Martin Maisner, právník IT: Bezpečnost je noční můrou cloud computingu

2. 3. 2012

Sdílet

JUDr. Martin Maisner, PhD. je považován za předního tuzemského právního experta na informatiku, jíž se věnuje déle než dvacet let. Habilitoval v oboru kybernetická bezpečnost. Říká: „CFO má největší šanci zadělat si na problémy tak, když o všem chce rozhodovat sám, tedy i o věcech, které mu nepřísluší.“

Jak na vás, pane doktore, působí současné dění kolem snahy omezit tzv. totální svobodu internetu ohledně návrhu zákona ACTA a příslušné reakce hnutí Anonymous a dalších hackerských či „hackaktivistiských“ skupin? Reakce establishmentu a veřejnosti jsou velmi rozdílné – i když už některé evropské vlády od problému náhle dávají ruce pryč (včetně německé vlády)… 

Začněme od lesa: prvořadé totiž je obecné pojímání toho, co internet a věci s tím související jsou. Bohužel, čím méně o věci někdo ví, tím více má tendenci o ní hovořit.

Víte, když posloucháte dejme tomu laiky či tzv. poučené laiky a především mladé uživatele, kteří bojují „za svobodný internet bez cenzury a jiných omezení“ tak máte pocit, že jde o lidi, kteří bojují za čistotu přírody nebo dokonce za návrat lidstva k přírodě. Jenomže internet není přírodní úkaz, ani Boží dar, na který máme všichni nárok a který musí zůstat čistý. Internet je technologie, která byla uměle vytvořena a která někomu patří, i když se o tom moc nemluví. A samozřejmě existují lidé, kteří mohou a dokáží zmáčknout nějaký ten knoflík nebo to vytáhnout ze zásuvky a celé vypnout.

Kdyby se nedávno nevzpomínalo dvaceti let zapojení internetu v České republice (13. 2. 1992 na ČVUT, fakulta elektrotechniky), tak většina lidí ani neví, jak internet vzniknul: nejprve vznikla tajná vojenská záležitost zvaná ARPHANET, které se zmocnily univerzity a vědecká pracoviště, tehdy například webové stránky zavedli v ženevském CERN. Teprve v devadesátých letech se zformovala známá informační dálnice a dnes máme internet i v mobilech…

Představa, že internet je tedy absolutně svobodné médium a jakýkoliv zásah do něj je proti „přírodě a Bohu“ je šetrně řečeno scestná. Stejně jako názor, že dění na internetu nikdo nesleduje. Je totiž podrobováno monitoringu z různých důvodů, z různých směrů a do různé hloubky – nejen zpravodajskými službami – téměř od samého počátku. Internet je prostě jisté prostředí, které má zákonitě nějaká pravidla. A pokud dnes lidé, reprezentovaní například skupinami Anonymous, bojují DOS útoky i na vládní www stránky za svobodu internetu, tak se ptám čeho a čí svoboda to má být.

 

Martin MaisnerObecně-zpravodajská média současnou situaci vysvětlují jako střet o svobodu stahovat si svobodně, tj. bezplatně umělecká díla z internetu, tedy písničky, knihy, filmy… 

S autorským právem to je složité. V nějaké formě existovalo autorství vždycky, ale jeho konkrétní podoba a koncepce, jak ji známe nyní, existuje vlastně posledních 150 let. Je také zjevné, že v té podobě, jak je nastaveno dnes, není úplně použitelné pro moderní technologie, jako je například právě internet a elektronický trh. Dnes, když si stáhnete z iTunes  písničku a nebo za pět dolarů na iPad film, tak je to jistě v pořádku. Ale! Možná by bylo vše všechno jinde, kdyby onen film byl za dva dolary, nebo ještě levnější…Pozor! Rozhodně se chci vyhnout řečem těch politiků, kteří argumentují, že i taková cena je vysoká a že proč by u nás mělo být stažení tak drahé, když lidé nevydělávají těch pět tisíc eur měsíčně? A co prý se stane, když se lidé podívají na film zdarma – příslušné firmy na něm už stejně dost vydělaly… Tohle zdůvodnění může být sice populární v některých zemích na východ od naší republiky, ale mně se postě nelíbí – faktem je, že krást se nemá…

Hovořím ovšem o filmech, knihách či písničkách, na něž jsou autorská práva na internetu krátká, ale to je menší část problému. Největší část problému představují data a software, o čemž se už tolik nemluví. A to jde o komerční produkty!

