BAKALÁ ŘSKÁ PRÁCE. Bezpečnost a ochrana dat v účetnictví vedeném na počítači. Security and data protection of computer based accounting

.

BAKALÁ ŘSKÁ PRÁCE Bezpečnost a ochrana dat v účetnictví vedeném na počítači

Security and data protection of computer – based accounting

Vojtěch Adam Rychlíček

Unicorn College © 2011 Unicorn College, V kapslovně 2767/2, Praha 3, 130 00 Název práce v ČJ: Bezpečnost a ochrana dat v účetnictví vedeném na počítači Název práce v AJ: Security and data protection of computer – based accounting Autor:

Vojtěch Adam Rychlíček

Akademický rok:

2011

Kontakt:

E-mail: [email protected] Tel.: (+420) 732 343 333

Bakalářská práce

Bezpečnost a ochrana dat v účetnictví vedeném na počítači Security and data protection of computer – based accounting

1.

ZADÁNÍ

4

Bakalářská práce

Bezpečnost a ochrana dat v účetnictví vedeném na počítači Security and data protection of computer – based accounting

2.

ABSTRAKT

Bakalářská práce je vypracována na téma Bezpečnost a ochrana dat v účetnictví vedeném na počítači. Ze začátku zmiňuji hlavně fyzickou ochranu dat v papírové formě a následně historii vzniku počítačů a internetu. V další části se zaměřuji na popisování kryptografie, což je matematický obor, který se zabývá kódovacími a šifrovacími algoritmy. Dále zde popisuji substituční šifry a permutační šifry a jejich způsob vytváření a dekódování. Celou kapitolu uzavírá kyberprostor, který definuji jako: Virtuální svět vytvořený moderními technologickými prostředky (např. počítačem). Cílem této části je obeznámit čtenáře o základních pojmech kryptografie a seznámení s kyberprostorem. V druhé části se již naplno zaměřuji na ochranu dat na počítači. Zmiňuji zde množství útočníků, kteří nás mohou připravit o důležitá data. Jsou jimi na příklad: Hacker, Cracker, White Hats, Black Hats, apod. Rovněž zmiňuji i základní způsoby útoků a virů. Cílem je představit čtenáři hrozby, které mohou jeho počítač napadnout, při připojením na internet bez adekvátní ochrany dat. Elektronický podpis nám představuje způsob ochrany dat proti zneužití neoprávněnou osobou. Třetí část se zabývá právní stránkou ochrany dat. Zmiňuji zde zákony a nařízení, které mají zajistit právní ochranu při případném zcizení dat. Pro příklad bych uvedl zákon č. 101/2000 Sb., v platném znění o ochraně osobních údajů. Cílem této kapitoly je obeznámit čtenáře s jeho právními nároky, aby zjistil, zdali byla jeho práva porušena a jaký státní orgán má v kompetenci bezpečnost a ochranu dat. Poslední teoretickou částí je ochrana dat v účetnictví, kde nejdříve popisuji, jak se účetnictví vyvíjelo, dále popisuji průběh auditu a nakonec zmiňuji důležité rady pro firmy, které uvažují nad pořízením účetního systému. To je také hlavní cíl této kapitoly. Poslední kapitola se týká praktické části. Popisoval jsem 2 podnikatelské subjekty. ČSOB Leasing a.s. a Alcatel-Lucent Czech, s.r.o.

Cílem této kapitoly je představit čtenáři obě firmy z pohledu

zabezpečení dat. Popisuji rozdílnosti, které jsou zapříčiněné různým zaměřením podnikání a velikostí společnosti. Klíčová slova: Bezpečnost, obecná ochrana, ochrana dat v počítači, data, účetnictví, právo, ochrana dat mimo počítač, bezpečnost ve firmě Alcatel-Lucent Czech, s.r.o. a ČSOB Leasing a.s..

5

Bakalářská práce

Bezpečnost a ochrana dat v účetnictví vedeném na počítači Security and data protection of computer – based accounting

3.

ABSTRACT

This bachelor's thesis addresses the issue of Data Integrity and Protection in Computerized Accounting. In an initial section, I briefly outline the main forms of physical protection of hardcopy data, and a historical overview of the evolution of computers and of the Internet. This is followed by a section focusing on cryptography – a mathematical discipline concerned with encoding and enciphering algorithms. It is here that I describe substitution ciphers and permutation ciphers, how they are created, and how they can be decoded.

This chapter closes with the

"cyberspace", which I define as follows: a virtual world created by means of modern technology (e.g. computers). The objective of this part of my paper is to familiarize the reader with basic cryptographic terms and with cyberspace. The second part of the paper is then fully devoted to data protection on computers. I describe the variety of attackers who may defraud us of important data, among them e.g. hackers, crackers, white hats, black hats, and the like. I also mention the basic forms of attacks and viruses. The objective here is to present the reader with the risks to which their computer is exposed if they are connected to the Internet without adequate data protection measures. Electronic signatures represent a form of protection against abuse by unauthorized individuals. A third section is concerned with the legal aspects of data protection. I describe laws and regulations aimed at legal protection from data theft – for instance, the Data Protection Act (act No. 101/2000 Coll., as amended) on the protection of personal data. This chapter wants to introduce the reader to their legal rights and claims, so that they may ascertain whether their rights have been violated, and to the government authorities who are in charge of data integrity and protection. A last theoretical part is devoted to the protection of accounting data. Here, I first give an overview of how book-keeping developed over time, then describe the stages of an audit procedure, and finally present important advice for firms which contemplate the acquisition of a new accounting system – which is also the main objective of this chapter. The last chapter is of a practical nature. For this purpose, I identified two global entities: ČSOB Leasing a.s., and Alcatel-Lucent Czech s.r.o., with the objective to present these two firms to the reader under the aspect of data protection. In this part, I describe the differences brought about by the different focus and scope of business operations and the different size of each company.

6

Bakalářská práce

Bezpečnost a ochrana dat v účetnictví vedeném na počítači Security and data protection of computer – based accounting Key words: security, general protection, data protection on computers, data, accounting, law, protection of data outside computers, data integrity at Alcatel-Lucent Czech s.r.o. and ČSOB Leasing a.s.

7

Bakalářská práce

Bezpečnost a ochrana dat v účetnictví vedeném na počítači Security and data protection of computer – based accounting

4.

PROHLÁŠENÍ

Prohlašuji, že svou bakalářskou práci na téma Bezpečnost a ochrana dat v účetnictví vedeném na počítači jsem vypracoval samostatně pod vedením vedoucího bakalářské práce a s použitím odborné literatury a dalších informačních zdrojů, které jsou v práci citovány a jsou též uvedeny v seznamu literatury a použitých zdrojů. Jako autor uvedené bakalářské práce dále prohlašuji, že v souvislosti s vytvořením této bakalářské práce jsem neporušil autorská práva třetích osob, zejména jsem nezasáhl nedovoleným způsobem do cizích autorských práv osobnostních a jsem si plně vědom následků porušení ustanovení § 11 a následujících autorského zákona č. 121/2000 Sb.

V Praze dne

…….………………. Jméno Příjmení

8

Bakalářská práce

Bezpečnost a ochrana dat v účetnictví vedeném na počítači Security and data protection of computer – based accounting

5.

PODĚKOVÁNÍ

Děkuji zaměstnancům firem Alcatel-Lucent Czech, s.r.o. a ČSOB Leasing a.s. za pomoc, ochotu a neocenitelné informace, díky nimž jsem mohl úspěšně dokončit práci.

9

Bakalářská práce

Bezpečnost a ochrana dat v účetnictví vedeném na počítači Security and data protection of computer – based accounting

6. Obsah

10

7.

ÚVOD

Bakalářské práce na téma Bezpečnost a ochrana dat v účetnictví vedeném na počítači se zaměřuje na základní způsoby ochrany dat s důrazem na účetní souvislosti. Nejdříve vymezím základní principy fyzické ochrany, která zahrnuje ochranu dat v papírové formě. Následně budu popisovat historii vzniku počítačů i internetu. Na první pohled se může zdát, že to nemá s ochranou příliš co dočinění. Zmiňuji se o nich hlavně proto, že bez vývoje těchto technologií, bychom virtuální ochranu dat vůbec nepotřebovali a stačila by nám jen fyzická. V další části mé Bakalářské práce se budu zmiňovat a popisovat základní druhy kryptografie. Je to obor, který se zabývá šifrovacími a kódovacími algoritmy. Zde budu popisovat jeho základní druhy od dob Caesara až po dnešek. Další téma, které v úvodu popíši je kyberprostor, jeho definice a možné nebezpečí. Budu zde popisovat, kolik dokážou státy investovat do bezpečnostních systémů. Přičemž využiji statistiku názorů občanů ohledně využívání hackerů státy, jenž mohou být potencionální hrozbou. Následně budu detailně popisovat bezpečnost a ochranu dat na počítači, protože v dnešní době se účetnictví provádí pouze ve specializovaných programech prostřednictvím počítače. Proto se domnívám, že popis ochrany dat na samotném počítači je velmi důležitá část. Popisuji zde, jakým způsobem se můžeme chránit, ale spíše se zaměřuji na útočníky a způsoby jejich útoků. Elektronický podpis bude ryze IT část před čistě účetní částí. Elektronický podpis se v dnešní době hojně využívá v rutinních operacích v rámci společnosti a v účetnictví. Je to způsob jak ochráníme posílaná data před případnými hrozbami. Právo je důležitou součástí ochrany dat. Budu popisovat jaké zákony musíme dodržovat a do jaké míry jsou zákony o ochraně dat rozšířené i mimo Českou republiku. Právní část bude obsahovat EU směrnice, zákony, listinu základních práv a svobod. Kapitol uzavřu Zákonem o účetnictví. Poslední částí před praktickým úsekem je samotná ochrana dat v účetnictví. Budu popisovat, jakým způsobem se v historii účetnictví vyvíjelo. Dále budu rozebírat principy auditu a základní rady společnosti při výběru účetního softwaru. Shrnu zde i obecné požadavky na software a co od něj firmy očekávají. Poslední část se bude týkat praktické aplikace bezpečnostních pravidel ve 2 firmách. Vybral jsem si firmy ČSOB Leasing a.s. a Alcatel-Lucent Czech, s.r.o. Obě firmy působí mezinárodně a budu popisovat jejich interní pravidla a směrnice ohledně zabezpečení jejich dat obecně i v účetnictví.

11

8.

ÚVOD DO BEZPEČNOSTI A OCHRANY DAT

Nacházíme se ve světě, který se díky počítačům a internetu neustále modernizuje a sbližuje. S tímto fenoménem se objevují také různá nebezpečí, která nás mohou poškodit. Počítač je úložiště různých druhů informací. Obyčejná data, profesní data, ale i soukromá a osobní data mohou být v ohrožení ihned, jak se připojíme na internet nebo do sítě, či nedáme pozor na přístup k počítači.

Proto se

musíme chránit před vniknutím do PC a před způsobením jakékoliv škody. Pokud by naše ochrana nebyla dostatečná, pak tyto informace mohou být zničeny nebo odcizeny. Vznikají tedy mnohá nebezpečí, jimž se musíme vyhnout. V dnešní době se veškerá data digitalizují, a proto se instituce zaměřují hlavně na ochranu proti hackerům apod. Nicméně papírová ochrana dat existuje již mnoho let, protože jiný způsob uchovávání informací do vzniku počítačů nebyl. Papírové listiny, tedy spíše pergamenové listiny, se uchovávaly a strážily už ve starověkém Římě. Od té doby se neustále vymýšlí 100% způsob ochrany listinné formy dokumentů. Dnes se ve firmách stále používají papírové formy dokumentů. Pro příklad: faktury, dodací listy, samotné zaměstnanecké smlouvy apod. Firma je musí chránit před vlivy z nitra firmy. Problémem jsou veřejné kopírky na chodbách firem, šanony plné smluv apod. Mnohá bezpečnostní rizika se již daří úspěšně ošetřovat ve většině firem. Veřejné kopírky jsou dnes buď chráněné pin kódem, nebo speciální identifikační kartou. Šanony jsou uzamčené ve skříních a mohou se k nim dostat pouze lidé s klíčem. Velmi důležité dokumenty jsou v trezorech a servery jsou bezpečně uzamčeny ve speciální místnosti. Firma má za povinnost veškeré písemnosti archivovat. Obrázek č. 1: Přenos dat elektronickou vs. papírovou formou 1

1

http://www.isvs.cz/e-podpis-podatelny/papirovy-versus-elektronicky-dokument-27-dil.html

(2.12.2010)

12

Obrázek č. 1 popisuje využití internetu a ulehčení práce za použití Internetu. Pokud využijeme Internet k přenášení faktur, pak bude celý proces dodávání mnohem jednodušší a rychlejší. Nicméně obecným zvykem je, že se posílají spíše v papírové podobě, aby se mohly fyzicky archivovat.

1 Ochrana dat v papírové formě Archivace účetních dokumentů je upravena dle „§ 31 zákona o účetnictví (zákon č. 563/1991 Sb.). Dle tohoto ustanovení se musí účetní závěrka a výroční zpráva uschovávat po dobu 10 let počínajících koncem účetního období, kterého se týkají. Ostatní účetní doklady, účetní knihy apod. se uschovávají po dobu 5 let počínajících koncem účetního období, kterého se týkají. Tyto povinnosti se týkají všech účetních jednotek. Porušení povinnosti uschovávat účetní záznamy je sankcionováno. Účetní jednotce, která poruší povinnost uschovávat účetní záznamy, může být uložena pokuta až do výše 3 % hodnoty aktiv celkem. Pro účely vyměření pokuty se hodnota aktiv zjišťuje z účetní závěrky za účetní období, ve kterém k porušení právní povinnosti došlo.“ 2 Firmy mají vnitřní směrnice, které má firemní zaměstnanec povinnost dodržovat. Ve směrnicích jsou zmíněna základní pravidla bezpečnosti. Neodcházet od neuzamčených šanonů nebo počítače. Nepůjčovat své osobní identifikační karty apod. Rovněž je definováno, kdo může dokumenty vytvářet a jak lze tyto dokumenty archivovat. Velký pokrok v technologii nám nepřináší jen prosperitu, ale i možná rizika. Dnes firmy nemohou ignorovat největší riziko, které bohužel nelze ani omezit, a to vlastnictví mobilních telefonů s fotoaparátem. Pomocí fotek může pachatel vynést citlivé informace týkající se firemních klientů, firmy samotné.

2 Historie ochrany dat na počítači Ještě před několika desítkami let žádná ochrana v rámci počítačových sítí nebyla nutná, protože žádný počítač ani internet nebyly. Počítače se dají historicky rozdělit na 4 druhy. Někdy se těmto druhům říká Generace. Tabulka č. 1 : Generace počítačů Generac e

Rok

Konfigurace

Rychlost (operací)

Součástky

Velký počet skříní

Jednotky

Relé

0.

1940

1.

1950

Desítky skříní

100 - 1000

Elektronky

2.

1958

do 10 skříní

Tisíce

Tranzistory

3.

1964

do 5 skříní

Desetitisíce

Integrované obvody

3 ½.

1972

1 skříň

Statisíce

Integrované obvody (LSI) Integrované obvody

4.

