Heslo na lepíku. Jak je zajištěna kyberbezpečnost ve vašem SVJ?

Profilovka
před 1 hodinou

Proč se musí mít SVJ na pozoru?

SVJ hrozí v souvislosti s kyberpodvody hned několik nebezpečí. Na pozoru se musí mít především proto, že:

  • Pracuje s osobními údaji a jinými daty (a data, jak víme, jsou „nové zlato“),
  • Má účet a na něm finanční prostředky (podvodníci neútočí jen na účty soukromých osob, účty právnických osob byly předměty sofistikovaných útoků daleko dříve než ty soukromé),
  • Spravuje různá hesla (např. pro přístup do internetového bankovnictví, k e-mailům, účetním softwarům, cloudovým úložištím, datové schránce aj.),
  • Používá kamery,
  • Uzavírá smlouvy.

Mohlo by se zdát, že SVJ není žádná banka, velká firma ani kritická infrastruktura, aby najímala specialisty na kyberbezpečnost. Jenže právě kvůli tomu je společenství zranitelné. Hesla stále zapsaná na lepíku v šuplíku, žádní IT specialisté ani žádná IT nebo právní školení. Nenabádáme vás, abyste hned teď letěli najímat poradce, jen upozorňujeme, že kyberbezpečnost dnes patří k základnímu vzdělání a ani SVJ nesmí na preventivní opatření v této oblasti zapomínat.

Největší kyberrizika pro SVJ

Provozní chyby

Ve společenství vlastníků není největším rizikem sofistikovaný a složitý hackerský útok. Největší riziko pro SVJ představují lidé a jejich jednání. Např. jedno sdílené heslo/přístup, jeden sdílený e-mail. Starý e-mail bývalého člena výboru ponechaný v adresáři. Faktura zaplacená bez předchozího ověření. Dokumenty volně sdílené např. prostřednictvím e-mailu. Absence zálohování. A mohli bychom ještě dlouho pokračovat.

Příklad časté provozní chyby: Na e-mail SVJ přijde zpráva od dodavatele následujícího znění: „V květnu 2026 jsme změnili banku. Prosím pro úhradu květnové faktury použít již nové bankovní spojení. Děkuji XY.“ Květnová faktura je bez dalšího zaplacena na „nové“ číslo účtu. SVJ přišlo o desítky tisíc. Řešení: Každá změna účtu dodavatele musí být telefonicky nebo osobně ověřena.

Pro prevenci takových chyb důrazně doporučujeme vytvořit/sepsat procesy. Nejde o žádnou vědu, stačí sepsat, kdo má k čemu přístup, kdo spravuje, jaký systém, kde jsou data uložená, jak se ukončuje přístup po změně dodavatele a zda smlouva řeší zabezpečení, mlčenlivost, zálohy a incidenty.

GDPR

U některých SVJ končí ochrana osobních údajů tím, že si nechají vytvořit (v horším případě jej někde stáhnou) dokument nazvaný GDPR a splní svoji informační povinnost. Podle čl. 32 GDPR ale existuje povinnost pro správce i zpracovatele osobních údajů (SVJ je zpravidla správcem osobních údajů, zpracovatelem může být např. externí účetní nebo IT dodavatel, pokud pro SVJ zpracovává osobní údaje – více v článku o GDPR) provést vhodná technická a organizační opatření k jejich zabezpečení vzhledem k úrovni rizika. Jak jsme naznačili výše, riziko je vzhledem k dnešnímu použití technologií i pro společenství vlastníků nezanedbatelné.

Je tedy vhodné, ze strany SVJ zajistit minimálně následující:

  • Vědět, kde jsou údaje uložené, kdo k nim má přístup, jak jsou zálohované, jak se předávají novým orgánům SVJ, jaký je správný postup při ztrátě/úniku.
  • Smlouvu se všemi dodavateli. U dodavatelů, kteří mají přístup k osobním údajům nebo důležitým systémům SVJ, je vhodné smluvně upravit zabezpečení, mlčenlivost, přístupy, zálohy a postup při incidentu. Pokud dodavatel zpracovává osobní údaje pro SVJ, je třeba řešit i jeho roli zpracovatele podle GDPR. SVJ sice není žádná logistická společnost, přesto by ale mělo mít svůj „dodavatelský řetězec“ zmapovaný. Mělo by vědět, kdo za co nese odpovědnost a kde jsou rizika.

Kamerový systém

Kamerové systémy a senzory se staly běžnou součástí mnoha SVJ, zejména protože chrání před krádežemi a vandalismem. Jenže se díky slabému zabezpečení často stávají snadným cílem pro hackery. V tomto případě je lepší nechat IT řešení kamer na odbornících. Dodavatel pak bude odpovídat za technickou stránku a smluvně převzaté povinnosti (pozor, neplatí automaticky). Ani tím se však SVJ plně nezbaví odpovědnosti, takže je nutné mít alespoň obecný přehled.

Neoprávněný přístup ale není jediným problémem kamer v domě. Kamerové systémy zpravidla zpracovávají osobní údaje. Protože v této oblasti docházelo v minulosti stále k nejasnostem, zveřejnil v roce 2024 Úřad pro ochranu osobních údajů poměrně obsáhlou metodiku (k přečtení zde). Ta se týká jak kamerových systémů se záznamem, tak online kamer (pokud spadají do zpracování osobních údajů). Tomuto problému jsme se věnovali v samostatném článku v našem magazínu.

Napadení přístupových systémů a sabotáže technologií budovy

Technologické vymoženosti určitě zjednodušují život v domě i jeho správu, ale z hlediska kybernetické bezpečnosti představují jeho Achillovu patu. Stejně jako kamerové systémy, ani ostatní technologie nejsou před vnějším napadením stoprocentně chráněny. Např. elektronické zámky nebo čipy mohou být využity k neoprávněnému vstupu do budovy nebo může šikovný hacker získat přístupy k řídícím systémům topení, větrání nebo záložních zdrojů.