Za své praxe jsem se v mnoha případech setkal s řadou jinak vzdělaných lidí, kteří ale měli „natvrdo“ (a v případě freewaru zcela v souladu s přáním autora) stáhnutý nějaký shareware či freeware, ke kterému něco přilepili a chtěli to celé prodávat jako vlastní produkt – tedy vydělávat na cizím duševním vlastnictví, které pravý autor poskytl k užití zdarma za určitých podmínek! A nepřipadalo jim divné, že si něco zdarma přivlastnili a jiným to zdarma nehodlají poskytovat…

Je to všechno takové pokřivené, nevyzrálé. Nevím, jestli je to nevyzrálé právně, ale určitě filosoficky a společensky. Možná jdou nové technologie na nás trochu moc zhurta.

 

Říká se už dlouho, že technologie předbíhají morální úroveň lidstva… A v oblasti internetu je to markantní. Jenomže – současná zákonodárství staví na staletých tradicích a kyberprostor existuje dejme tomu tak padesát let, kdy začínala první komunikace mezi počítači. A my jsme – bohužel – za tu dobu nedokázali modifikovat zákony tak, aby dokázaly postihovat něco, co existuje historicky krátkou chvíli… 

A ani toho schopni nebudeme! Princip je takový, že právo je vždy o krok pozadu za životem. Až když se v životě objeví problém, něco, co je třeba regulovat, přichází právo. A opačně to ani být nemůže, právo vzniká až na základě nějaké společenské či politické poptávky.

Technologie, o nichž hovoříme a jež souvisí s internetem, jsou ještě o krok před běžným životem… Technologie často existuje ještě dříve, než pro ni vymyslíme nějaké faktické využití, lidi se pak učí technologii ovládat, využívat. To znamená, že právo je v takových případech „zpožděné“ dvakrát a tudíž neexistuje šance, aby právo regulovalo něco, co teprve – možná – ovlivní náš život.

To, že to mění vztahy, paradigmata, přístup k životu, životní statuty – protože sociální sítě udělaly se statutem lidí, s jejich soukromím věci, které absolutně nikdo před pár lety nepředpokládal, je něco natolik jiného, že na vzniklou situaci není připravena společnost a tudíž právo také ne. Na druhou stranu internet prostě nemůže být bezbřehým mořem absolutní svobody, protože se dá stejně jako řada jiných technologií, byť vyvinutých v dobré víře, zneužít. A že zneužíván je – viz extremismus, kybernetická kriminalita, kyberterorismus, porno atd., je prostý fakt.

 

Ale proč se například ani státy v EU nedokáží shodnout na určitých právních principech, ať už jde třeba o kyberkriminalitu či extremismus nebo ochranu autorských práv? 

Víte, malé dílčí věci, jako je například zákon o elektronických komunikacích, se podařily. Je tam vtělena například odpovědnost provozovatele elektronické komunikace – tedy i webových stránek – za obsah. Ale řešení si prosadili internet-provideři. A ti mají docela silné lobby…Bohužel EU obecně je impotentní. Řeší pouze to, co si tam někdo obšlápne v rámci lobbingu a nelze čekat, že by se něco urodilo samo od sebe.

Druhá věc je, na čem by mělo takové právo stavět. Informační technologie totiž mění celé principy, ze kterých právo vzniká. Vezměte si například jenom otázku elektronického podpisu, což je vlastně kódová záležitost. Kdo měl přístup ke kódu, mohl podepsat. Nicméně tam byla představa, že i v případě, kdy já ten kód někomu vyzradím a on za mne takto technicky něco podepíše, tak to bude považováno za můj podpis.