1981

1 skříň

desítky milionů

(VLSI)

2 http://www.epravo.cz/top/clanky/delka-archivace-ucetnich-dokumentu-42894.html (2.12.2010)

13

3

Obrázek popisuje, jak se v letech vyvíjely počítačové sestavy. Můžeme zde názorně vidět, že v dnešní době jsou již mnohem sofistikovanější, než byly před 50 lety. Bezpečnost začala být potřeba až při vytvoření sítí a Internetu a tehdy se začala transferovat data mezi počítači nejdříve v rámci místnosti/budovy a pak mezi státy či kontinenty. Internet jako takový začala vyvíjet armáda USA v době studené války a nazýval se ARPANET. „1969 - vznik ARPANET 1974 - vytvoření jednotné normy komunikace TCP/IP 1979 - konečná podoba protokolů TCP/IP 1984 - více než 1000 uzlů v ARPANETU 1986 - vzniká NFSNET 1987 - 10 000 uzlů 1989 - 1 milion uzlů 1991 - první služba GOPHER (předchůdce www stránek) 1991 – v listopadu připojeno ČSFR – v Praze na ČVUT 1992 – komerční využití“4 V roce 1990 se tehdejší Československo připojilo k počítačové síti EARN. Byl to počátek opravdového síťování u nás. Konečně bylo Československo připojeno "online" do mezinárodní sítě.5

3 Kryptologie Vědecká disciplína, která se přímo zaměřuje na ochranu dat před neoprávněným vstupem, se nazývá kryptologie. „Kryptologie je matematický vědní obor, který se zabývá šifrovacími a kódovacími algoritmy“6. Kryptologii rozdělujeme na 2 základní části: kryptografii a kryptoanalýzu.

3

http://www.fi.muni.cz/usr/pelikan/ARCHIT/TEXTY/HISTOR.HTML (2.12.2010)

4 (www.samuraj.cz/clanek/internet-a-jeho-historie) (5.1.2011)

5 http://www.lupa.cz/clanky/jaky-byl-internet-v-praveku/ (5.1.2011)

6

(Tomáš Doseděl, Computer press 2004, str. 4)

14

Kryptografie – Je to obor, který se zabývá šifrováním a kódováním dat. Ač se zdají pojmy šifrování a kódování stejné, nejsou. 1. Šifrování – sdělujeme tak určité utajené informace adresátům, jenž umí zprávu rozluštit. Máme mnoho druhů šifer. Šifry se objevují již v dávné historii. První zmínka, která by se dala požadovat za šifru, je z roku 1900 př.n.l. , kdy neznámý egyptský písař vytvořil naprosto odlišné postavení hieroglyfů. Z roku 1500 př.n.l. se dochovala i nejstarší šifra na výrobu glazury na hrnce. Takto bychom mohli pokračovat dále, nicméně šifry se začaly masově využívat až v 2. polovině 1. století př.n.l., kdy Římané šifrovali své zprávy substituční šifrou. Od té doby se začaly šifry využívat a zdokonalovat. Asi nejznámějším přístroj na šifrování zpráv je Enigma používaná německou armádou za 2. světové války. Šifry rozdělujeme na 3 základní typy:7 A. Substituční – jak již bylo řečeno, vymysleli ji Římané. Principem substituční šifry je fakt, že nahrazujeme jednotlivá písmena jinými písmeny či znaky. Pro příklad: Tabulka č. 2: Příklad substituční šifry Originální zpráva

AHOJ

Šifrovaná zpráva

BCHPK

8

Tabulka ukazuje, jak v praxi fungovala substituční šifra. Prolomení šifry nebylo příliš složité, ikdyž pro cizince by bylo prolomení kódu složitější díky písmenům př.: ch, ž, š atd. Uvedl jsem pro příklad slovo AHOJ, které jsem šifroval pomoc následujících písmen v abecedě. AHOJ – A, B, C, D,… - BCHPK. Místo A jsem dal následující B. Kvůli pozdější lehké prolamovatelnosti se v 16. století vylepšila šifra na polyalfabetickou substituční šifru. Tato šifra vychází z více, než jedné abecedy nebo druhů znaků. Díky tomu se stala mnohem obtížnější. B. Permutační šifra – zde se šifra rozdělí na předem stanovené části textu a tyto části se podle vytvořeného klíče navzájem promíchají. Pro příklad bych uvedl: Tabulka č. 3: Příklad permutační šifry Text:

UNICOR NCOLLE GEDAYS

Klíč

24153

Šifra

NOURO CLNEL EYGSA

7

www.unicornuniverse.cz předmět SEC, 12. Přednáška, autor David Hartman (5.1.2011)

8

www.unicornuniverse.cz předmět SEC, 12. Přednáška, autor David Hartman

15

Text:

UNICOR NCOLLE GEDAYS

9

Pokud chceme dešifrovat permutaci, pak musíme použít inverzní permutaci. C. Polygrafická substituční šifra – tato šifra využívá rozdělení šifrovaného textu na jednotlivé bloky, ale nyní nenahrazuje jednotlivá písmena ale rovnou celé bloky. Názorným příkladem je Hillova šifra, která využívá nahrazování písmen čísly. Pro příklad to je A = 20, B = 30 apod. 2. Kódování – používá se, pokud posíláme zprávu, jež je pro veřejnost utajená. Využíváme přitom mnoho způsobů, jakými ji můžeme předat. V historii se vyvinuly specifická typy kódování, jako jsou:10 A. Morseova abeceda – která se používala hlavně při telegrafování. Vymyslel ji sochař a malíř Samuel Horse a již v roce 1844 se pomocí Morseovi abecedy podařilo telegrafní spojení mezi Washingtonem a Baltimorem. Při komunikaci kombinujeme dlouhé a krátké signály. Pro aplikování Morseovy abecedy je potřeba zvuků.11 B. Znakový jazyk – jenž využívají neslyšící. Vyjadřují slova pomocí mimik, tvary a pohyby ruky, pozicemi hlavy a horní části trupu.12 C. A další jako je vlajková abeceda, televizní norma PAL apod. Velkým rozdílem mezi šifrou a kódem je, že kód je všeobecně známý. Většinou se pomocí kódu neutajuje zpráva, ale jen se přenáší. Nejsou použita hesla, ani další nástroje na kryptování, jako jsou klíče. Hlavním úkolem kryptografie je chránit data a zabránit neautorizovanému pokusu o přečtení. Šifrováním se vytvoří další data, která již jsou nečitelná pro nepověřenou osobu. Označují se jako „ciphertext“, což do češtiny přeložil Tomáš Doseděl, autor knihy Počítačová bezpečnost a ochrana dat, jako „šifrovaný text“. V dnešní době se razí směr, kdy se zveřejňují veškeré kryptografické algoritmy 9

www.unicornuniverse.cz předmět SEC, 12. Přednáška, autor David Hartman

10 www.unicornuniverse.cz předmět SEC, 12. Přednáška, autor David Hartman

11 http://cs.wikipedia.org/wiki/Morseova_abeceda (5.3.2011)

12 http://cs.wikipedia.org/wiki/Znakový_jazyk (5.3.2011)

16

na rozdíl od minulosti, kdy se prosazovalo přísné utajení. Pro utajené kryptografické algoritmy se vžilo označení security through obscurity, což v překladu znamená: „Bezpečnost pomocí utajení“. Dnes se IT bezpečnost zaměřuje na dokonalost šifer a kódů. „Je mnohem lepší, pokud je bezpečnost algoritmu založena na jeho matematických vlastnostech, než na jeho utajení.“ 13 Kryptoanalýza – je oborem, který má jako hlavní úlohu analyzovat algoritmy a rovněž analyzovat zašifrovaná data.

4 Kyberprostor Termín kybernetická kriminalita původně vychází z anglického překladu: „Cybercrime“. Je to kriminalita, která se odehrává v kyberprostoru, což je „Virtuální svět vytvořený moderními technologickými prostředky (např. počítačem)“14 V současnosti jedinci nebo organizované skupiny, které mohou chtít prolomit naší ochranu dat, neustále zdokonalují dešifrovací umění. Neustálá evoluce v tomto odvětví je zapříčiněna a také omezena vývojem v oblasti ICT (information and communication technologies). Mezi nejznámější kyber zločiny patří incident z 27. dubna v roce 2007 v Estonsku, kdy bylo zcizeno velké množství dat z výzkumů agentury NASA. Hackeři nejčastěji využívají nepozornosti uživatelů, či slabě zabezpečených infrastruktur, jako tomu bylo v Estonsku. Dnes již není problém falšovat e-mailové adresy, jména, což umožňují dnešní sociální sítě na Internetu, apod. Kybernetická kriminalita je nový jev, který se dostává stále více a více do popředí nejen díky způsobeným škodám a ztrátám, které jsou značné, ale hlavně obtížná zjistitelnost pachatelů, která jim zajišťuje určité bezpečí.15 Česká republika má státní agenturu, jejímž hlavním úkolem je odhalovat pachatele útoků a pomoci při jejich eliminaci. Nazývá se BIS neboli Bezpečnostní informační služba. „Podle zákona o zpravodajských službách ČR (č. 153/1994 Sb.) se Bezpečnostní informační služba zabývá získáváním, shromažďováním a vyhodnocováním následujících informací: 1. Hrozby terorismu 2. Aktivity ohrožující bezpečnost nebo významné ekonomické zájmy státu 3. Činnost cizích zpravodajských služeb na našem území 4. Záměry nebo činy mířící proti demokratickým základům, svrchovanosti a územní celistvosti ČR 5. Aktivity organizovaného zločinu 6. Činnosti ohrožující utajované informace“ 16

13 (Tomáš Doseděl, 2004, str. 25)

14

(www.slovnik-cizich-slov.abz.cz/web.php/slovo/kyberprostor). (5.3.2011)

15 http://is.muni.cz/th/342895/fss_m/Budoucnost.kyber.teror.Aberle.DP.pdf (5.4.2011)

17

Velice často skloňovaný název v souvislosti s kybernetickou kriminalitou je kybernetický terorismus. Účastníci mohou být jednotlivci, sub-státní systémy, tajní agenti a spekuluje se i o infiltraci státní moci do tohoto odvětví. Cíle kybernetického terorismu jsou různé, nejčastěji se zaměřují na získávání informací nebo podkopávání infrastruktury daného státu. Uvažuje se možnosti existence incidentu, který se nazývá Kybernetická válka (cyber war). Kybernetická válka je izolována od širšího konfliktu, odvíjí se v prostředí zcela odlišném od tradičního vedení boje a nabízí nekrvavou alternativu nebezpečí a nákladnosti moderní války. Kybernetický boj bude téměř určitě mít zcela reálný fyzický dopad. 17 Samotné podkopávání států mohou mít v úmyslu jiné země. Otázkou zůstává, kdy je tento způsob intervence do další země špatný a kdy nikoliv. Podle grafu od firmy Phoboslabs vytvořeného v roce 2010 můžeme vidět, jak lidé reagují na informační intervenci mez státy:

Obrázek č. 2: Je správné špehovat nebo instalovat viry do systémů jiných zemí?

16 (http://www.bis.cz/cim-se-zabyvame.html) (5.4.2011)

17 http://www.army.cz/scripts/detail.php?id=309 (12.4.2011)

18

18

Jasně vidíme, že špehování a instalování naprosto schvaluje 23 % dotázaných respondentů. Absolutně odmítá jakoukoliv podobnou intervenci celých 37 % respondentů a zbytek, tedy 40 % respondentů souhlasí, jen pokud budou země ve válce.

V dnešní době mnoho států jako je třeba USA, Francie, Velká Británie investuje významné částky do zlepšení a ochrany infrastruktury a obchodů v zemi před možnými útoky. Federální vláda USA v roce 2010 spustila program, který se nazývá „Perfektní občan“. Tento program by měl detekovat veškeré pokusy i úspěšné útoky na soukromé podnikatelské subjekty, ale i na státní úřady a státní firmy, které mohou představovat potencionální nebezpečí pro občany, jako jsou jaderné elektrárny apod. Smlouvu na celkem 100 miliónů dolarů získala ve veřejné soutěži firma Raytheon Corp. Cílem programu je vytvořit celostátní databázi útoků a následně instituce, které budou mít přístup k daným informacím. Díky tomu budou moci zefektivnit bezpečnost a ochranu dat.19

18 http://www.sophos.com/security/topic/security-threat-report-mid2010/cyberwar-cyberterror.html

19http://online.wsj.com/article/SB10001424052748704545004575352983850463108.html (5.3.2011)

19

9.

BEZPEČNOST A OCHRANA POČÍTAČE

Bezpečnost a ochranu dat na PC firmy zajišťují mnoha způsoby. „Vlastní ochrana dat se skládá ze čtyř částí. Je potřeba ochránit fyzický přístup k nosičům dat, logický přístup k datům, ochránit uložená data a data přenášená počítačovou sítí a ochránit data před úmyslným či neúmyslným zničením.“ 20 Ochranu dělíme podle způsobu, jakým se mohou data ocitnout v nebezpečí. 1. Ochrana proti přírodním živlům Při umisťování počítačů musíme brát v úvahu i živelné pohromy, které mohou nenávratně zničit veškerá data. Mezi živelné události, které nám mohou poškodit PC, počítáme: požár, povodeň. Zbývající živelné katastrofy v našich zeměpisných šířkách nepřipadají do úvahy. Chráníme PC pomocí detektorů požáru, které dnes hasí oheň i plynem, takže nijak nepoškodí uložené počítače. Umístění serverovny by mělo být ve vyšším patře, aby v případě povodně byla veškerá data bezpečně v suchu. Do této kategorie počítáme i škody, které nezavinil člověk. Kolísání napětí elektrického proudu zapříčiní zkrat v PC nebo jeho samotné vznícení. Chránit se můžeme přípojkami, které absorbují toto kolísání. Další faktor, který může poškodit nebo úplně zničit počítač, je neklimatizovaná místnost. Proti přehřívání PC pomáhá mnoho inovací, jakými jsou: kvalitní prachové filtry, kvalitní izolace místnosti, aby chlad neutíkal, apod. 2. Ochrana proti neoprávněným osobám Pokud data nejsou veřejná, pak by měla mít organizace definované zaměstnance, kteří budou mít přístup k datům. Proti neoprávněným osobám rozdělujeme ochranu na fyzickou ochranu a systémovou ochranu a) Fyzická ochrana Zaměřuje se na fyzickou ochranu serverů a počítačů jako takových. Proto je potřeba zajistit bezpečnost PC proti vniknutí neoprávněných fyzických osob. Základní ochrana fyzických serverů je zámek, uzavřené neprůchodné místnosti, stráž, kódy apod. b) Systémová ochrana21 Jejím hlavním úkolem je ochránit počítač tak, aby do něj nemohl vniknout útočník pomocí internetu nebo sítě. Nejúčinněji můžeme chránit data pomocí zašifrování. To znamená, že pokud se povede útočníkovi prolomit ochrana počítače, pak si nebude moci žádná data přečíst. Následně je musíme zálohovat do stroje nebo datového nosiče jako je Flash disk nebo CD, DVD, protože jestliže se útočník dostane do systému a nebude moci data přečíst, je zde možnost, že je bude chtít následně zničit.