Nejlepší obranou v tomto případě je opět konzultovat s odborníky a nechávat si systémy pravidelně aktualizovat. Právě zastaralý software bývá většinou vstupní branou pro podobné „šmejdy“. Platí také, že je nutné oddělovat sítě. Tedy mít jednu pro správu technických zařízení a jednu pro správu dat. Když vám totiž hacker napadne kamery, nezíská tím hned přístup k celému účetnictví nebo bankovnímu účtu společenství.

Minimální zabezpečení pro každé SVJ

Každé SVJ musí počítat s tím, že dřív nebo později k nějakému problému se zabezpečením dojde (někdo klikne na podvodný odkaz, ztratí se přístup do e-mailové schránky, bude ukraden notebook se všemi záznamy o společenství). Cílem SVJ by ale nemělo být nakoupit drahý software nebo služby poradců, ale hlavně mít pořádek a přehled o tom, co SVJ dělá a jaké služby a techniku k tomu využívá.

Nestačí jen, když tyto informace budou v hlavě předsedy nebo výboru. Ti mohou být velmi rychle nahrazeni někým jiným. A právě takovéto personální změny mohou být ideální půdou pro kyberútok. Proto je nutné neopomenout při nich předat všechny digitální přístupy. Je dobré zkontrolovat všechny účty, bývalým členům odebrat přístupy, novým vytvořit nové, změnit hesla, zkontrolovat přeposílání e-mailů, zkontrolovat sdílené odkazy k dokumentům. A samozřejmě už několikrát zmíněné přístupy do internetového bankovnictví, cloudových úložišť a ke kamerovému systému.

V rámci minimálního zabezpečení je nutné:

  • Mít přehled účtů a systémů: e-mail, bankovnictví, účetní systém, portál správce, cloudové úložiště, web, kamerový systém, datovou schránku a případně přístupové systémy. U každého systému by mělo být jasné, kdo am má přístup a proč.
  • Každý člen výboru používá svůj vlastní účet. Žádné anonymní nebo sdílené přihlašovací údaje.
  • U všech důležitých účtů musí být zapnuto vícefaktorové ověřování. * Hesla musí být dlouhá, unikátní a nenechávají se zapsaná na papíře na stole v kanceláři nebo přilepená lepíkem Post-it na počítači. Zvažte i použití tzv. správce hesel.
  • Důležité dokumenty se zálohují. Ale zároveň je důležité, aby záloha skutečně ve stavu nouze fungovala, tudíž je nutné vědět (mít zaznamenáno), kam se zálohuje a kdo dokáže dokument obnovit. V neposlední řadě je důležité také vyzkoušet, jestli obnovení ze zálohy skutečně funguje.
  • Měl by být vytvořen systém pro platby. Teď nemyslíme nějaká technická infrastruktura, ale spíše závazný postup – tzn. např. pravidlo čtyř očí pro schvalování plateb. Změna účtu dodavatele se ověřuje ještě jiným kanálem apod.

Co má SVJ dělat, když k nějakému incidentu dojde?

Stejně jako u jiných krizových situací, nejdůležitější je zachovat klid. Ideální je mít pro takové případy připravený krizový plán. Obecně je dobré postupovat v následujících krocích:

  1. Snaha o minimalizaci škod a zastavení incidentu: tzn. zablokovat přístupy, změnit hesla, kontaktovat banku apod.
  2. Zjistit napáchané škody: jaká data byla dotčena, koho se to týká, vznikly materiální škody, je třeba někde něco hlásit.
  3. POZOR! Ohlašovací povinnost: V některých případech se nestačí obrátit jen na policii nebo kontaktovat dotčené osoby, ale mohlo by být nutné kontaktovat i Úřad pro ochranu osobních údajů a incident ohlásit. Obecně platí, že hlásit se musí ty případy, kde došlo k porušení zabezpečení osobních údajů a vzniklo riziko pro práva a svobody fyzických osob a to do 72 hodin.
  4. Zdokumentovat incident: co se stalo, kdo jak jednal, jaká opatření byla přijata. Dokumentace může pomoci při pozdějších sporech nebo nejasnostech.

Opatření, která by každé SVJ mělo zvážit v rámci své kyberbezpečnosti nemusí být drahá a zvládne je i malé SVJ. Důležitý je pozitivní přístup k „těmto technickým věcem“ a uvědomění si, že i bytový dům je dnes závislý na technologiích a digitalizaci. A podle toho by se mělo chovat.

📷 Zdroj foto: Gemini

______________________________________________

🆕 Napište nám: Jaká další témata vás pálí?

Nenašli jste v našem magazínu odpověď na specifický problém, který aktuálně řešíte ve vašem SVJ nebo bytovém družstvu? Chybí vám podrobnější návod k právním, ekonomickým či technickým aspektům správy domu? Vaše podněty jsou pro nás klíčové. Napište nám do redakce na e-mail redakce@sousede.cz, jaké téma by vás zajímalo více. Rádi se mu v některém z příštích článků detailně pověnujeme, přizveme odborníky z praxe a připravíme pro vás srozumitelné řešení.

Tvoříme tento obsah pro vás – pojďme společně zlepšovat bydlení v našich domech.

______________________________________________________________________ CO VŠE MŮŽETE SE SOUSEDÉ.CZ ZÍSKAT:



Chcete přispět do diskuze? Stačí se jen přihlásit.

Přihlaste se k odběru zpráv do e-mailu, ať víte o všem důležitém.