Když se ale vrátíme kamsi do raného středověku, kdy sice král neuměl psát a listinu napsal za něj mnich či písař, ale on se jí vlastní rukou dotknul, aby byla autenticita dána, tak tento tisíciletý princip „vlastnoručního podpisu“ v případě e-podpisu padá. Poněkud se vše přiblížilo zpět k popsané tradici tzv. biodynamickým podpisem, ale všechno má svůj rub. Když mi pak kolega řekl – prosím vás, to je směšné, dá se lehce zneužít také, protože můžete vytvořit paralelní počítač, který onu biodynamiku v přesné kopii vytvoří, tak jsem reagoval tím, že si takto mohu vytvořit celý paralelní svět… Můžete vytvořit robota, který přesně napodobí váš podpis a je to stejné. Takto můžeme do podobných extrémů dojít velmi rychle – a bohužel – lidi s technickým vzděláním k tomu ve vývoji směřují. Jenže právo se nedá vypočítat a pohyby ve společnosti také ne.

 

Čili trend, že by Evropa měla v dohledné době jednotnou legislativu pro internet a IT, vidíte spíše pesimisticky… 

V dohledné době ji určitě mít nebude a já jsem zde obecně skeptický. Totiž – princip kterékoliv iniciativy, která by věci řešila komplexně, pojmově, která by stanovovala specifické standardy, vhodné pro informační technologie, se bude dosti lišit například od práv na vlastnictví nemovitosti.

Proto se domnívám, že se pomalu a postupně budou dělat určité legislativní změny, ale tak, aby se lidi moc nevyděsili. My jsme totiž už vhodný čas propásli. Ono to někdy v roce 1995 znělo téměř jako vtip, když jsem přišel s představou nějaké mezinárodní konference, která by se dohodla na konvenci, zahrnující standardy pro právo v oboru informačních technologií. Dnes by možná ochota byla – ale víte snad o něčem takovém? Já tedy ne, což je ale možná jistý záměr. Ona se téměř každá právní úprava různých států liší. Jiná je například ve střední Evropě, jiná ve Francii nebo v Anglii, o Spojených státech nemluvě. A i když je někdy znění zákona stejné, každý si jej vykládá trochu jinak.

Typické je to třeba u softwaru. Můžete si zvolit právní řád podle toho, jaký vám vyhovuje – jestli například potřebujete více omezit odpovědnost za způsobenou škodu, nebo umožnit širší využívání se zákona a podobně.

Stručně řečeno – jednotná evropská IT legislativa, nebo dokonce celosvětová je sice báječná idea, ale nikde není ani známky, že by k ní někde směrovali. Paradoxně tato nejednotnost přispívá k flexibilitě trhu, protože si můžete ve smlouvě upravit záležitosti podle aktuálních pravidel hry, kdežto jakákoliv změna legislativní se pohybuje v řádu měsíců, ne-li let.

 

Jak tedy na vás v těchto souvislostech působí už citovaný antipirátský zákon ACTA? 

Aby bylo jasno – my samozřejmě máme předpisy a zákony, které jsou namířeny proti neautorizovanému nakládání s cizím duševním vlastnictvím. Domnívám se, že problémem není tzv. zákon, ale že jde v podstatě o mezinárodní úmluvu, která by autorizovala určité mechanismy a vyhledávací postupy na internetu, nikoliv že by zaváděla jejich trestnost. Ty jsou trestné dávno.

 

Otázkou pak zůstává, zda potom zásahy budou úměrné tomu, co se provádí… 

Víte, pokud se bavíme o terorismu, tak každý pochopí, že než aby s ním letadlo narazilo do mrakodrapu, tak strpí, aby ho prohledávali a že se musí při odbavení i zout. Ale – pokud mi řeknou, že mi budou pokaždé na letišti prohlížet počítač, jestli tam nemám zdarma staženou knihu nebo film nebo nelegální software, tak to musím říci prr, počkat! Pokud bude tzv. kontrola postavena takto, tak se musím především zeptat, kdo takovou kontrolu bude provádět, zda poučený laik nebo odborník. Teď si představte, že výklad toho zákona bude aplikovat zřízenec na letišti. Určitě nebude specialista na IT právo. On bude mít nějaké předpisy, které nemusí správně pochopit a vznikne problém.

Protože jestli tam mám například stažený film na iPadu, za který jsem zaplatil – protože tam to ani jinak nejde – jak mám prokázat jeho legalitu? Nebo si koupím film na DVD a protože je nechci nosit s sebou, tak si film zkopíruji na disk v notebooku. Ha! Mám tam stažený film – kde jsem ho koupil? Mám nosit účtenku s sebou? Nebo mi ho někdo půjčil. Dopustili jsme se neoprávněné distribuce? To také není úplně jasné! Možná ano, možná ne, to vše jsou záležitosti výkladu.