20 Tomáš Doseděl, 2004, str. 7

21 Tomáš Doseděl, Computer press 2004, str. 7

20

1 Ohrožení dat Když hovoříme o útocích, pak si musíme nejdříve definovat útočníky. Ty můžeme definovat podle jejich zkušeností, záměru či způsobu prolomení ochrany počítače. Rozlišujeme základní 3 typy útočníků: 1. Amatér – ti se příliš neorientují v systémech a virech a proto je jejich nebezpečnost minimální. Amatéři většinou neumí napsat skript ani vytvořit vir, a pokud prolomí obranu a dostanou se do systému, pak je to buď prakticky žádnou ochranou, nebo zafungoval faktor náhody. Proti amatérům většinou stačí i minimální zabezpečení. 2. Hackeři – tyto lidé jsou již vzdělaní v daném oboru a dokážou vniknout do systému i přes dobré zabezpečení. Hackeři jsou většinou studenti IT oborů. Jsou ovšem limitováni časem a prostředky. Hackeři většinou jen sbírají informace, zkušenosti a někteří to berou jako sport. Musíme také rozlišovat pojmy Hacker a Cracker. Hacker – se snaží dostat do systému prolomením ochrany. Nicméně není jeho hlavním cílem zničit nebo ukrást informace, spíše jde jen o to dostat se přes zabezpečení. Cracker – ten se zaměřuje hlavně na poškozování subjektů, jejichž systémovou ochranu prolomil. Snaží se tedy zničit, ukrást informace či jinak uškodit.22

3. Profesionálové – sám význam slova profesionál nám ukazuje potencionální nebezpečnost profesionálního útočníka. Jsou to většinou sponzorované nebo dobře zajištěné skupiny lidí, které jsou vysoce kvalifikovaní v IT systému a velmi dobře se orientují v počítačích. Jsou vskutku nebezpeční, ale většinou se zaměřují jen na perspektivní systémy, takže koncový uživatel počítače se nemusí bát. Tyto skupiny mohou být pouze zločinné organizace nebo i státem podporované. Útočníky dále může rozdělit dle způsobu jejich útoku: 1. Vnitřní útočník – útočník je většinou řadový zaměstnanec firmy, která byla napadena. Velkou výhodou je jednoduché dohledání útočníka. Kamerový systém nebo systémové zabezpečení v podobě záznamu veškerých aktivit na počítači je velmi efektivní nástroj dohledání útočníka. 2. Vnější útočník – ti jsou mnohem obtížněji vypátratelní, už jen z důvodu, že mohou operovat prakticky kdekoliv na světě. Při pátrání po vnějších útočnících jsou mnohdy zapojeny i různé státy i bezpečnostní organizace jednotlivých států.

Hacker má dnes význam velmi odlišný od významu, ve kterém vznikl. Původně se tak označovali programátoři, kteří měli za úkol vyhledávat chyby v systémech a opravovat je tak, aby fungovaly efektivněji a bezchybně. Tyto zásahy v systémech se nazývají v anglickém jazyce slovem „Hack“ a odtud se odvodil název Hacker. Nejranější způsob hacku se ještě netýká počítačových systémů, ale obyčejného tkalcovského stavu. Datoval se rok 1801 ve Francii, kdy tkadlec Jacquard vymyslel tkalcovský stav natolik automatizovaný, aby potřeboval minimální lidskou sílu.

22 http://www.linuxexpres.cz/blog/hacker-vs-cracker (7.3.2011)

21

Masově hack začala používat jedna z protiválečných organizací: yppies. Jejich vůdce Abbie Hoffmann se dorozumíval se svými kolegy pomocí telefonů, které nikdy nemusel neplatit. Stejně tak jako John Draper, který roku 1971 zjistil, že dokáže obelstít telefonní ústředny pomoci píšťalky. Pokud píšťalka dokáže vyloudil zvuk o frekvenci 2600 Hz, pak jeho hovor byl zdarma. Dnes nejsou hackeři a crackeři natolik neškodní, jako jejich historičtí předchůdci. Dle knihy Počítačová kriminalita, Michal Matějka, Computer press, 2002, str 44, 54, dělíme hackery a crackery do několika skupin podle jejich působnosti a hrozeb: 1. Script Kiddies – ti jsou neuznávanými v hackerské komunitě a spíše jsou považovány za atrapy a špatné hackery. 2. White Hats – hackeři, kteří zastávají původní smysl hacku, tedy najít chybu a upozornit na ni, případně ji opravit. Nicméně nikdy nezneužívají svých postavení a nenapadají servery a webové hostingy. 3. Gray Hats – zastávají názor, že zveřejnění informací o chybě v systému napomáhá jeho bezpečnosti. Jsou to hackeři, kteří většinou jsou mezi dobrými a kriminálními hackery. 4. Black Hats – kriminální hackeři, které zajímá vlastní obohacení. 5. Elite – označuje se tak skupina hackerů, kteří se proslavili po celém světě. Patří sem třeba Vladimir Levin, který se pokusil převést 10,7 miliard korun českých na svůj účet z účtů banky Citibank. Vladimir Levin byl chycen a po dlouhých soudních sporech se bance Citibank vrátila téměř celá částka kromě 8 milionů korun českých.23 Typy útoků na systémy jsou různé. Můžeme očekávat 3 typy: 1. Virus - virus 2. Spam – není počítačovým virem v pravém slova smyslu, ale spíše nevyžádaná pošta. 3. Spyware – sleduje činnosti uživatele programu a neustále odesílá přes internet potřebné informace tvůrci. Dnes to má hodně freeware aplikací.

Viry dělíme: 1. Klasické viry – ty infikují soubor, a pokud je antivir nenalezne, pak se začnou šířit do celého systému. Jsou velmi podobní biologickým virům. 2. Bootovací viry – viry jsou umístěné v bootovací části počítače a spouští se vždy při načítání systému v počítači. 3. Stealth viry – jsou takové, které nejsou vidět v seznamu procesů a díky tomu jsou těžce dohledatelnými. 4. Polymorfní viry – jejich zdrojový kód obsahuje náhodně generované části a díky nim je pro antivirový program velmi těžké nalézt a zničit vir.24

23 Michal Matějka, Computer press, 2002, str: 20,44,54

24 (www.unicorncollege.cz, předmět SEC, 12. Přednáška, autor David Hartman, 9.3.2011)

22

Každý uživatel počítače by měl dbát na co nejlepší ochranu svých dat pomocí specifických programů. Počítače ohrožují mnohá nebezpečí. Prvním nebezpečím, které bych rád zmínil, je vir typu červ nebo worm – ten se zaměřuje na chyby a mezery v rámci operačních systémů. Rozšiřuje se nejčastěji e-mailem. Nejznámější podoba worm viru je virus I Love You. Tento virus je označován jako jeden z nejničivějších na světě a první zmínka o jeho útoku je ze 4. května roku 2000 z Filipín. Virus způsobil odhadem škodu za 5,5 miliardy amerických dolarů a infikoval více než 45 miliónů počítačů.25 Dalším virem, který je schopen poškodit naše soubory a data, je velmi rozšířený typ viru: Trojský kůň, tzv.:Trojans. Jedním z představitelů je program Back Oriffice díky němu se můžeme vzdáleně připojit na cizí počítač, kde je vir (program) nainstalován a můžeme na něm pracovat, jako bychom u něj seděli. Tomuto typu viru se říká Back door vir. Další druhy trojských koňů jsou: 1. Dialer – tento program funguje na principu, že automaticky přepne internetového providera na jiného, mnohem dražšího. Majitel o přepnutí neví a zjistí to, až když mu dojde účet za internet. 2. Keylogger – zaznamenává veškeré používání klávesnice počítače. Díky tomu počítačový pirát získá přístupová hesla a loginy do systémů apod. 3. Dropper – je nosičem virů. Svým spuštěním se aktivují viry uvnitř něj a rozešlou se do systému. 4. Downloader – má podobnost v předešlém viru Dopper, ale odlišuje se od něj tím, že neobsahuje viry, ale při aktivaci je stáhne ze sítě či internetu. 5. Trojan – proxy – díky tomuto programu může útočník využívat internet napadeného uživatele. Z napadeného počítače se stává proxy server, tedy mohou se na něj připojit uživatelé a používat přes něj internet nebo vstup do sítě. 6. Rootkit – program zamezuje úplnou kontrolou nad uživatelským počítačem. Zakrývá tedy jisté aplikace a pochody počítače tak, aby to majitel nezjistil. 7.Hoax – ke svému šíření nejčastěji využívá email. Většinou je to upozornění na jistý druh počítačového viru. Pokud uživatel otevře tento email, vir se dostane do jeho počítače.26

25 http://cs.wikipedia.org/wiki/I_Love_You (9.3.2011)

26 (www.unicorncollege.cz, předmět SEC, 12. Přednáška, autor David Hartman)

23

Tabulka č. 4: Klasifikace útoků Klasifikace útoků Útoky

Rozšířenost

Zkušenosti

Dopad

Celkové riziko

Odhalování hesel

8

9

8

8

Odhalení hesel uložených v paměti

9

9

8

8

DoS útok

8

9

8

8

Bootovací vir

8

10

10

9

Back oriffice

10

9

10

10

Útok na Dail-up server

8

9

8

8

Útok na sdílené soubory a tiskárny

8

9

8

8

27

Tabulka nám znázorňuje, jak moc nebezpečné jsou různé útoky, se kterými můžeme přijít do styku. Klasifikace je 1 – nejnižší riziko, 10 – nejvyšší riziko. Rozšířenost – tím je myšleno, jak často jsou útoky používané (1 – minimálně, 10 – velmi časté) Zkušenosti – schopnosti potřebné k provedení útoku (1 – laik, 10 – programátor) Dopad – následky v systému (1 – malé či nicotné, 10 – destruktivní)

Spyware je další aplikace, která může ohrozit náš počítač. V rámci společností je spyware rizikový program, protože jeho princip je, že posílá informace z počítače uživatele na jiný bez jeho souhlasu. V dnešní době se spyware rozšiřuje hlavně přes internet a využívá chyb v prohlížečích internetových aplikací, které umožňují instalaci programu bez akceptování uživatele. Projevem programu může být zpomalení počítače. Do kategorie spyware jsou umístěny následující programy: 1. Phishing – princip útoku je, že útočník kontaktuje osobu (uživatele) přes e-mail a vydává se za známou organizaci, jako jsou banky, administrátoři apod. Celé snažení útočníka je zaměřené na získání důležitých či osobních informací, aby uživateli mohl vykrást bankovní konto. Nejznámějším incidentem byla kauza Citibank, kde Vladimir Levin roku 1997 ukradl z kont uživatelů Citibank celých 10,7 miliard korun českých. 2. Vishig – dnes mnohem rozšířenější odrůda phishingu. Princip tohoto útoku spočívá rovněž v poslání e-mailové pošty, která vypadá jako od důvěryhodné instituce (administrator, banka, úřad apod.) a v ní je uvedeno telefonní číslo. Další komunikace mezi útočníkem a obětí je osobní přes telefon. Tímto způsobem nic netušící oběť začne důvěřovat útočníkovi a po pár dobrých radách při opravě systému, které většinou zapříčiní útočník viry, je někdy i ochotna prozradit osobní informace.

27 Sturart Mcclure, Joel Scambray, George Kurtz Computer press Brno 2003,)

24

Útočník požadavek vždy zaobalí tak, aby oběť měla pocit, že po vyzrazení informací bude vše mnohem rychleji vyřízené a opravené.

Spam nelze pokládat za vir, je to spíše nevyžádaná pošta. Název Spam byl odvozen z amerických konzerv lančmítu, jejichž popularita byla největší během 2. světové války a krátce po ní. SPAM konzervy vznikly v 30. letech a vyrábějí se dodnes. O vzniku prvního spamu se dodnes spekuluje, ale jsou názory, že první spam byl vytvořen 1. května roku 1978. Zaměstnanec společnosti Digital Equipment Corporation poslal, v té době ještě přes ARPANET, informace týkající se služeb firmy. Následovali ho další průkopníci nového způsobu reklamy. Roku 1993 to byl Richard Depew nebo spam z 18. ledna 1994, jenž věštil konec světa. Spam měl předmět Global Alert For All: Jesus is Coming Soon (Upozornění pro všechny: Ježíš brzy přijde).28 Upozornění vzniklo kvůli globálním problémům s přírodními katastrofami. V rámci České republiky spam upravuje zákon v platném znění 480/2004 o některých službách informační společnosti. Tento zákon upravuje fakt, že nezákonný spam je pouze ten, který uživatel předem neodsouhlasil. Dělíme tedy Spam do 2 kategorií: 1. Opt-in – je uzákoněn v českém zákoníku jako zákon v platném znění 480/2004, kde se říká, že nikdo nesmí zasílat spam bez povolení. 2. Opt-out – patří do zákonů USA, kdy uživateli mohou posílat veškeré spamy automaticky. Pokud koncový uživatel již nechce pobírat spam, pak musí sám napsat a požádat o zamezení zasílání spamu. Až tehdy je spam nezákonný.29

2 Způsoby ochrany dat Jakým způsobem můžeme chránit náš počítač a data v něm uložená? Základní způsob ochrany je šifrování souborů. Uživatel si může sám určit, jaké soubory jsou natolik důvěrné, že musí být zašifrovány. Způsoby šifrování jsou různé. Nejčastěji se využívají programy ZIP a PKZIP. Pokud chceme šifrovat soubory v rámci celé firmy, pak můžeme implementovat šifrovací program přímo do systému firmy a tím se veškeré informace splňující předem nadefinované parametry zašifrují. Do této kategorie patří pluginy, jako na příklad PGP plugin. PGP neboli Pretty Good Privacy se užívá nejčastěji pro šifrování e-mailových zpráv.30 Každá ztráta dat může být velkým problémem pro jakoukoliv firmu.

28 http://cs.wikipedia.org/wiki/Spam (10.3.2011)

29 https://uu.unicornuniverse.eu (5.3.2011 předmět SEC, Úvod do kryptografie, autor David Hartman)

30 http://referaty-seminarky.cz/sifrovani/ (5.3.2011)

25

Obzvlášť je důležitá ochrana v účetnictví, protože pokud útočník vymaže jeden soubor, pak celý výsledek nemusí dávat vůbec smysl. Základní ochrana dat je zálohování. Princip zálohovací činnosti je v uchovávání dat na jiném úložišti, než je původní. Pokud by hlavní systém zkolaboval, pak bychom bez problémů mohli obnovit zálohu a pokračovalo by se v činnosti bez větších prodlev. Uživatel by měl zálohovat co v nejkratších časových intervalech a pokud možno po celou dobu své práce. Je několik způsobů, jak můžeme zálohovat data v počítači: 1. Kopírování – prosté kopírování dat. 2. Komprimace – složitější než kopírování. Většinou se využívají speciální programy, díky nimž se zmenší objem dat pro archivaci. 3. Zálohovací programy – jsou to programy, které automaticky zálohují data. Jsou obsaženy v novějších operačních systémech Microsoftu. Zálohovat data můžeme na veškerá média, jako jsou: DVD, CD, Flash disky, externí paměti, diskety apod. 4. Zrcadlení disků – spočívá v tom, že se vytváří stejná data souběžně na dvou discích. Při napadení jednoho z disků veškeré informace jsou uložené na druhém. Doporučuje se dobrá prevence před útokem, než náprava. Proto bychom měli k datům a jejich zabezpečení přistupovat zodpovědně. Můžeme chránit naše data pasivně i aktivně. Pasivní způsob zahrnuje základy bezpečnosti jako nepouštět cizí osoby k počítači nebo nespouštět nedůvěryhodné programy. Společnost si musí své zaměstnance vychovat tak, aby zamezila ohrožení z nedbalosti. „Dalšími, spíše obecnými, pravidly u pasivní ochrany jsou: 1. Používat legálně získaný software 2. Mít nainstalován pouze software, který používáte (pro omezení počtu míst, kde Váš systém může být napaden) 3. Pravidelně aktualizovat software vydanými opravnými balíčky (ne jenom operační systém) 4. nespouštět přílohy e-mailu od neznámých lidí nebo v e-mailech, které se vymykají běžné korespondenci s osobou (např. psány jiným jazykem apod.) 5. Pro běžnou práci se do systému přihlašovat jako běžný uživatel, nikoliv jako privilegovaný uživatel (s administrátorskými právy) 6. Někteří bezpečnostní pracovníci doporučují nepoužívat MS Internet Explorer (a Outlook Express), ale nějaký jiný alternativní prohlížeč jako například Firefox nebo Opera 7. Používat SW proti přesměrování připojení“ 31

„Aktivní ochrana je stejně důležitá pro zabezpečení dat. Odborníci zmiňují hlavně instalace antivirových programů. Dále: 1. Pravidelná aktualizace databáze o nové definice virů.

