics/284202/mobile-phone-internet-user-penetration-worldwide
[3] http://www.ponemon.org/local/upload/file/AT%26T%20Mobility%20Report%20FINAL%202.pdf
[4] http://www.pocketgamer.biz/metrics/app-store/submissions/
[5] https://www.comscore.com/Insights/Presentations-and-Whitepapers/2015/The-2015-US-Mobile-App-Report
[6] https://info.nowsecure.com/rs/201-XEW-873/images/2016-NowSecure-mobile-security-report.pdf
[7] https://www.cloudlock.com/wp-content/uploads/2016/06/Q2-Cybersecurity-Report-Explosion-of-Apps.pdf
[8] https://sensortower.com/blog/pokemon-go-50-million-downloads
Další články
Evropská unie rozšiřuje regulaci AI. Obsah generovaný nebo upravený umělou inteligencí musí být pro uživatele rozpoznatelný
Jednou z nejzásadnějších změn v oblasti regulace AI budou nová pravidla transparentnosti, která vstoupí v účinnost 2. srpna 2026. Zavádějí povinnost jakýkoli AI obsah označit, informovat o deepfakes a upozornit uživatele, pokud komunikuje s umělou inteligencí.
Svěřenské fondy v realitních transakcích: Transparentní evidence skutečných majitelů versus limity AML prověrky
Využívání institutu svěřenských fondů zažívá v České republice v posledních letech dynamický nárůst, a to nejen jako nástroj pro správu rodinného majetku (family office) či mezigenerační transfer, ale stále častěji i jako entita vystupující v roli investora na realitním trhu. Pro realitní zprostředkovatele a další povinné osoby však toto uspořádání představuje značnou výzvu v oblasti Anti-Money Laundering (AML) procesů.
Maximální ceny pohonných hmot vyhlašované Ministerstvem financí
Ministerstvo financí od 8. dubna tohoto roku vyhlašuje v reakci na aktuální situaci na světových trzích a v návaznosti na to na domácím trhu každý pracovní den maximální ceny pohonných hmot na následující den, v případě vyhlášení v pátek na následující víkend a pondělí. Jaký je právní základ tohoto jeho počínání?
Česká republika rozšiřuje povinný screening zahraničních investic
Zahraniční investoři zvažující vstup do cílových společností aktivních na českém trhu by měli věnovat pozornost zásadní změně v oblasti prověřování zahraničních investic (FDI). Od 1. listopadu 2025 se v důsledku novely zákona o prověřování zahraničních investic výrazně rozšířil okruh transakcí, které podléhají povinné notifikaci a schválení ze strany Ministerstva průmyslu a obchodu. Povinnému screeningu budou nově častěji podléhat investice zejména v digitálním, technologickém, zdravotnickém či energetickém sektoru.
Nová „tlačítková” povinnost pro e-shopy
Od června 2026 budou muset provozovatelé e-shopů umístit na svůj web speciální tlačítko, jehož prostřednictvím bude moci spotřebitel jednoduše odstoupit od smlouvy. Tuto povinnost přináší připravovaná novela občanského zákoníku, která vychází z unijní směrnice. Jejím cílem je zajistit, aby bylo odstoupení od smlouvy pro spotřebitele stejně snadné jako její uzavření.