Mohu jen konstatovat, že i mezi námi právními specialisty v oboru IT příslušný výklad práva není právě jednotný. Ne nadarmo se říká, že dva právníci znamenají tři právní názory…Takže citovaná ACTA nepředstavuje krok správným směrem…

 

Situaci tak v mezičase pochopily i některé vlády v Evropě, včetně ČR, ale i Německa… Lze se domnívat, že hacktivisté z Anonymous slaví úspěch? 

Těžko říci…. Jestliže někdo křičí, že si chce kdykoliv vzít cokoliv cizího a podívat se kamkoliv, kam se technicky dostane, a jestli ne, tak vypne, zničí váš komfort, za který si platíte, tak s tím se já mohu jen těžko srovnat. Protože především nejde o žádné vyjednávání a za druhé – já totiž přesně nevím, co chtějí. Znamená to snad „vždycky jsme kradli a chceme krást dál?“ Možná, jak už jsem řekl, zákon o autorských právech možná není správně nastavený. Ale je to zákon!

 

Nejsou útoky hnutí Anonymous vlastně ukázkou kybernetické války? Napadení vládních serverů, ukradené databáze, u nás například ODS… 

DOS útoky jsou poměrně běžné, lze s nimi bojovat. A krádež databáze politické strany? Ať se hackeři dostanou kamkoliv, je to útok! Pozoruhodné je, že tito lidé požadují svobodný internet asi tak, že se mohou dostat kamkoliv, kde chybí dostatečná ochrana, protože prý jde přeci o sport…

Kybernetická válka, čili cyberwar (v minulosti se tomu říkalo REB – radioelektronický boj) už je určité technologické násilí. Jistě, záleží na úhlu pohledu a výkladu události, zda se jedná ještě o kriminalitu nebo už o válečný akt. Rozhodující úlohu zde hraje motivace.

 

Kde je tedy hranice mezi kybernetickou kriminalitou a kybernetickou válkou? 

To bychom se snad měli vrátit ke Clausewitzovi – když mluvíme o válce. Ale platí to – válka je pokračování politiky násilnými prostředky.

Podle mne se kyberkriminalita a kybernetická válka liší především tím, zda je vše nějak statutárně organizováno, když za tím stojí politický záměr. Například – kdyby USA vypnuly třeba Maledivám v souvislosti s diplomatickým tlakem komunikační sítě včetně internetu, protože tam došlo k převratu, tak bych stav nazval kybernetickou válkou.

Jestliže se jedná o útok jednotlivce, aniž by to mělo nějaký mezinárodně právní, nebo organizační rámec, pak jde buď o kyberkriminalitu nebo kyberterorismus. Ani kriminalita nemusí vždy mít jen motiv finanční, jsou lidi kteří se chtějí takto zviditelnit nebo mají potřebu ničit, či touhu odstranit konkurenci… Zde jsou motivy různé, včetně duševní choroby.

Ovšem kyberterorismus stejně jako terorismus klasický vždy páchá násilí za nějakým politickým účelem, když chce něčeho dosáhnout – propuštění politických vězňů, rozbití státního zřízení až po získání území a podobně.

 

Ovšem současné útoky Anonymous zároveň ukázaly, že ani vládní či stranické servery nejsou tak důkladně chráněny, jak si to mnozí CIO a CFO, zodpovědní za stav IT ve firmách a organizacích myslí… 

Tak především – absolutní kybernetická bezpečnost je v podstatě iluze. Jediné, s čím se dá pracovat je v zásadě poměr cena/výkon a představa, na jaké úrovni chci svůj server či firemní síť chránit proti běžným či pravděpodobným nebezpečím a neutratit při tom všechny peníze. Je třeba, aby se na situaci CFO spolu s CIO díval rozumně, protože žádný server není absolutně zabezpečený. Je třeba zkusit vybrat optimální řešení.