31 (www.unicornuniverse.cz , SEC přednáška, autor David Hartman)

26

2. Programy zabezpečující odstraňování spyware a jejich pravidelná aktualizace o nové definice (podobně jako u antivirových programů). 3. Software pro detekci rootkitů. 4. Software pro tzv. Blacklisty nebezpečných webovských sídel.“32

3 Elektronický podpis Elektronický podpis je užíván v České republice od roku 2002, kdy byl přijat zákon v platném znění č. 227/2000 Sb. O elektronickém podpisu. Právě díky elektronickému podpisu se zrovnoprávnil vztah mezi elektronickým a spisovým dokladem. Účetní záznamy se tím mohou posílat i v elektronické formě, přičemž z pohledu práva jsou stejné a dokonce i převoditelné na fyzické účetní doklady. Z elektrického dokladu se může udělat fyzický spis, ale z fyzického nelze udělat elektronický, protože by se kompletně znehodnotil podpis na dokumentu. Elektronické podpisy se používají při komunikaci s jiným odděleními mimo účetní jednotku. Elektronickému podpisu se také říká podpis digitální a můžeme tím podepsat prakticky jakýkoliv soubor či data, která jsou v digitální podobě. Je stejně jako podpis rukou naprosto unikátní. Je vygenerovaný z čísel například z 1024 jedniček a nul. Tato kombinace je natolik složitá, že není možné, aby ji člověk napodobil, což zvyšuje důvěryhodnost informací a dat, které jsou posílané přes internet. Každý dokument vytvořený v počítači je tvořen z jedniček a nul. Z nich se vytvoří sumarizace, které se říká Hash. Hash se v rámci jednoho souboru nikdy nemění. Nicméně nelze pomocí hashe znovu získat podobu šifrovaného souboru. Digitální klíč využívá metodu asymetrické kryptografie, kdy je vytvořen privátní klíč, který vlastní majitel a odesílatel zprávy a dále se k němu vytvoří veřejné klíče, které se rozešlou všem uživatelům, kterým bude zasílána zašifrované zpráva. Postup je takový, že nejdříve uživatel spojí svůj privátní klíč s hashem vytvořený z dokumentu. Ten se pak takto uzamkne a odešle se příjemci zprávy. Ten díky veřejnému klíči, který vlastní, může ověřit pravost zprávy a rovněž i má potvrzeno, že nikdo se zprávou nemanipuloval. Z veřejného klíče se nikdy nedá zjistit vzhled klíče privátního, což zajišťuje zabezpečení a ochranu dat. Aby příjemce zjistil, zdali je to podpis dané osoby, musí být podpis potvrzený certifikátem. Tento certifikát je vydán certifikační agenturou, jež ověřuje veškerá data napsaná v certifikátu. Mezi data patří identifikace vlastníka či podniku. Certifikát může uživatel získat dvěma způsoby: 1. Elektronický certifikát – je mnohem méně průkazný, protože certifikační agentura nemá možnost si ověřit správnost údajů 2. Kvalifikovaný certifikát – pro obdržení kvalifikovaného certifikátu si musí uživatel osobně dojít do certifikační agentury pro vystavení.

32 (www.unicornuniverse.cz , SEC přednáška, autor David Hartman)

27

Certifikát, který dostane uživatel, má certifikační číslo, dobu platnosti, po které se musí platnost certifikátu prodloužit a někdy i účel vytvoření. Příjemce podepsaného dokumentu získá jeho odemčením veřejným klíčem jednak dokument samotný a také informace o certifikační agentuře, která certifikát vystavila. Certifikační autorita musí být důvěryhodná.33

33 http://www.recomando.cz/elektronicky-podpis (12.3.2011)

28

10.

PRÁVNÍ OCHRANA

Základním právním předpisem, jimž se musí řídit každá osoba jak fyzická, tak i právnická, se nazývá Ústava. V České republice byla přijata 16. prosince 1992 pomocí České národní rady a vzešla v platnost následující rok, tedy 1. ledna 1993. Ústava je zapsána ve sbírce zákonů jako právní předpis č. 1/1993 Sb. Součástí ústavního pořádku je Listina základních práv a svobod, která vyjadřuje vztahy mezi občanem a státem. Listina je souborem 44 článků, které čerpají z Všeobecné deklarace lidských práv z roku 1948, Mezinárodního paktu o občanských a politických právech (1966), Mezinárodního paktu o ekonomických, sociálních a kulturních právech (1966), Evropské konvence o ochraně práv člověka a základních svobodách (1950), Evropské sociální charty, ale také z československé ústavy z roku 1920 a rakouské ústavní úpravy z roku 1867.34 Listina nám zaručuje, že každý má způsobilost mít práva a povinnosti od narození. Existují 2 typy způsobilosti. První typ se nazývá způsobilost k právům a povinnostem, tedy právní subjektivita. Ta vzniká při narození a zaniká smrtí osoby nebo jejím prohlášením za mrtvého. Druhý typ způsobilosti je způsobilost k právním úkonům. Člověk získá způsobilost k právním úkonům až při dosažením zletilosti, to znamená 18 let. Zaniká smrtí, ale může být člověku odebrána soudem, pokud není způsobilý k právním úkonům, to znamená, že člověk je psychicky postižený nebo není schopen se rozhodovat, případně si neuvědomuje následky svého počínání. Soud může způsobilost k právním úkonům jen omezit. Opatření takového druhu se provádí hlavně u narkomanů a alkoholiků, kteří odpovídají za své činy, ale nemohou si půjčovat peníze nebo sázet. Pokud uvažujeme v rámci bezpečnosti a ochrany dat, pak nás zajímá právo obsažené v Listině základních práv a svobod jakým je čl. 1, který pojednává o rovnosti v důstojnosti i v právech všech lidí. Základní práva a svobody jsou nezadatelné, nezcizitelné, nepromlčitelné a nezrušitelné. Čl. 3 odst. 3 znamená, že každý člověk může činit, co není zákonem zakázáno, a nikdo nesmí být nucen činit, co zákon neukládá. Zakazuje lidem činit jakékoliv protiprávní kroky v rámci bezpečnosti a ochrany dat. Čl. 7 odst. 1, zaručuje nedotknutelnost osoby a jejího soukromí. Omezena může být jen v případech stanovených zákonem. V bezpečnosti by nás měl hlavně zajímat celý článek č.10, který obsahuje 3 odstavce: (1) Každý má právo, aby byla zachována jeho lidská důstojnost, osobní čest, dobrá pověst a chráněno jeho jméno. (2) Každý má právo na ochranu před neoprávněným zasahováním do soukromého a rodinného života. (3) Každý má právo na ochranu před neoprávněným shromažďováním, zveřejňováním nebo jiným zneužíváním údajů o své osobě. Omezení potřebné pro bezpečnost záznamů a písemností je zmíněné v čl. 13 tedy, nikdo nesmí porušit listovní tajemství ani tajemství jiných písemností a záznamů, ať již uchovávaných v soukromí,

34 http://cs.wikipedia.org/wiki/Listina_základních_práv_a_svobod (16.2.2011, portál: Právo)

29

nebo zasílaných poštou anebo jiným způsobem, s výjimkou případů a způsobem, které stanoví zákon. Stejně se zaručuje tajemství zpráv podávaných telefonem, telegrafem nebo jiným podobným zařízením.

Státní orgány dle Listiny základních práv a svobod, mohou činit pouze to, co jim výslovně zákon dovoluje. Na rozdíl od fyzické osoby, které může činit vše, co jí zákon výslovně nezakazuje. Státních orgánů se týká čl. 17 odst. 5, který ustanovuje povinnost přiměřeným způsobem poskytovat informace o své činnosti. Ústavě, jako nejvyšší právní normě, nesmí žádný zákon odporovat. V českých právních normách existují kolizní pravidla. Jsou to základní principy, kterými určujeme priority právních norem. Právní řád dodržuje 3 kolizní pravidla: Lex superior derogat inferiorit – právní norma vyšší právní síly má absolutní přednost před právní normou nižší právní síly. Pro příklad bych uvedl postavení Ústavy a vyhlášky. Vyhláška nikdy nesmí odporovat Ústavě. Lex specialis derogat generali – Speciální právní norma má přednost před obecnou právní normou. Příkladem je vztah obchodního zákoníku (zvláštní úprava, lex specialis) a občanského zákoníku (obecná úprava, lex generalis).35 Lex posterior derogat priori – Pozdější právní norma má přednost před dřívější právní normou. Například pozdější obecný zákon má přednost před dřívějším obecným zákonem. Tyto vztahy mohou být sporné v závislosti na různé úrovni zákonů. O ochraně údajů a bezpečnosti dat se nedozvídáme jen v již zmíněných právních předpisech, ale musíme dodržovat specifické zákony, které jsou nadnárodní i národní.

Nadnárodní právní dokumenty Celosvětové nebo evropské právní dokumenty jsou důležité pro ochranu států, lidí a jejich vzájemnou kooperaci. Mezi nadnárodní právní dokumenty patří Všeobecná deklarace lidských práv 1948, Úmluva o ochraně lidských práv a základních svobod (č.209/1992 Sb.), Evropská sociální charta (č.14/2000 Sb.m.s.), Evropský zákoník sociálního zabezpečení (č. 90/2001 Sb.m.s.), Úmluva o ochraně osob se zřetelem na automatizované zpracování osobních dat (č. 115/2001 Sb.m.s.).36 Osobní údaje, které používáme při registraci do knihoven, internetu, sociálních sítí, se používají i mimo zemi, ze které vyšly. V rámci Evropské unie se tímto problémem zabývají jak Evropská komise,

35 http://iuridictum.pecina.cz/w/Kolisní_pravidla (17.2.2011)

36 http://www.esyhandicaphelp.wgz.cz/prehled-nejdulezitejsich (17.2.2011)

30

tak i Rada EU a Evropský parlament. Na úrovni Rady EU řeší tyto otázky Rada pro obecné záležitosti. Evropský parlament jedná na toto téma v rámci Výboru pro občanské svobody, spravedlnost a vnitřní věci.37 Evropská komise na začátku 90. let předložila Radě EU návrh týkající se zabezpečení osobních dat, který se nazýval: Směrnice týkající se ochrany jednotlivce v souvislosti se zpracováním osobních údajů. Zmíněná směrnice byla až do roku 1995 projednávána a téhož roku, přesněji 24. Října 1995 byla schválena Radou EU a Evropským parlamentem. Po schválení se směrnice označuje jako Směrnice 95/46/ES, která obsahuje základní pravidla pro ukládání, distribuování a zabezpečení osobních údajů. Lidé i organizace se musí touto směrnicí řídit jak při zpracovávání údajů na počítači, tak i na neautomatizovaných systémech. Směrnice zavádí termín „správce údajů“ (tj. osoba nebo orgán, který určuje účel a prostředky zpracování), s cílem sledovat řadu pravidel: čestné a zákonné zpracování, jednoznačný a legitimní účel sběru a zpřístupňování údajů, rozsah odpovídající účelu, pro který jsou data zpracovávána, přesnost údajů a tam, kde je to potřebné, i aktuálnost údajů.38 Správce musí stanovit zástupce v dané zemi, jimž může být orgán nebo skupina orgánů, které dohlížejí na dodržováním směrnic a případně nahlašují nedodržení směrnic. Členské státy stanovily, že osobní údaje musí být: 1. Shromažďované pro stanovené účely 2. Přiměřené a podstatné 3. Přesné i aktualizované 4. Uchovány ve formě umožňující identifikaci subjektů Ve článku 13 téže směrnice se hovoří o výjimkách a omezeních, tedy stát může přijmout legislativní opatření pro omezení práv, pokud je to důležité kvůli zajištění: 1. Bezpečnosti státu 2. Obrany 3. Předcházení trestním činům a jejich vyšetřování 4. Významného hospodářského nebo finančního zájmu členského státu 5. Kontrolní, inspekční nebo regulační funkce 6. Ochrany subjektu údajů nebo práv a svobod druhých39

37 http://www.ikaros.cz/ochrana-osobnich-udaju-v-evropske-unii (17.2.2011, autor: Jitka Hradilová, Ikaros [online]. 2008, roč. 12, č. 2 [cit. 17.02.2011])

38 http://www.ikaros.cz/ochrana-osobnich-udaju-v-evropske-unii (17.2.2011, autor: Jitka Hradilová, Ikaros [online]. 2008, roč. 12, č. 2 [cit. 17.02.2011])

39 www.eur-lex.europa.eu

31

Další směrnicí, která by nás měla zajímat je Nařízení 45/2001/ES, O ochraně fyzických osob v souvislosti se zpracováním osobních údajů orgány a institucemi Společenství a o volném pohybu těchto údajů. Je to nařízení Evropského parlamentu a Rady EU, které vzešlo v platnost dne 18.prosince roku 2000. Tato směrnice se zabývá hlavně zásadami kvality údajů, zásady pro legitimní zpracování údajů, které lze zpracovávat pouze pokud: 1. Je zpracování nezbytné pro vykonání úkolu ve veřejném zájmu 2. Je zpracování nezbytné pro splnění právní povinnosti 3. Je zpracování nezbytné pro splnění smlouvy 4. Subjekt údajů jednoznačně udělil souhlas 5. Je zpracování nezbytné pro zachování životně důležitých zájmů subjektu údajů40 Dále se týká informování subjektu údajů a zvláštní kategorie zpracování. 7. oddíl popisuje důvěrnost povahy a bezpečnost zpracování údajů. Bezpečnostní zpracování údajů se odlišuje podle toho, jak moc velké bezpečnostní podmínky a ochranu vytvoří správce vzhledem k citlivosti údajů, které mají být ochráněny. Důležité je zmínit, že při zpracovávání údajů automatizovanými prostředky jako je počítač, musíme brát zřetel na mnoho faktorů, jako jsou: 1. Zastavit přístup neoprávněné osobě k citlivým informacím 2. Evidovat jaké osobě a jaké informace byly sděleny 3. Zašifrovat údaje tak, aby nebylo možné je neoprávněnou osobou číst Veškerá opatření jsou zřízena kvůli možnosti přístupu neoprávněných osob k citlivým informacím, a aby nebylo možné jakkoliv těchto informací zneužít. Předposlední oddíl směrnice je 8., který popisuje vznik Inspektora ochrany údajů. Osoba, která je pověřena institucemi k vykonávání funkce inspektora má za úkol: 1. Informovat správce a subjekty údajů o zákonných opatřeních 2. Nahlašovat evropskému inspektorovi osobních údajů incidenty a reporty z místa působení Poslední oddíl má číslo 9 a zmiňuje ochranu osobních údajů a soukromí v rámci telekomunikačních sítí. Orgány, instituce či Společenství se zde zavazují, že pokud nastane jakékoliv ohrožení osobních údajů, pak se vynasnaží všemi možnými prostředky zabránit získání, či distribuování osobních dat. Nicméně toto pravidlo je přesněji a detailněji zapsáno ve směrnici 2002/58/ES, o soukromí v elektronických komunikacích. Díky této směrnici se sjednocují veškeré podmínky při ochraně dat v rámci telekomunikačních technologií. Směrnice doplňuje a zpřesňuje již dříve vzniklou směrnici a to směrnici 95/46/ES. Předmětem směrnice je zpracovávání údajů ve vztahu k jejich distribuci v rámci společenství přes veřejné komunikační sítě. Poskytovatel musí použít dostatečné množství opatření, aby zajistil co nejlepší a nejdůvěryhodnější zabezpečení dat pro své zákazníky. Směrnice 2006/24/ES, o uchovávání údajů vytvářených nebo zpracovávaných v souvislosti s poskytováním veřejně dostupných služeb elektronických komunikací nebo veřejných komunikačních sítí a o změně Směrnice 2002/58/ES. Tato směrnice vzešla v platnost 15. března 2006. Předmětem

