Zuzana Motúzová o zodpovednom oznamovaní zraniteľností a príprave kvalitných IT zmlúv
V štúdiu sme tentokrát privítali advokátku Zuzanu Motúzovú z advokátskej kancelárie Motúzová & Lacko. So Zuzkou sme sa zhovárali o tom, čo by mala obsahovať dobre vypracovaná zmluva a či sa advokáti musia rozumieť IT, keď sa venujú IT právu. Otvorili sme tému zodpovedného oznamovania zraniteľností aj to, či umožňuje slovenské právo podpisovať zmluvy pomocou technológie PGP.
Zuzka sa dostala k IT právu ešte počas štúdia na vysokej škole v čase, keď o IT práve začali prvé prednášky. Dnes vedie technologickú advokátsku kanceláriu, v ktorej pomáhajú klientom s rôznymi právnymi otázkami v súvislosti s informačnými technológiami. Klienti sa na nich obracajú aj pri zakladaní technologických firiem, pri rôznych sporoch, ale aj v prípadoch, kedy sa stanú obeťami krádeže kryptomien. Ako advokátka, ktorá sa venuje právu v spojení s informačnými technológiami, potrebuje mať určité IT znalosti – zakaždým sa snaží zahĺbiť do problematiky, porozumieť produktom klienta či navnímať softvér, aplikácie z pohľadu ich vývoja až po release na trhu. Je totiž zástankyňou toho, že kvalitná zmluva by mala byť napísaná tak, aby vývoj technologického produktu prebehol v prospech klienta, čo si vyžaduje aj jej zodpovednú prípravu a porozumenie technológiám. V praxi sa už stretla aj s návrhmi IT zmlúv, ktoré obsahovali technické nezmysly, ako napríklad povinnosť strán vrátiť dáta v elektronickej forme po skončení kontraktu. Podľa Zuzky je zabezpečenie tejto povinnosti takmer nereálne a strany by mali elektronické údaje najmä bezpečne a trvalo vymazať. Stáva sa tiež, že niektorí klienti používajú vzorové zmluvy, ktoré nezodpovedajú ich obchodnému modelu a často si stanovujú povinnosti, ktoré nedokážu zrealizovať. So Zuzkou sme sa rozprávali aj o NDA zmluvách, ktoré nútia strany dodržiavať povinnosť mlčanlivosť po neobmedzenú dobu. To však znamená, že strana musí na svoje náklady bezpečne uložiť a natrvalo ochraňovať informácie, ktoré už dávno mohli stratiť svoju hodnotu.
Hacker a zodpovedné ohlasovanie
Rozprávali sme sa aj o tom, čo v prípade, keď hacker odhalí zraniteľnosť/ chybu v systéme a nechce ju zneužiť, ale zodpovedne oznámiť. Zuzka spomenula, že na Slovensku nenájdeme v práve návod, ako legálne prelamovať počítačové systémy tretích strán bez ich súhlasu ani ako zodpovedne oznamovať zraniteľnosti. Určite však odporúča riadiť sa existujúcimi metodikami, napr. metodikou OWASP a postupovať tak, aby boli zakaždým chránené práva dotknutých firiem. Ak vznikne situácia, kedy hacker musí demonštrovať, že zraniteľnosť existuje, mal by prioritne postupovať tak, aby nedošlo k úniku osobných údajov. Mnohé firmy dnes využívajú „White hat hacking“ – službu, ktorú si cielene objedná firma, aby za pomoci hackera odhalila svoje prípadné zraniteľnosti. Zuzka doplnila, že do „White hat hackingu“ možno zaradiť aj hackovanie bez vedomia klienta, ktoré však musí prebehnúť legálne a pokiaľ možno bez reálneho prielomu do systémov a byť zodpovedne ohlásené. Cieľom toho je teda len poukázať na zraniteľnosti a odporučiť dotknutej firme, aby si lepšie chránila dáta.
Podpisovanie zmlúv pomocou PGP
V advokátskej kancelárii Motúzová & Lacko komunikujú s niektorými klientmi pomocou technológie PGP, ktorá šifruje komunikáciu. Zuzka spomenula, že v prostredí Slovenska stále nie je šifrovanie úplne bežnou formou komunikácie medzi firmami. Prostredníctvom technológie PGP možno sprocesovať aj elektronické podpisovanie, ktoré v minulosti odporučili mnohým klientom ako spoľahlivý mechanizmus na podpisovanie zmlúv. PGP ako matematický podpis založený na asymetrickej kryptografii totiž autentifikuje podpisujúcich a zabezpečuje bezpečný proces podpisovania dokumentov.
Nahradí umelá inteligencia právnikov?
Zuzka zastáva názor, že umelá inteligencia či jazykový model GPT4 má istý potenciál ovplyvniť trh s právnymi službami, avšak len do istej miery. Pri príprave zmlúv totiž GPT4 chýbajú konkrétne informácie, ktoré vedia len strany konkrétnej zmluvy, teda ľudia.
Ako sa pozerá právo na krádež kryptomien?
Ich kancelária už zastupovala klientov, keď sa stali obeťami trestných činov krádeže kryptomien. Stáva sa, že v týchto špecifických prípadoch vyhľadajú klienti skôr advokáta než políciu. Nie sú si istí, ako by túto skutočnosť mali polícii oznámiť a radšej s ňou komunikujú skrz advokátov špecializujúcich sa aj na tieto trestné činy. Jedným z dôvodov je aj to, že páchateľa nie je ľahké odhaliť. Zuzka odporúča, že hoci objasnenosť takýchto prípadov nie je vysoká, ľudia by si to istotne nemali nechávať len pre seba.
Bezpečnostný balíček z pohľadu práva
Na otázku, aký bezpečnostný balík by odporučila firmám, odpovedala takto:
- Nastaviť si zmluvne a komunikovať od začiatku očakávania spoločníkov technologických riešení, ktorí stoja pri vývoji produktu.
- Dbať na precízne vypracovanie zmlúv, ktoré neskôr slúžia ako firemná politika a šetria náklady.
- Zaviesť dohody o mlčanlivosti a implementovať mechanizmy na ochranu citlivých dát.
- Nastaviť si stratégiu predaja produktov, riešení. Napríklad, ak firma vyvíja softvér, mala by mať premyslenú stratégiu jeho ďalej podpory.
- Poznať technológie, ktoré firma a jej zamestnanci používajú a zamyslieť sa nad ich bezpečnosťou.