Já jsem mj. habilitoval v oboru kybernetická bezpečnost a především jsem se zabýval právními aspekty kybernetické bezpečnosti. Problém nastane už v okamžiku, kdy máte definovat, co je kybernetická bezpečnost. První, co někoho napadne, je – to je přeci bezpečnost kyberprostoru…Výborně, ale kde takový kyberprostor začíná a kde končí? Definovat kyberprostor jako cosi ohraničeného, vzít baterku, obejít ho a zjistit, co se tam děje, je samozřejmě marné. Potřebovali bychom spíše vědecké pojednání a hlavně, kyberprostor se stále mění.

Dále – co je bezpečnost? Co v kyberprostoru vlastně má být chráněno? Život, zdraví, čest či majetek? Svoboda? Protože každou ze zmíněných věcí musíme chránit trochu jinak. Musím tedy vycházet z toho, co chci zabezpečit a pak uvažovat jak. Někdo bude argumentovat firewaly, antivirovými programy atd. Jenomže – největší problém je mezi židlí a klávesnicí. Lidský faktor…Postavit kolem sebe digitální pevnost tak, aby odolala všemu na co si vzpomenu, na to nikdy nikdo nevydělá – na to by „prasknul“ celý státní rozpočet. A stát samozřejmě má víc zajíců, které musí honit…

Je tedy důležité, aby jak ve firmě tak u státu spravoval informační systémy někdo soudný, kdo problém zná nebo se dokáže informovat u odborníků a nebát se rozhodnout. Obávám se, že takový požadavek představuje zejména ve veřejném sektoru velký problém.

 

Exemplární případ jsme viděli při nasazení nového systému pro výplatu sociálních dávek a jejich přesunu na úřady práce. Tam se prokázalo, že informační systém neměl správně dotažené aplikace a nebo ti lidé nebyli dostatečně zaškolení... 

Určitě máte pravdu, ale mám za to, že šlo o obojí. Zásadní problém totiž bývá v komunikaci mezi dodavatelem a uživatelem, který v tomto případě určitě vzniknul. Pokud jde o aplikace – z určitého pohledu je každá aplikace nedotažená. Když řeknete dobře, já potřebuji na agendy tohoto úřadu všechno, co se zde může odehrát a na to pamatujte, tak se vždy stane něco dalšího, v jiné kombinaci, kterou nikdo nepředpokládal. A tam není jen jedna chyba.

Pokud někdo řekne – oni tam dodali systém, který nebyl dotažený – tak já jako nezávislý odborník odpovím – no a co? Každý informační systém je nedotažený, což mohu doložit z vlastní zkušenosti…Navíc takový systém ,jako zaváděli na úřadech práce, musí být implementován direktivně (přesto, že si to uživatelé vlastně nepřejí a raději by setrvali u starých pořádků a nic nového se neučit), takže tam byl dodán jistý systém – sice možná nedotažený, ale zřejmě ne v tom nejlepším stavu, v jakém mohl být instalován, navíc ovšem v zásadně nepřátelském prostředí. Protože jestli ho někdo opravdu nechce, tak to jsou dotyčné úřady a úředníci, kteří s ním musí pracovat. A sama komunita těch, kteří mají dostávat ony sociální dávky je dosti problematická a udělá ráda všechno, aby vzniknul nepořádek a rozruch. Takže buďme spravedliví a nedívejme se na situaci očima televizních zpráv. Informační systémy prostě padají. Dříve se písaři zlomila tužka, nebo rozskřípal brk, dnes padá informační systém, což ale neznamená, že je třeba někoho pověsit na lampě…

 

Citovaný příklad je markantní, ale podobné potíže nasávají běžně i při nasazení nových informačních systémů nebo jejich upgrade i ve firmách a dalších organizacích, byť to nemá před veřejností fatální následky. Ale co si má pak takový chudák CFO počít, když mu myjí hlavu, že věc nefunguje a že vyhodil peníze atd.?

Tady je jediná možnost – že budu postupovat kvalifikovaně. Je směšné předpokládat, že CFO ve své pozici rozumí informatice. On může být kvalifikovaný uživatel, ale v okamžiku, kdy se rozhodne, že výběr systému posoudí sám, nebo se svým správcem sítě, či CIO, tak učiní první špatný krok. Jak tedy postupovat?