40 www.eur-lex.europa.eu

32

směrnice je zaměření na provozní a lokalizační údaje o právnických i fyzických osobách a na údaje, které jsou potřebné k identifikaci účastníka nebo registrovaného uživatele. Cílem Směrnice je zajistit dostupnost těchto údajů pro účely vyšetřování, odhalování a stíhání závažných trestných činů. Směrnice stanovuje: 1. Kategorie uchovávaných údajů 2. Povinnost uchovávat údaje 3. Způsob uchovávání údajů 4. 0pravné prostředky, odpovědnost a sankce Směrnice 95/46/ES nadále platí pro neveřejné komunikační služby.41 Národní právní dokumenty V rámci České republiky se stará o ochranu osobních údajů Úřad pro ochranu osobních údajů. Důležitým zákonem, který je stavebním kamenem všech práv o mlčenlivosti apod. je zákon č. 101/2000 Sb., v platném znění o ochraně osobních údajů. Zákon se vztahuje hlavně na zpracovávání osobních údajů, jak automatizovaným způsobem, tedy přes počítač nebo neautomatizovaným způsobem, tedy ručně. K zákonu se rovněž i vztahuje vyhláška o předávání osobních údajů do zahraničí, kde v § 27 zákona o ochraně osobních údajů, jsou stanoveny podmínky, kterými se musí řídit jakékoliv transfery osobních údajů, v rámci Evropské unie, kde musí být volný přístup k transferu osobních údajů. Nicméně pokud hovoříme o právních dokumentech, pak musíme zmínit Občanský zákoník, respektive nás zajímá § 11 v platném znění, jenž uzákoňuje, že každá fyzická osoba má právo na ochranu osobnosti, zdraví, života, občanské cti a lidské důstojnosti. Pomocí internetového pirátství nás hackeři mohou připravit o informace, které nás mohou společensky zdiskreditovat. Dále v obchodním zákoníku je zákon č. 513/1991 Sb. v platném znění Respektive oddíl 5. § 17, kde se hovoří o obchodním tajemství. Jako obchodní tajemství definujeme veškeré postupy návody či informace jak materiální tak i nemateriální, které nejsou běžně dostupné k nahlédnutí. § 20 stejného zákona hovoří o postupu v případném porušení obchodního tajemství. Postupuje se stejně, jako při nekalé soutěži. O nekalé soutěži dále hovoří § 53, kde se uzákoňuje, že osoba, která je postižena porušením obchodního tajemství, má právo domáhat se náhrady škody a rovněž i přiměřeného zadostiučinění. Zákon č. 89/1995 Sb., v platném znění o statistické službě. Při ochraně údajů nás zajímá §16, o povinnost mlčenlivosti a ochrana důvěrných statistických údajů. Tento zákon říká, že zaměstnanci statistického úřadu jsou vázáni mlčenlivostí. Všichni jsou povinni složit slib mlčenlivosti, který zní: "Slibuji na svou čest a svědomí, že nezveřejním, nikomu nesdělím ani neumožním seznámit se s důvěrnými statistickými údaji získanými pro statistické účely, se kterými se seznámím v souladu s

41 www.eur-lex.europa.eu

33

ustanoveními zákona č. 89/1995 Sb., o státní statistické službě, ve znění pozdějších předpisů, a že tyto údaje využiji jen pro účel, pro který byly určeny." 42 Tento zákon se ale nevztahuje na § 17 stejného zákona, o poskytování důvěrných statistických údajů. Zde se hovoří o možnosti poskytování a výměně údajů v rámci statistických orgánů, či soudu nebo za účelem spoluvytváření statistiky Evropského společenství. Zákon č. 154/1994 Sb. hovoří o bezpečnostní informační službě. Ze zákona je BIS povinna chránit údaje a to nejen osobní, ale i utajované informace. Pokud se chceme zaměřit na bezpečnost v rámci počítače a sítí, pak je pro nás důležitý zákon v platném znění č. 227/2000 Sb. O elektronickém podpisu. Smyslem zákona o elektronickém podpisu je umožnit použití digitálního podpisu v rámci elektronické komunikace jako ekvivalent podpisu vlastnoručního při běžné listinné formě komunikace. Zákon byl vytvořen na základě směrnice Evropské unie 1999/93/EC ze dne 13. 12. 1999.43 Dále zákon hovoří o právech a povinnostech podepisovatele a hlavně povinnosti poskytovatele certifikací. Od § 10 až do § 18 se hovoří o povinnostech poskytovatele certifikací a pokutách v případě nedodržení pravidel daných zákonem. Zákon v platném znění č. 499/2004 Sb., o archivnictví a spisové službě. Tento zákon uzákoňuje povinnost uchovávat dokumenty a povinnost výběru archiválií. V zákoně se hovoří o způsobu výběru subjektů, které mají archivovat své dokumenty a také jaké dokumenty se musí archivovat. Pro příklad bych uvedl: justiční složky všech stupňů i druhů, dokumentace významných staveb, dokumenty týkající se právní úpravy mezinárodních vztahů, apod.

Účetnictví se musí řídit zákony. Významný zákon je zákon v platném znění č. 563/1991 Sb., o účetnictví, kde se dozvídáme co je předmětem účetnictví, jaké povinnosti mají účetní jednotky, pro příklad bych uvedl pravidlo, že účetní jednotky jsou povinny zaznamenávat skutečnosti, kterých se týká účetnictví. Dále se zákon zaměřuje na: 1. Rozsah vedení účetnictví, účetní doklady, účetní zápisy a účetní knihy 2. Účetní závěrka 3. Způsoby oceňování 4. Inventarizace majetku a závazků 5. Úschova účetních písemností44

42http://www.czso.cz/csu/redakce.nsf/i/16_povinnost_mlcenlivosti_a_ochrana_individualnich_udaju (18.2.2011, Aktualizováno dne: 10.6. 2009)

43 http://www.mvcr.cz/clanek/zakon-c-227-2000-sb-o-elektronickem-podpisu.aspx (18.2.2011)

44 http://business.center.cz/business/pravo/zakony/ucto/ (18.2.2011)

34

Úschova účetních písemností je důležitá kvůli možnému zpětnému doložení aktivit a transakcí. Účetní jednotky jsou povinny uschovávat veškeré účetní záznamy, což nám přikazuje § 31 zákonu v platném znění č. 563/1991 Sb., o účetnictví. § 31 rozlišuje 3 typy záznamů a určuje, jakou požadovanou dobu se musí daný záznam uchovávat. a) účetní závěrka a výroční zpráva po dobu 10 let počínajících koncem účetního období, kterého se týkají, b) účetní doklady, účetní knihy, odpisové plány, inventurní soupisy, účtový rozvrh, přehledy po dobu 5 let počínajících koncem účetního období, kterého se týkají, c) účetní záznamy, kterými účetní jednotky dokládají vedení účetnictví po dobu 5 let počínajících koncem účetního období, kterého se týkají.45 Dle § 33 platného zákona o účetnictví se určují podmínky účetních záznamů. Záznam využívaný v účetnictví může mít listinou, smíšenou, elektronickou, optickou, apod. Pokud ovšem vytváříme a archivujeme dokumenty, které jsou důvěrné, pak je musíme jednou zničit. Pravidla pro skartaci řeší vyhláška 117/1974 Sb., která stanovuje kritéria pro posuzování písemností jako archiválií a podrobnosti skartačního řízení. Do skartačního řízení se dostávají písemnosti, které jsou bezpředmětné pro státní orgány a společnosti. Skartace má na starost odpovědná osoba, a pokud se skartují dokumenty, již neexistující firmy, pak má vše na starost právní nástupce nebo organizace, která byla pověřena likvidací organizace. Skartační lhůty jsou různé v závislosti na důležitosti dokumentu. Podle zákona č. 582/1991 Sb., v platném znění o organizaci a provádění sociálního zabezpečení, respektive podle § 35a, se uzákoňuje uchovávání: 1. Stejnopisy evidenčních listů – 3 kalendářní roky po roce, ve kterém byly vyhotoveny 2. Záznamy o skutečnostech vedených v evidenci - 6 kalendářních roků 3. Mzdové listy nebo účetní záznamy potřebných pro důchodové pojištění – 30 kalendářních let Skartační lhůta podle zákona v platném znění číslo 235/2004 Sb., o dani z přidané hodnoty, respektive § 27 o uchovávání daňových dokladů říká, že plátce daní musí uchovávat veškeré daňové doklady po dobu 10 let.

45 http://business.center.cz/business/pravo/zakony/ucto/cast6.aspx (18.2.2011)

35

11.

OCHRANA DAT V ÚČETNICTVÍ

1 Způsoby vedení účetnictví Samotný vývoj účetních technik a postupů je dán neustálými požadavky na kvalitu, tedy na co nejmenší chybovosti celého účetního procesu, na času potřebným ke zpracování a na nákladech spojených s vedením účetnictví.46 Historie účetních a zaznamenávacích procesů sáhá téměř do roku 1500.

Obrázek č. 3: Vývoj účetnictví v historii

47

Obrázek popisuje vývoj účetnictví v čase a to od roku 1500 do roku 2000. Účetnictví rozdělujeme do 3 základních fází: 1. Ruční účetnictví – patří sem přepisovací a propisovací formy. 2. Mechanizace účetnictví – zde jsou stroje na děrné štítky.

46 (L. Mejzlík, 2006 str.16)

47 (L. Mejzlík, 2006 str.16)

36

3. Automatizace účetnictví – poslední období, které je charakterizováno účetnictvím vedeným na počítači a elektronickým účetním dokladem.

Přepisovací – zde se jen ručně přepisovaly operace z účetního deníku do hlavní účetní knihy. Propisovací – knihopisy do účetního deníku a hlavní knihy se prováděly současně. Mechanizace – používaly se děrné stroje. Na příklad bych uvedl stroj ASCOTA. Automatizace – využívá se počítačový program, ve kterém je již přesně nadefinován sled účetních operací.

Průkaznost účetních vnitřních procesů byla vždy dána existencí účetního dokladu s jeho povinnými náležitostmi. Dnes se příliš nekontroluje faktická chybovost účetních transakcí, ale díky automatizaci se kontrola zaměřuje na bezpečnost, spolehlivost a důvěryhodnost algoritmů, které jsou požity v účetním systému. Díky automatizaci není mnohdy potřeba ani zásah člověka. Automatizovaný proces může být do takové míry, že od samotného vydání el. dokladu se automaticky přesune k dodavateli a tam se následně znovu automaticky zaúčtuje. Celá operace nepotřebuje lidský zásah a účetní pak jen zkontroluje výsledek. Veškerá správnost účtovacích procesů je pak dána správností algoritmů, které jsou k tomu využívány. Na příklad pokud účetní software získá informace o produktu či transakci pomocí jistého technického zařízení jako jsou čtečky čárových kódů, fotobuňky či automatické váhy. Elektronický účetní doklad je ve své podstatě obyčejný účetní doklad, který není ve psané podobě. Tento účetní doklad má veškeré detaily i náležitosti jako klasický psaný účetní doklad. Zákon č. 227/2000 Sb. o elektronickém podpisu říká, že elektronický účetní doklad je z právního hlediska roven s psaným účetním dokladem. Nicméně je důležité opatřit elektronický účetní doklad elektronickým podpisem, o kterém jsem hovořil na straně 24, kapitola o Elektronickém podpisu. Elektronický účetní doklad má mnoho kladů jako je rychlost doručení nebo rychlost zaúčtování. Dále jsou vynaložené mnohem menší náklady, než na psané účetní doklady a v neposlední řadě je to ekologičtější řešení. Problémem je, že většina firem dnes používá oba typy, což by v budoucnosti mělo být značně omezené. Díky používání obou typů dokladů dochází k povinnosti vedení duálního systému archivace. Tento způsob vede k většímu nákladovému zatížení společnosti a zvýšení složitosti operací. Z důvodu, že zaměstnanci předem neví, v jaké formě je účetní doklad vystaven. Případné hledání účetního dokladu by bylo časově náročné. Výhodou je také převoditelnost z psaného účetního dokladu na elektronický účetní doklad. Naopak to nelze, protože by se znehodnotil elektronický podpis. Společnosti tedy mohou veškeré věci skenovat a ukládat do systému.

2 Audit Audit se díky zautomatizovaným procesům v účetnictví změnil. Dnes se již nezaměřuje na věcnou správnost účetních operací. Auditoři se spíše zaměřují na zjištění hodnot, které se vyskytují ve všech úrovních účetních operací a jejich následném zhodnocení. Celý nápad je založen na faktu, že pokud je vše zautomatizované a veškeré použité algoritmy mají správnou funkci a jsou bezchybné, pak

37

výsledek operací musí být korektní. Vedle statutárního auditu účetní závěrky se mnohé auditorské společnosti zaměřují i na tzv. ICT audit. Jedná-li se o ICT audit prováděný auditorskou společností, resp. auditory uvedenými na Seznamu auditorů vedeném Komorou auditorů České republiky, musí při ICT auditu být dodrženy obecné požadavky na provádění auditu a profesní předpisy. Neauditorské společnosti, které nezískaly potřebnou akreditaci, poskytující služby se stejným označením (tj. ve smyslu ICT auditu) tyto předpisy dodržovat nemusí. Proto by klienti měli vždycky věnovat náležitou pozornost výběru společnosti, která jim provádí ICT audit. V případě statutárního auditu může auditor postupovat buď klasickou metodou, anebo může využít právě znalosti algoritmizace účetní práce. Klasická metoda auditu se též označuje jako metoda „okolo počítače“. Kontrola touto metodou spočívá v tom, že auditor nebere ohled na zautomatizované procesy a zajímají ho vstupy, jako jsou účetní doklady a samozřejmě výstupy, kam patří účetní závěrka. Nevýhoda metody „okolo počítače“ je fakt, že se dá realizovat jen v malých společnostech, kde vstupů není mnoho. Pokud je auditor ve větší společnosti nezbývá mu nic jiného než kontrolovat správnost algoritmů.48

3 Výběr účetního software Softwarové požadavky firem se neustále mění a každá firma má jiné potřeby. Pokud firma nedokáže své potřeby správně identifikovat a díky tomu vybere špatný software, pak následky mohou být nedozírné a to hlavně z ekonomického pohledu. Odstranění takových to následků může být mnohdy dražší než samotné pořízení programu. Problémy ovšem nemusí vzniknout jen kvůli neznalosti zaměstnanců ve firmě, ale také díky špatné implementaci systému. Dopad může být stejný. Jeden z požadavků systému je udržení tzv. vnitřních vazeb. Ty jsou vytvořeny mezi jednotlivými účty nebo mezi účetními doklady a hlavní knihou a podobně. Při bezproblémovém fungování systému se vnitřní vazby snadno udržují, ale při případné havárii systému je potřeba, aby se vazby zachovaly. Pokud by se tomu tak nestalo, firma by musela vazby znovu nastavovat, či kompletně opakovat operace, které nebyly dostatečně zálohovány. Pokud systém udrží vnitřní vazby, pak se tento vztah nazývá transakční zpracování. Dalším požadavkem je ochrana proti neautorizovanému přístupu. Dnes je každý účetní software opatřen přihlašovacím jménem a heslem, chipovou kartou. Počet požadovaných znaků a čísel v obou údajích se různí program od programu. Dříve byla i statická hesla, ale dnes je povinnost měnit hesla pravidelně. Většinou se udává jednou za 30 dní. Díky dokonalejšímu účetnímu softwaru se útočník nemůže bez hesla dostat k datům. Dříve tomu tak nebylo. Možná se tento problém vyskytuje u méně sofistikovaných programů. Problémem je fakt, že útočník nemusel vniknout do softwaru samotného. Pokud se dostane k počítači uživatele, pak nalezne veškerá data uložená na pevných discích. Tato účetní data se ukládala ve formátu DBF s koncovkou .ap a dala se bez větších problémů přečíst v dostupných programech jako je MS Excel.