V první řadě je důležité, aby zjistil a zformuloval co vlastně jeho firma či organizace potřebuje. Pokud postupuje tak, že řekne – potřebujeme účetní systém, nebo ERP – nabídněte, jde zase o špatné rozhodnutí. Musí vědět, co přesně a k čemu potřebuje. Potřebuje efektivní systém, aby podle něj zorganizoval svůj byznys? To je mimochodem velmi často úspěšná efektivní cesta…Aby se dostal dál, měl by vyslechnout nezávislého analytika, který mu vše posoudí a vyhodnotí. Protože jinak se těžko – i od dodavatelů – dozví pravdu. Teprve podle toho, co mu ukáže analýza, může poptávat systém. Jinak může koupit vynikající a drahý informační systém, který je dobrý na stavbu vzducholodí, ale pro jeho práci je k ničemu. Může si také koupit jen dva moduly a ne dvanáct. Nebo přijde na to, že je dobré dokoupit ještě další moduly systému, o kterých se původně neuvažovalo. Prostě nesmí ustrnout a být spokojen s tím, že mu někdo firmu ověsí obrazovkami a tak má pocit že je „in“ (mimochodem, nejde o vzácný přístup…).

 

Dobře, systém jsem jako CFO po poradě s nezávislými konzultanty vybral, ale on nefunguje tak, jak jsem si představoval. Jaké právní kroky mohu v případě opožděného dodání či instalace nevyhovujícího řešení oproti nabídce podniknout? 

Dostáváme se k k dalšímu důležitému kroku, který nesmí kupující opomenout: smluvně se pojistit tak, aby dostal opravdu to, co potřebuje, aby zaplatil jenom tolik, kolik má a mohl se domoci eventuálního odstranění vad a případné kompenzace. Zkrátka – aby byl ve vztahu s dodavatelem v rovnoprávném vztahu a nepodepsal něco, kdy bude jen deset let platit bez ohledu na funkčnost systému…

Proto náš finanční ředitel, protože u něj vše pak končí, on musí zaplatit, potřebuje vždy nezávislou pomoc zvenčí, právní i technickou. Kdo to neudělá, tak si stěžuje ne úplně právem. Jistě, jde o náklady vynaložené navíc – ale mé zkušenosti mi potvrzují, že jde zpravidla o vůbec nejlépe vynaložené náklady. CFO leckdy mívá následující investiční uvažování – já do věci vložím určité peníze a dostanu konkrétní užitek. A CIO nebo správce systému ho v přístupu podpoří, protože on si tak buduje vlastní zahrádku, a čím ji má větší a čím méně lidí tomu rozumí, tak je důležitější. Externí znalec se na věc podívá a řekne – tak tohle nepotřebujete a naopak ještě byste potřebovali jiný modul.

 

Mám tedy na základě externí konzultace a vlastního zdravého úsudku sepsanou poměrně slušnou smlouvu s dodavatelem. Ten ale přijde s tím, že je ve skluzu, že potřebuje ještě tři měsíce na vyladění systému, že musel něco dodělat či předělat. A nebo vůbec nic nefunguje… 

Když máte dobrou smlouvu, tak se posadíte s dodavatelem a začnete řešit: měli jste mít všechno hotovo k 11. listopadu. Říkáte, že potřebujete ještě tři měsíce. Dobře, nedá se nic dělat, ale co za to dostaneme? Slevu, nebo něco navíc, co ve smlouvě původně nebylo? Pokud se stane (a nejde o výjimečné situace), že dodavatel si řekne – nebude nic navíc, už jste zaplatili předem a taky systém nemusíme rozchodit vůbec, když budete zlobit – tak přichází na řadu právní kroky.

Jestliže se obrátíte na české soudy, tak půjde o ztracenou věc, protože koho bude výsledek sporu zajímat za tři, pět let? IT bude úplně jinde. Ale existují například rozhodčí soudy či další právní cesty, kde se spor dá řešit velmi rychle.

 

…čili tzv. rozhodčí doložky u smlouvy jsou v tomto případě nezbytné…

Jsou absolutně nezbytné. Já vím, že rozhodčí řízení u nás má, také díky médiím, poněkud špatnou pověst, ale v případech, o nichž hovoříme, mají významnou a kladnou roli. Mimochodem, málo kdo ví, že rozhodčí soud při agrární a hospodářské komoře v Praze je jediným místem v celé Evropské unii, kde se rozhoduje o doménách .eu (tečka eu). A vyhráli jsme nad rozhodčími soudy v Paříži, Londýně i ve Vídni… Proto má rozhodčí soud minimálně v oblasti IT dobrou pověst a jsou tam lidé, kteří jsou znalí IT.

Takže z mého pohledu je rozhodčí doložka u smlouvy o dodávce informačního systému nutnou a důležitou pojistkou. Rozhodčí soud, nejlépe u agrární a hospodářské komory, rozhoduje velmi rychle, například už do tří či šesti měsíců, což je všeobecně málo známo.

Pokud tedy finanční ředitel k zakázce přistupuje se selským rozumem, vyplynou mu vlastnosti systému, které potřebuje. Dalším krokem pak je výběr dodavatele, nejlépe lídra na trhu, ale vyhodnoťte nejprve, jestli je ve správném poměru cena a výkon, abyste nekupoval něco, co vlastně nepotřebujete a byznys vám to bude naopak i brzdit. Chyby, které CFO v takových případech dělají, jsou především v matném určení cíle – a to si myslí, že je dobře, když je určen nejasně, protože pak si věc bude vykládat po svém. Zatímco zákon říká – zjednodušeně řečeno – že pokud použiji ve smlouvě nejasnou formulaci, tak je to nakonec vykládáno v můj neprospěch. CFO má největší šanci zadělat si na problémy tak, když o všem chce rozhodovat sám, tedy i o věcech, které mu nepřísluší.

 

Nabízí se nám ale jakési východisko zvané outsourcing, respektive dnes módní cloud computing. Ale mám pocit, že z právního hlediska je to ještě více na vodě, než normální IT… 

Pocit možná máte správný. Jistě, outsourcing je záležitost, která má v IT své jasné místo, nakonec existuje už dvacet let. Musí se ale dělat profesionálně a musí být řádně právně a technicky ošetřen. Pokud něco nemohu dělat efektivně, neudržím kvalitní odborníky, pak je lépe věc outsourcovat. Také mohu outsourcovat celý systém či agendu a nechat si ve firmě jen svit obrazovek. To vše má také hlavu a patu.

Cloud computing je poněkud problematičtější. Využívá totiž ne zcela ohraničený virtuální prostor a ne zcela jasně ohraničené prostředky. Takže bezpečnost je jednoznačně noční můra cloudu. Není totiž cloud jako cloud. Někdy jde jen o takový romantičtější outsourcing a jindy je to něco nedefinovatelného, co se mění každých třicet vteřin. Je sice fajn, že můžete mít ve chvíli, kdy to potřebujete, k dispozici obrovskou kapacitu, flexibilitu, na druhou stranu jste ale jako nahý. Je totiž otázkou, co vše se v cloudu z hlediska zákonné odpovědnosti dělat může či nemůže, k čemu to je vhodné a k čemu ne – zde jsme úplně na začátku.

Víte, mám takový pocit, že s cloudem je to i sémantická záležitost, protože můžete říci, že outsourcing je také cloud computing. Jde-li ovšem o takový super otevřený cloud, tak jak ho chápou zasvěcení odborníci, tak vše poněkud připomíná fenomén UFO. Kde kdo o něm mluví a málo kdo ho viděl. Prostě nejsme v situaci, kdy je všechno všech a všichni mohou všechno vědět. Proto cloud computing považuji – nejen z právního hlediska – za dosud nevyřešený problém.

 

Radíte tedy opatrnost… 

To přímo křičím – opatrně! Prostě – otevřené systémy jsou rizikové z hlediska bezpečnosti. Víme dobře, že ani uzavřené nejsou nedobytné. A tady vše leží na stříbrném podnose. Takže z hlediska odpovědnosti a bezpečnosti vidím velký problém.

 

O právní problematice v oboru informačních technologií v souvislosti s byznysem a správou jsme na CFO Worldu přinesli rovněž rozhovory s Bohumírem Štědroněm a Tomášem Nielsenem.

 

ICTS24

Ilustrační foto: © -Misha - Fotolia.com