48 (L. Mejzlík, Oeconomica 2006)

38

Softwarové společnosti, které vyvíjejí účetní systémy, stvrzují jeho funkčnost přizvaným auditorem. Ten zkontroluje funkčnost algoritmů a tím společnost získá jistotu, že program je bezchybný. Nelze předejít výpadkům systémů, proto bychom měli zabezpečit data tak, aby při výpadku nevznikly velké prodlevy v práci. Velké prodlevy znamenají pro firmu ekonomickou ztrátu. Proto by společnost měla vést paralelně na sobě 2 informační systémy nebo vlastnit 2. systém, na kterém by se rozbalila záloha v případě havárie prvního. Pokud tedy jeden systém vypadne, mohou zaměstnanci plynule přejít na druhý a tím nevzniknou žádné prodlevy. Na příklad lze vytvořit tzv. zrcadlení pevných disků, což má za následek efektivnější zálohování dat.49

Jak již bylo řečeno, při výběru účetního softwaru musí společnost brát ohled na mnoho kritérií. Tomuto rozhodnutí se pak říká multikriteriální. Společnosti se rozhodují na základě: 1. Obsahového kritéria – jestli daný program je schopen efektivně fungovat ve společnosti. 2. Systémového/technického kritéria – je zde definováno zabezpečení dat a případný servis systému. 3. Obchodního kritéria – rozhodují se na základě efektivnosti, ceny a záruk funkčnosti účetního systému.50

Obecně pokud společnost chce využívat účetní software, pak si musí předem stanovit: Rozdělení jednotlivých přístupů, případně kam tyto přístupy povolí vstup. O tuto část se stará hlavně administrátor, neboli technici, kteří mají za úkol rozdělovat přístupy, kontrolovat správnost přístupů a ochraňovat data. Pokud firma zadala přístupy, pak si musí rozhodnout, kam bude pouze možnost náhledu nebo i přímé zadávání. Jestliže firma bude vyžadovat přímé zadávání, pak musí vytvořit v programu: 1. Modul, oblast – neboli kam se bude zadávat 2. Typy transakcí – vyjadřují, co se bude zadávat, případně jaké údaje se budou modifikovat Společnost má 3 základní náhledy pro software: 1. Obchodní náhled – obsahuje obchodní databázi, informace o zákaznících, nabídky, informace o uzavřených obchodech, apod. 2. Admin. Procesní náhled – náhledy – logistika, účtárna, objednávky - zadávání – ceníky, zboží 3. Technický náhled – zřizování a rušení přístupů, kontrola dodržování principů, ochrana dat

49 (L. Mejzlík, Oeconomica 2006)

50 (L. Mejzlík, Oeconomica 2006)

39

40

12.

PRAKTICKÁ ČÁST

Bezpečnost a ochrana dat je prioritou každé firmy, pokud chce být důvěryhodná a nechce být snadným terčem pro konkurenci, případně pro vlastní zaměstnance. Vybral jsem dvě odlišné firmy, které mají světový věhlas a mají své zástupce i v České republice. První firmou je Alcatel – Lucent Czech, s.r.o., která se zabývá hlavně telekomunikačními technologiemi a druhou firmou je ČSOB Leasing s.r.o., což je bankovní institut, který spravuje hlavně leasingové operace. Již kvůli zaměření se předpokládá, že oba subjekty mají vysokou míru bezpečnosti svých dat a to kvůli sobě, zákazníkům, tak i konkurenci. Obě firmy mají svou mateřskou firmu v zahraničí, proto bylo zajímavé, jak moc spadají pod mateřskou firmu vedením i ochranou dat a jestli si mohou bezpečnostní oblast zajišťovat sami.

1 ČSOB Leasing a.s. Jako první firmu bych popsal bankovní instituci ČSOB Leasing a.s. Finanční skupina ČSOB byla založena v roce 1994. Původně se jmenovala Chmelařská vzájemná pojišťovna. Vstup na trh pojišťovnictví se datuje rokem 1996. Hlavním zaměřením pojišťovny byl zemědělský sektor. V roce 2000 pojišťovna získala další možnosti v pojišťování a začala se zaměřovat i na oblast povinného ručení. Obrat ve firmě byl zaznamenán vstupem silného partnera KBC Insurance N. V., která se stala částečným majitelem v roce 1998 a absolutním vlastníkem se stala o 3 roky později, tedy v roce 2001. Dnes je ČSOB začleněna do velké pojišťovací skupiny a dostala tak důvěryhodnost v celé Evropské unii. ČSOB holding obsahuje 11 firem: ČSOB Factoring a.s., ČSOB Penzijní fond Stabilita, a. s., ČSOB Leasing, a.s., ČSOB Pojišťovna, a. s., ČSOB Penzijní fond Progres a. s., ČSOB Asset Management, a.s., ČSOB Investiční společnost, a.s., ČSOB Investment Banking Services, a.s., ČSOB Property fund, uzavřený investiční fond, a.s., ČSOB Pojišťovací servis, s.r.o., ČSOB Leasing pojišťovací makléř, s.r.o.51

ČSOB Leasing a.s. sídlí v Praze v ulici Na Pankráci 310/60 140 00 Praha 4. Pojišťovna je zastoupena i v dalších městech v celé České republice, konkrétně v Brně, Jihlavě, Hradci Králové, Olomouci, Karlových Varech, Ostravě, Pardubicích, České Třebové, Plzni a také v Teplicích. Vidím, že budu popisovat velký pojišťovací subjekt na českém trhu.52

51 http://www.csobpoj.cz/spolecnost/

52 http://www.csobleasing.cz/cz/kontakty/pobockova-sit

41

Softwarový systém firmy ČSOB Leasing a.s. je, ostatně jako u většiny bankovních a pojišťovacích firem, vytvářen na míru firmy tak, aby nejlépe vyhovoval jejím potřebám a požadavkům. Firma se snaží o centralizaci dat, tedy umístění všech dat na jedno místo. Celá IT bezpečnost začala směřovat k tomuto kroku, protože je mnohem jednodušší zaměřit se na jedno místo, kde můžeme umístit nejsilnější ochranu, než složitě zabezpečovat desítky umístění dat a vyhodnocovat případná nebezpečí. Nevýhodou této strategie umístění je fakt, že pokud se bezpečnost prolomí, pak jsou v ohrožení všechna data. Servery jsou dnes umístěny v centrále v Praze v České republice, ale v budoucnu se uvažuje o jejím přestěhování do jiné země Evropské unie, do Maďarska. Dříve měla ČSOB Leasing a.s. vlastní IT team, který jí zabezpečoval celý systém a vyvíjel různé další komponenty. Dnes se firma rozhodla outsourcovat veškeré IT. Nicméně celý dřívější IT team přešel do dceřiné společnosti v rámci KBC. Outsourcing IT ČSOB umožnil více se orientovat na vlastní obchodní činnosti, díky zajištění IT provozu a vývoje stejnou nebo vyšší kvalitou dodávaného specializovanou firmou (dcerou skupiny), která je orientovaná na IT služby v rámci skupiny. Veškerá spolupráce je posvěcena servisní smlouvou. Smlouva zabezpečuje mlčenlivost a dodávku služeb v požadované kvalitě všech zúčastněných entit. IT systém firmy obsahuje 7 subsystémů, které se rovněž vyvíjejí na míru a patří mezi ně např. likvidace pojistných událostí. Firma používá i programy, které jsou mezinárodně využívané jako je SAP. Ten používají hlavně k workflow, objednávkám a ne jako účetní systém. Kvůli bezpečnosti a programovým spojením není možné, aby SAP s účetním systémem jakkoliv spolupracoval. Celkové schéma bezpečnostního systému je vytvořeno tak, aby nejpotřebnější systémy a data byly odpojeny od internetu a díky tomu se naprosto minimalizovala možná bezpečnostní interakce z vnějšího prostředí. Obrázek č. 4: Oddělení interních aplikací od vnějška

42

Obrázek nám znázorňuje, jakým způsobem oddělila firma ČSOB leasing a.s. internetové rozhraní od ostatních systému v rámci společnosti.

INIS a AOLS jsou systémy kompletně oddělené on internetu. INIS je účetní systém a AOLS se používá k obchodování. HELIOS GREEN je systém, který firmě zajišťuje přehled o majetku. Přístup z vnějšího prostředí je zabezpečen množstvím firewallů, které ochraňují software a aplikace provozované na centrále ČSOB Leasing a.s.. Zaměstnanci se samozřejmě mohou dostat ke svým datům přes Internet zabezpečená pomocí Tokenu. Proto musela ČSOB Leasing a.s. zajistit větší bezpečnost a to pomocí ochrany vzdáleného přístupu programem CITRIX. Program funguje jako bariéra mezi internetovým vnějškem a daty umístěnými na serveru. Jeden server funguje zhruba pro 20-30 počítačů. Systém využívá cca 150 uživatelů.

Obrázek č. 5: Oddělení interních databází od vnějšího prostředí

43

Obrázek nám znázorňuje, jak jsou jednotlivé aplikace chráněny při vstupu z vnějšího prostředí. Díky programu CITRIX jsou aplikace uvnitř chráněny před nepovoleným přístupem.

Dalším velmi účinným zabezpečením je zašifrovanost samotné aplikace. Princip zašifrování spočívá v nemožnosti jakéhokoliv stahování dat. Jediná možná činnost je změna dat v systému nebo pouze nahlédnutí. Vzdálený přístup je ovšem velmi zabezpečený. Aby se zaměstnanec mohl připojit na svůj účet, tak musí mít zapojený Token ve svém PC. Token obsahuje časový kód, který je generován po přesně daných minutách. Vnější zabezpečení jsou dvouúrovňová: 1. úroveň je časový kód a 2. úroveň se skládá z ID a Password.

ID má každý zaměstnanec své a zná ho jen on. Hesla musí být silná. Minimálně obsahují 8 znaků, které jsou tvořeny velkými a malými písmeny, čísly a znaky. Hesla se nesmí opakovat a musí se měnit vždy jednou za 35 dní. Hesla se rovněž nesmí sdělovat dalším osobám a musí se udržovat v tajnosti, tedy nesmí být nikde napsána. Některé systémy jsou unifikovány do té míry, že si stačí pamatovat hlavní heslo a díky němu se zaměstnanec automaticky připojí i na další systémy.

Zaměstnanci firmy musí dodržovat interní firemní směrnice, které zakazují veškeré operace, jež mohou ohrozit data umístěná v systému. Směrnice jsou určené pouze pro zaměstnance a bohužel se mi nepodařil k nim získat přístup. Základním fyzickým zabezpečovacím prvkem je, že každý zaměstnanec vlastní svou osobní čipovou kartu, díky které se může pohybovat po budově. Jednotlivé sekce jsou odděleny dveřmi, které jsou právě na tento čip, tak jako výtah. Firemní sekce jsou uspořádány v openspace. Zde vyvstává nové nebezpečí, o které se rovněž postarala čipová karta. Veřejné tiskárny jsou po celé firmě a kvůli bezpečnostnímu riziku není přijatelné, aby někdo jiný ze zaměstnanců viděl případně tajné dokumenty nebo strategické záměry firmy. Každá tiskárna je na čip. Celý tento systém funguje tak, že zaměstnanec si vybere, co chce tisknout a na jaké tiskárně má tisk proběhnout. Tiskárna nezačne pracovat do té doby, až přijde onen zaměstnanec a přiloží čipovou kartu k tiskárně. Zadaný tisk může být v databázi tiskárny až několik dnů. Další bezpečnostní opatření zavedla firma v možnostech připojení vlastních notebooků nebo flash disků. Není dovoleno, aby kdokoliv připojil vlastní notebook do sítě. Celé nařízení je chráněno hesly k síti a bez souhlasu administrátorů se nelze připojit. Používání flash disků je rovněž zakázáno. Jediným způsobem, jak získat informace na flash disk je přes své nadřízené. Nicméně, i když zaměstnanec dostane povolení k připojení flash disku, pak i tak musí být tento flash disk firemní a velmi přísně se eviduje kolik, jaké informace a kdy byly přesunuty.

44

Tímto se dostáváme k PC a interní ochraně dat. Firma účinně blokuje stránky na internetu, které nesouvisí s pracovním zaměřením jako na příklad vtipy apod., ve snaze, aby pracovníci nebyli rozptylováni, a rovněž je zakázáno, až na výjimky, veškeré stahování z internetu. Součástí výhod spojených se zaměstnáním v ČSOB leasing a.s., nabízí společnost, možnost „surfování“ na internetu. Omezení se odblokují od 17:00 každý den a o víkendech je internet kompletně volný, ale stále monitorovaný. Žádný zaměstnanec nemůže instalovat jakékoliv programy na svůj profil, bez souhlasu odpovědné osoby. Stejně tak je každý počítač sledován a veškeré informace se ukládají a archivují tak, aby kdykoliv bylo možno dohledat, jestli zaměstnanec nedělal na PC něco, co není dovolené. Každý zaměstnanec má přesně určená práva a přístupy v rámci systému. Manažeři využívají šablony, které jsou předem navrženy tak, aby zaměstnanec na dané pozici měl rovnou všechna práva nadefinována, a tím se velmi zkrátí organizační čas při nástupu nového pracovníka do firmy a tak může hned, prakticky následující den, začít naplno pracovat. Díky šablonám se také sníží náklady a ušetří se čas IT pracovníkům. V rámci organizační struktury firmy se vyčleňují tzv. guestoři. Tito lidé zodpovídají za přístupová práva a mohou případně povolovat, či odebírat práva. Zaměstnanec si může přes intranet požádat o jakoukoliv pravomoc, kterou později zváží guestor. Pokud se jedná o závažné změny, které by mohly ohrozit zabezpečení firmy, pak musí obdržet guestor vyjádření od generálního ředitele. Tímto vyjádřením může buď schválit, nebo neschválit přístup do aplikace. Guestorem je rovněž i jeden ze členů představenstva, který jediný může odsouhlasit přístupy na nejcitlivější informace, které se týkají plateb, či detailních informací o zákaznících. Kontroly se neskládají jen z pozorování záznamů o činnosti zaměstnanců, ale také se kontrolují samotná přístupová práva. V rámci přístupových pravidel se nesmí dělat chyby, protože by to mohlo závažně poškodit firmu. Kontrola je vícestupňová. 1. Náhodná kontrola – kterou dělají firemní IT odborníci a také guestor sám. 2. 2x ročně audit – kontrola veškerých postupů v systému 3. 1x ročně audit od externí IT společnosti V rámci účetnictví je bezpečnost díky programům a opatřením na vysoké úrovni. Kontrolním orgánem účetních operací je team controllingu. Systém samotný nedává příliš prostor k možné chybě, pokud ji člověk neudělá záměrně. Předpokládá se, že zhruba 91% operací, se kterými se účetní setká, nelze obejít, protože systém samotný přesně nadefinuje, kam má účetní zapsat jakou položku. Díky podvojnému účetnictví je kontrola automatická. Pokud se účetní „upíše“ a dá na jeden účet jinou částku než na druhý, pak ji automatická kontrola v systému včas upozorní. Účetní zde provádí tzv. globální kontrolu, tedy kontroluje objem peněz, které přijdou do firmy a jestli odpovídají množství peněz v účetním systému INIS. Systém sám včas upozorní na případné nesrovnalosti a kompletně zablokuje účtování. Dalším krokem eliminujícím riziko, který zabezpečuje tyto transakce je, že účetní nesmí, resp. nemůže zadat příkaz k úhradě. Veškeré operace jsou kontrolovány finančním ředitelem pomocí různých sumarizačních dat. Mzdy jsou tajné a jediní, kdo s nimi přijdou do styku, jsou mzdová účetní a generální ředitel a člen představenstva firmy. On nebo generální ředitel, toto vydání musí podepsat. Veškeré transakce ve firmě ČSOB Leasing a.s. jsou přísně kontrolované. Proto každá transakce musí projít přes kontrolu minimálně tzv. čtyř očí. V praxi to vypadá následovně:

45

Pro transakce 4 očí – 1. Návrh

2. Kontrola

3. Podpis

Princip spočívá v tom, že nejdříve je podán návrh panem X. Tento návrh je zkontrolován paní Y a podepsán jedním z nich. To záleží na situaci a druhu dokumentu. Pro transakce 6 očí – 1. Návrh

2. Kontrola

3. Představenstvo

4. Podpis

Stejný princip jako výše. Pan X podá návrh, pak paní Y zkontroluje návrh a dokument putuje k členům představenstva, kde je dokument rovněž zkontrolován. Podepsán je poté navrhovatelem nebo jiným zaměstnancem viz. podpisový řád. Kontrola transakcí pomocí metody 6 očí se používá jen při důležitých dokumentech, jako jsou půjčky apod. Tyto kontroly se nakonec završují podpisem. Celá struktura je rozdělena podle písmen, kdy: A = Členové dozorčí rady B = Představenstvo – které pro příklad schvaluje nájemní smlouvy apod. C = Výkonný ředitel a generální ředitel D = Výkonný ředitel E, F, G, H, PPR = to jsou individuální kompetence zaměstnanců ČSOB Leasing a.s… Celá tato struktura je znázorněna sestupně, tedy nejvyšší kompetence pro podpis má skupina A, tedy dozorčí rada. Podpisový řád nekončí jen u prostého rozlišení kompetencí, ale rovnou rozlišuje i kdo bude moci př. parafovat. Znovu vzory rozdělují na: 1 = zaměstnancům, kteří mají tuto úroveň, mohou rozhodovat 2 = tito zaměstnanci mohou podepisovat 3 = zaměstnanci, kteří mohou parafovat

Tabulka č. 5: Příklad podpisového vzoru

Posílání daní Osoby Osoba Pan X Paní Y Pan P Paní Z Pan W Paní T

A

B

C

D

E

F

G

H

1,3

V tomto příkladů má Paní Z jak navrhující pravomoc, tak podpisovou. Nicméně je zde stále pravidlo minima 4 očí, tudíž musí být dokument další osobou zkontrolován, jinak by nebyl platný. V podpisovém řádu jsou zaznamenány i kompetence Risk managementu, který se zabývá mimo jiné i schvalováním bonity zákazníka. Risk management je rozdělen do 3 úrovní. RM1, RM2, RM3.

46

PPR

Rozdělení je podle důležitosti zakázky. Přičemž schvalování samotné je nejpřísnější v RM1, kde neexistuje právo veta a tedy aby byl uznán zákazník, jako dostatečně solventní, pak musí souhlasit všichni. Pokud alespoň jeden nesouhlasí, pak se celý návrh zamítá. Při čerpání provozních úvěrů do 50 miliónů pak stačí souhlas generálního ředitele, ale tehdy pokud provozní úvěr přesáhne 50 miliónů, vkládá se do rozhodování představenstvo a právě ono se musí rozhodnout. Pak se dostane požadavek na nižší stupně organizace. Takto důležité a rizikové operace jsou kontrolovány tzv. šesti očima. To znamená, že minimálně další 2 odpovědní zaměstnanci musí celý návrh zkontrolovat (počítá se sem jednak částka samotná, ale i účty na které částka přijde) a až po té je návrh realizován. Veškerá pravidla a vnitřní směrnice firmy, jež jsem zde zmínil, se musí bez výjimky dodržovat. Pokud se tak nestane, pak je zaměstnanec za tento skutek, který způsobil, předvolán před disciplinární komisi, kde se rozhoduje o závažnosti přestupku a případném ohrožení firmy. Pokud se rozhodne firma zaměstnance trestat, pak se postupuje podle platného zákoníku práce. Nyní bych chtěl zmínit fyzickou ochranu dat ve firmě ČSOB Leasing a.s. Firma rozděluje archivnictví na 2 úrovně. 1. Vnější – outsourcing 2. Vnitřní Vnitřní archivace je nutná kvůli zachování důležitých dokumentů ve firmě pro případ kontroly finančního úřadu. Vnitřní archivaci provádí pověřený pracovník. Uchovávají zde například: Faktury, mzdové listy, zákaznické smlouvy, apod. Takto interně uchovávají listy 3 roky. Firma vyprodukuje ročně cca 200 – 250 tisíc dokladů, proto si také nemůže dovolit uchovávat u sebe doklady déle než 3 roky. Po třech letech se dokumenty převáží do externí firmy, která se rovněž stará o případné skartace. Lhůty na skartace se různí podle dat na zákaznických smlouvách a podle zákona v platném znění 499/2004 sb. o archivnictví a spisové službě, ale průměrná lhůta je 10 let. Externí firma nemůže nic skartovat bez výslovného souhlasu odpovědného zaměstnance z firmy ČSOB Leasing a.s. Existuje zde i elektronická archivace, kam se skenují veškeré dokumenty, které jsou později převáženy. Díky tomu je možnost kdykoliv se podívat do zákaznických smluv, či faktur. Elektronická archivace je zřízena také speciálně pro účetní transakce. V budoucnu firma uvažuje o zřízení dvouúrovňové elektronické dokumentace. 1. Živá – průměrná délka stáří dokumentů do 10 let 2. Mrtvá - průměrná délka stáří dokumentů od 10 let

2 Alcatel-Lucent Czech, s.r.o. Druhá společnost, jejíž jsem se rozhodl popisovat její bezpečnostní politiku a vnitřní procesy je společnost Alcatel-Lucent, Czech s.r.o. Nejdříve bych chtěl představit vznik této mezinárodní firmy. Společnost Alcatel-Lucent a.s. pochází ze 2 kontinentů. Jednak z francouzské firmy La Compagnie Générale d'Electricité (CGE) a z americké společnosti Western Electric Manufacturing Company.

47

Založení jednotlivých společností se datuje již od 19. století. Western Electric Manufacturing Company byla založena roku 1869 v Clevelandu. Později bylo firemní výrobní zařízení přestěhováno do Chicaga a v roce 1880 se stává největším výrobcem elektrických zařízení v USA. V roce 1881 odkoupila Western Electric Manufacturing Company společnost založená Alexandrem Grahamem Bellem, která se jmenovala American Bell Telephone Company. Francouzská společnost La Compagnie Générale d'Electricité (CGE) byla založena roku 1898. Brzy po svém vzniku se stala konkurencí pro velké firmy, jako jsou: AEG, Siemens a General Electric, apod. CGE, jako francouzská firma, se angažovala hlavně ve výrobě dopravních prostředků, elektřiny, elektroniky a komunikačních technologií. Společnost CGE vyráběla do dnes používané francouzské vlaky TGV (Train a grande vittesse). V roce 1925 se firma Western Electric Manufacturing Company spojila s AT&T a vzniklo tímto spojením výzkumné a vývojové centrum Bell Labs. Z laboratorií centra Bell Labs vzešly mnohé vynálezy jako je tranzitor, laser, solární baterie, buňkové sítě pro telekomunikační technologii, apod. Rovněž je držitelem 11 Nobelových cen. CGE se stává firmou Alcatel Alsthom v polovině 80. let 20. století díky nákupu telekomunikační divize ITT. Od roku 1998 se Alcatel Alsthom soustředí výhradně na telekomunikační průmysl a součastně si změnil i jméno na Alcatel a.s. Společnost se začala zaměřovat na trh v USA, kde odkoupila na přelomu 20. a 21. století několik firem: DSC (1998), Newbridge a Genesys (2000), Astral Point Communications (2002) a Spatial Communications (2005). Alcatelu se povedl i průlom na čínský trh, kde v roce 2002 založil svou pobočku Alcatel Shanghai Bell (ASB) a získala tím velmi dobré postavení na čínském, potažmo asijském trhu. Pro získání silnějšího postavení i v rámci Evropy a zbytku světa ohlásila v roce 2006 firma Alcatel a Lucent plán spojení. 30. listopadu roku 2006 vznikl celosvětový poskytovatel telekomunikačních služeb s názvem Alcatel-Lucent a.s. Dnes se firma Acatel-Lucent zabývá přenosovými sítěmi Ethernet, IP/MPLS, ATM, dále optickými připojeními, podmořskými systémy, telekomunikačními technologiemi a rovněž i spolupracují na projektu Galileo.53

Dobrá software podpora je jedním z faktorů úspěšné firmy. Proto i společnost Alcatel-Lucent Czech, s.r.o. využívá mnoho typů softwarů a to jak komerční, tak i zakázkové software. První software, který bych chtěl zmínit je velmi rozšířený a celosvětově známý SAP. Základním softwarem v informačním systému společnosti je SAP, který je přizpůsobený potřebám firmy. V rámci korporace se nazývá Blue Planet. Používá se na veškeré účetní, logistické a projektové operace. S Blue planet spolupracuje aplikace MARS, která se používá pro tvorbu interních nákupních požadavků.

53http://www.alcatel-lucent.com/wps/portal/! ut/p/kcxml/04_Sj9SPykssy0xPLMnMz0vM0Y_QjzKLd4w3sfQGSYGYRq6m-pEoYgbxjgiRIH1vfVP_NxU_QD9gtzQiHJHR0UAIZNI3w!!/delta/base64xml/L3dJdyEvd0ZNQUFzQUMvNElVRS82X0FfNU xJ (21.2.2011)

48

Dále Alcatel-Lucent Czech, s.r.o. využívá software Scala. V tomto softwaru jsou aktivní 3 základní moduly. 1. Modul Skladového hospodářství – stará se o evidenci dílů na servisních a pohotovostních skladech. 2. Servisní modul – zabývá se evidencí fyzického pohybu dílů určených k opravě, jak vlastních dílů, tak i zákaznických dílů. Veškeré servisní operace jsou pouze v rámci záručních dob nebo servisních smluv. 3. Modul majetku – používá se ve spojení se softwarem pro evidenci čárových kódů pro fyzickou a účetní inventuru majetku. Program Alcamis je vytvořen speciálně pro potřeby společnosti a pracuje na platformě SQL MSIS. Alcamis je program, který využívá projektový controlling, kde se evidují veškeré detailní informace o zákaznických projektech a jejich zdrojových aspektech. Společnost také využívá software Orion, jenž je využíván obchodníky i controllery. Je to databáze, kde se evidují veškeré informace o probíhajících soutěžích, zákaznících, realizovaných projektech a uzavřených objednávkách. Navazující aplikací je intranetová databáze zaměstnanců, která se nazývá X500.

Software My HR využívá personální oddělení a je to unifikovaný software pro celou korporaci AlcatelLucent a.s. My HR uchovává veškeré informace o zaměstnancích a udržuje spolupráci s databází zaměstnanců X500. V rámci transformace společnosti do velké korporace se veškerá data centralizují. Ruší se veškeré File servery a data se přenášejí na servery, které jsou umístěny ve městě Sundance ve Francii. Lokální jednotky korporace si mohou a také ponechávají 2 druhy serverů. 1. The second dominn controller – využívá se pro funkci uživatelů v doméně. Uživatel se tedy přihlašuje a je mu přiřazen security profil, dle kterého se řídí veškeré přístupy a práva jednotlivých uživatelů. 2. Repository SCCM úložiště instalací – společnost server používá pro automatickou distribuci softwaru. Pro uživatele to má jednu velkou výhodu, a to značné zvýšení přenosové rychlosti a zrychlení instalace. Primární server je sice umístěn, stejně jako file servery, v Sundance ve Francii, ale pokud společnost vlastní sekundární server na své pobočce, pak se veškeré transfery probíhají mnohem rychleji.

Pokud hovoříme o IT zázemí společnosti Alcatel-Lucent Czech, s.r.o., pak musím zmínit, že celá společnost má smluvní partnery v rámci korporace. Dříve se staral o IT support dceřiná společnost Alcanet, dnes veškeré IT operace a služby zajišťuje společnost Hewlett-Packard (HP). Způsob poskytování služeb je následující: uživatel má problém s aplikací. Problém může vyřešit 2 způsoby: 1. Zatelefonuje pomocí čísla 2222 na centrální IT helpdesk v Paříži. 2. Uživatel se připojí na intranet, kde se naloguje do speciálního oddělení aplikace IT-shopu. Vyplní požadavek a odešle. Požadavek obdrží specializovaný IT helpdesku, problém vyřeší, případně kontaktuje uživatele o doplňující informace. Vyřešení ohlášeného problému – incidentu si obě strany It

49

reguestem potvrdí. Součástí requestu je i hodnocení uživatele, jak byl spokojen s odstranění problému, s délkou trvání, s úrovní komunikace apod. Centrální zabezpečení všech systémů proti vpádu z vnějšku je velmi efektivní. Koncový uživatel může do systému jen nahlížet a nemá právo data měnit. Veškerá komunikace se odehrává přes http proxy, takže pokud uživatel není v systému registrován, nemůže se přihlásit do systému. Firma nepodcenila ani firewall ochranu a vytvořila na své síti i demilitarizovanou zónu. Je vytvořena tak, že chrání síť jako celek firewally, ale i jednotlivé počítače připojené k síti. Touto metodou se „dvojmo“ chrání před případným útokem. Přístup přes internet nebo z nezabezpečených míst je také ochráněn, jelikož z internetu je největší pravděpodobnost útoku. Společnost rozděluje jednotlivé uživatele do 2 skupin: 1. Zákazník a nezaměstnanec – mají velmi omezené pravomoci a přístupy. Mohou se pohybovat pouze v rámci oficiálních stránek a případně se u zákazníků vytvářejí speciální účty. Nicméně se ani s těmito účty zákazník nedostane do interní sítě firmy. 2. Zaměstnanci – využívají tokeny. Díky tokenu se vytvoří VPN tunel a zaměstnanec se tak dostane do sítě stejně, jako by se připojil z počítače v kanceláři. Druhý způsob je přes Outlook web access, který je také chráněn tokenem a uživatel se dostane do webové verze svého e-mailu. Díky tomu může vidět příchozí emaily a případně na ně i odpovídat. Politika hesel je dána korporátními pravidly. Musí být co nejpřísnější, aby se co nejvíce snížila možnost zneužití hesla. Platnost každého hesla je 90 dní, poté jej musí zaměstnanec změnit. Z důvodu bezpečnosti musí mít hesla charakter silných hesel, tedy 9 a více znaků. Pro zhoršení dekódování musí každé heslo obsahovat typy 3 znaků, tedy pro příklad: Beruška112%. Systém si udržuje v paměti posledních 20 hesel a tato hesla se nesmí opakovat. Je to kvůli tendencím zaměstnancům si všude dávat stejná hesla nebo je neustále opakovat. Zvláštním typem hesla je heslo získané z tokenu. Toto heslo je jednorázové. Uživatel musí znovu zažádat pomocí kalkulačky na tokenu. Korporace vytvořila webovou aplikaci, pro zefektivnění a zjednodušení přihlašování do různých aplikací v rámci firmy, která synchronizuje veškerá hesla tzv.: SOSPASSWORD, kde jsou veškerá hesla sjednocená tvarem, tak i dobou expirace. Výjimkou je software SAP, kde musí být heslo oddělené od ostatních aplikací firmy. SAP heslo má stejné podmínky jako hesla předchozí, tedy expirace 90 dní a silné heslo. Při prvním přihlašováním do systémů a zvolení hesel, je zaměstnanci položeno 5 kontrolních otázek. Odpovědi jsou archivovány. Pokud zaměstnanec zapomene některé heslo, pak musí kontaktovat IT helpdesk, kde mu operátor položí některou z 5 kontrolních otázek a zaměstnanec musí odpovědět. Jestliže jsou odpovědi v souladu, pak je vytvořeno nové heslo. V případě chybné odpovědi následuje proces dalšího prověřování identifikace zaměstnance – kontaktování nadřízeného apod. Při zabezpečování a ochraně dat na počítači musíme brát v úvahu nejen přístup přes internet, ale také přístup fyzický. V rámci budovy společnosti Alcatel-Lucent Czech, s.r.o. se nezaměstnanec nesmí pohybovat bez předchozí identifikace. Každá návštěva musí projít přes recepci, kde musí nahlásit své jméno, důvod návštěvy, kontaktní osobu společnosti. Obdrží čipovou kartu návštěvníka a podepíše se do návštěvního listu. Recepční telefonicky kontaktuje zaměstnance. Tato osoba přijde na recepci a

50

převezme návštěvu. Při vstupu do budovy musí návštěva přiložit čipovou kartu ke čtečce, což ji umožní vejít do budovy a také ji bezpečnostní systém zaeviduje. Při opouštění budovy zaměstnanec doprovodí návštěvu na recepci a návštěva přiloží čipovou kartu na čtečku u hlavních dveří. Tím se jí jednak otevřou dveře, ale také se odhlásí z bezpečnostního systému. Pokud by to návštěva opomněla, zůstane v registru přítomných osob a ve večerních hodinách bude zkontaktována bezpečnostní agentura, aby vyprovodila návštěvu z objektu. Po celou dobu musí být návštěva s pověřenou osobou, neboli s osobou, za kterou přišla. Při opouštění objektu návštěva odevzdá čipovou kartu na recepci. Přístup k dokumentům je rovněž omezen. Veškeré dokumenty jsou pečlivě založené v šanonech, a pokud nikdo není přítomen v jejich blízkosti, jsou šanony založené ve skříních opatřených zámky. Nejdůležitější dokumenty jsou umístěny ve 3. patře, kde sídlí management firmy. Zabezpečení ze strany uschování dokumentů má společnost více než dostatečné. Nicméně jak je to s tiskárnami? Tiskárny se ve firmě rozdělují na 2 typy: 1. Veřejné bez hesla 2. Chráněné heslem Jak již názvy napovídají, jsou to tiskárny, které jsou opatřené heslem nebo nikoliv. Veřejné tiskárny bez hesla jsou umístěné v na každém patře společnosti. Veřejná tiskárna chráněná heslem je umístěná na 3. patře a využívá se pro tisk zvlášť citlivých dokumentů společnosti právního nebo personálního charakteru. Tímto jsme uzavřeli veškerou ochranu fyzických dat a přesouváme se k ochraně dat v rámci PC. Alcatel-Lucent Czech, s.r.o. má korporátní směrnice, které ošetřují bezpečnost dat v počítači. Jedním z požadavků interní IT směrnice je absolutní zákaz připojování jiných než firemních notebooků do interní sítě. Pokud počítač není registrovaný v rámci firmy, pak není možné se připojit a přihlásit se do sítě bez specifických pomůcek, jako jsou již dříve zmíněné tokeny. Dále směrnice upravuje pravomoc v rámci administrace počítače svěření firemních notebooků a stolních počítačů konkrétním osobám je evidováno v IT dokumentacích a v evidenci majetku na osobní kartě zaměstnance. Není dovoleno instalovat korporací neschválený software. Softwary povolené korporací jsou uvedeny v IT shopu firmy. Roli administrátora vlastní všichni zaměstnanci. Je to kvůli dodatku v pracovní smlouvě, který říká: Každý uživatel odpovídá za stav svého počítače. Zaměstnanci mají možnost šifrovat veškerá data na discích dobrovolně. Firemně důležitá data se šifrují povinně. Společnost Alcatel-Lucent Czech, s.r.o. využívá pro interní zabezpečení informací předdefinované pozice tzv.: korporátní image. Image se skládá ze stanovených standardů a přístupů, které získá zaměstnanec po svém nástupu. Zaměstnanci řeší veškeré potřebné přístupy a softwary přes IT shop. IT shop funguje v rámci celé korporace a zaměstnanci si zde mohou žádat o programy, přístupy a softwary, které potřebují k práci. Pokud by znamenalo nainstalování softwaru jakýkoliv finanční dopad na společnost, pak musí být schválený nadřízeným nebo regionálním managerem. Stejně tak, pokud zaměstnanec chce získat více virtuální paměti ve firemní emailové poště, pak musí zkontaktovat provozovatele, jestli lze požadované kapacity mohou uvolnit.

51

Vyvstává zde otázka, jak zjistit, jestli si zaměstnanec neobjednal přes IT shop něco, co nepotřebuje? Jestliže zaměstnanec požaduje přístup do softwaru, který není v korporátním image, pak musí poslat přes IT shop požadavek. Tento požadavek obdrží jeho nadřízený nebo správce, který ho schválí nebo zamítne. Pokud ho schválí, požadavek je postoupen do IT centra, kde se vystaví tzv.: ticket. Ticket obsahuje předmět a rozhodnutí o schválení. Ticket je následně zaslán do specializované IT buňky, kde je stanoven řešitel a ten požadavek zpracuje. Velmi podobný postup je při požadavku na vypnutí antiviru z důvodu instalace aplikace. V každém prostředí existuje chyba lidského faktoru, proto ve společnosti Alcatel-Lucent Czech, s.r.o. probíhá kontrola ze strany IT. Databáze uchovává detailní informace o pohybech dat na jednotlivých účtech a zaznamenává co, kdy a kdo nainstaloval do počítače. Druhé bezpečnostní opatření je v podobě SMS software manager server. Stará se o automatizovaný audit a průběžně udržuje a aktualizuje databáze firmy v rámci bezpečnosti a ochrany dat v nich vložených.

Dokumenty se musí zabezpečovat podle jejich důležitosti. Velmi důležité dokumenty jsou takové, které se týkají finančních operací firmy. Pro bankovní spojení využívá společnost 2 systémy. 1. Trax 2. Citidirect Trax je bankovní systém, který firma používá na veškeré odchozí a příchozí platby v rámci bankovních účtů s výjimkou mezd. Pro potvrzování bankovních transakcí se využívá firemní token pro vygenerování potvrzovacího hesla. Citidirect je elektronický systém banky Citibank Europe plc, organizační složka a ve společnosti se využívá na platbu mezd a zákonných mzdových odvodů. Přísné zabezpečení operací v rámci Citidirectu je vyžadováno jednak firmou samotnou, ale také bankou. Využívají se speciální tokeny. Bankovní token je vázán na společnost a osobu, která odpovídá za správný průběh operací týkajících se mezd a má přesně vymezená práva, která se řídí hierarchickým postavením v rámci firmy. V systému Blue Planet probíhají veškeré účetní, logistické a projektové operace. S tímto systémem spolupracuje aplikace MARS. MARS se využívá pro zadání požadavků nákupu – hmotného i nehmotného investičního majetku a režijních služeb. Každý zaměstnanec má přístup do aplikace MARS a může zadat svůj požadavek na nákup. Schválení požadovaného nákupu má 7 úrovní: 1. Requester – je to zaměstnanec, který zadal požadavek na nákup. Nyní se požadavek na nákup postupuje dalším schvalovatelům. Každá z následujících osob může požadavek zamítnout. 2. Co-reader – do této skupiny patří management, který deleguje tvorbu svého požadavku na nákup na asistentku. Následně mají pravomoc k přečtení a k odsouhlasení či zamítnutí. 3. Co-requester – vedoucí nákladového střediska, jenž může odsouhlasit či zamítnout potencionální náklad, za který odpovídá. 4. Purchaser approver – zde nákupní oddělení posuzuje, zdali byla dodržena veškerá interní pravidla pro nákup. Řídí se interními předpisy i smlouvami uzavřenými s dodavateli.

52

5. Budget approver – pozice schválení rozpočtu je ve společnosti využívána pro zadání účetní informace. Do požadavku účetní zadá číslo účtu, kam se později náklad zaúčtuje. 6. Hierarchical approver – vrcholový management. Poslední úroveň je někdy vynechána, protože do 6. úrovně se dostanou pouze nákupy s větším finančním zatížením firmy. Od 5000 Kč Částka v Kč

Do 5000 Kč

Nad 20 000 Kč do 20 000 Kč

Schvalující

Vedoucí nákladového

Finanční ředitel

střediska

Finanční ředitel a Generální ředitel

Tabulka č. 6: Schvalovací řád

7. Special approver – týká se pouze specificky vymezených oblastí nákupu. Pro příklad bych uvedl nákup „školení pro zaměstnance“, za které odpovídá a schvaluje také oddělení HR. Následné stupně již nejsou součástí schvalovacího řízení. Patří sem: 8. Dispatcher – jenž se stará o odeslání, či přijmutí nákupu. 9. PSSC (Purchasing Share Service Centre) – vytváří číslo objednávky a to následně přeposílá objednavateli - requestorovi. Z důvodu centralizace se korporace rozhodla mít PSSC oddělení v Rumunsku.

Jak jsem již zmínil v dřívějších částech práce, software Blue Planet je speciálně upravený SAP pro potřeby korporace Alcatel-Lucent a.s. Přístup do systému Blue Planet je ochráněn zvláštním heslem a pokud má zaměstnanec získat přístup, či vlastní účet v systému BP, pak musí jeho přímý nadřízený o přístup zažádat. Součástí žádosti je specifikace pozice, kterou zaměstnanec zastává a ze které vyplývá jaká oprávnění, přístupy a transakce bude zaměstnanec využívat. Pro příklad majetková účetní: Přístup do modulu majetku - účetní má zpřístupněny náhledy na jednotlivé karty majetku, detaily plánovaných a skutečných odpisů majetku, reporty hmotného a nehmotného majetku podle různých požadavků. Na příklad: podle tříd majetku, stáří majetku apod. Dále má přístup do hlavní knihy – náhled na detaily a zůstatky účtů hlavní knihy týkající se na příklad: majetku a odpisů. V důsledku centralizaci celého administrativního sektoru v korporaci, se zpracování účetnictví outsourcuje a transakce se zadávají do systému v Rumunsku. V České republice se neúčtuje, účetní nemá možnost aktivně zapisovat na účty, zadávat účetní transakce. Působí jako účetní supervizor, podle jehož pokynů se transakce v Rumunsku zadává a následně kontroluje správnost zaúčtování. Výjimku má hlavní účetní firmy, která v případě nutnosti může zadat účetní případ přímo do Blue Planet. Kromě funkce účetního supervizora účetní oddělení zastává i funkci skenovacího oddělení došlých faktur. Ke skenování se využívá korporátní program FileNet, pro zadávání je nutné vlastnit speciální přístupové heslo. Každá právní jednotka korporace Alcatel-Lucent a.s. má vlastní virtuální box, pro

53

svou zemi. Box se dále dělí na podadresáře pro uložení jednotlivých typů dokumentů. Na příklad: zálohové faktury, daňové doklady - faktury a opravné daňové doklady. Celý proces skenování vypadá následovně: 1. Účetní v ČR naskenuje došlou fakturu a uloží ji do příslušného boxu CZ adresář daňové doklady a faktury ve FileNetu. 2. Účetní v Rumunsku přiřazená pro ČR si zobrazí fakturu z boxu a zaúčtuje ji podle účetních dispozic zapsaných v objednávce. Digitalizovanou fakturu připojí k účetnímu zápisu v softwaru Blue Planet. 3. Účetní v České republice zkontroluje zápis, a pokud nalezne chybu, pošle chybové hlášení do outsourcované účetní společnosti a chyba je následně opravena. Veškeré operace ve společnosti Alcatel-Lucent Czech, s.r.o. podléhají specifickému podpisovému řádu. Dle oficiálních směrnic firmy, každý dokument musí být podepsán alespoň 2 odpovědnými zaměstnanci. Tomuto opatření se říká tzv. Princip 4 očí, kde navrženou transakci odpovědný subjekt zkontroluje a další odpovědný subjekt podepíše. Až po podpisu nabývá dokument - smlouva platnost. Každý podpis se musí skládat ze jména a příjmení. Dle principů podpisového řádu, pokud zaměstnanec, jenž má pravomoc podepisovat, není přítomen, je zastoupen: 1. Osobou, jež je podepisujícím určena jako její náhrada v průběhu absence, dle podpisového řádu Annex 2. 2. Osobou, která má oprávnění podepisovat dokumenty na stejné úrovni důležitosti.

Annex 1,2 a 3 jsou oddíly podpisového řádu, jenž každý z nich má určitou funkci v rámci podepisujících a schvalovacích práv.

Tabulka č. 7 : Annex 1: Case

Contracting party

Document

Approval

Vacation approval

Employee

Vacation sheet

Direct Superior

Car log approval

Employee

Acars

Direct Superior

Sick leave slip approval

Employee

Sick Note

Direct Superior

Travel approval

Employee

Travel Announcement

Direct Superior

Attendence sheet

Employee

Attendance sheet

Direct Superior

Tabulka vyjadřuje Podpisový řád v rámci jednotlivých případů. Case vyjadřuje případ, který nastal. Pro příklad bych uvedl Vacation approval – schválení dovolené, o které žádá Employee – zaměstnanec a tento požadavek se zaznamenává v dokumentu – Vacation Sheet. Poslední část celého procesu je schválení, které zastává Direct Superior – přímý nadřízený.

Pořízení vzdáleného připojení k podnikové síti. Schvalovací postup obsahuje 4 stupně. 1. Human Resources – má funkci Special approval

54

2. Finanční ředitel – schvaluje finanční limity a zajištění prostředků v rozpočtu daného nákladového střediska 3. Managing Director – má funkci Final approval 4. Office management – je zodpovědný za aktivování a administraci služby

Schvalování bankovních příkazů. V systému Citidirect probíhá úhrada mezd a zákonných odvodů. Účetní načte uzamčený soubor se mzdovými bankovními údaji do systému Citidirect. Schválení bankovního příkazu má 2 úrovně: 1. Hlavní účetní – kontrola příkazu a schválení - První podpis. 2. Finanční ředitel – schválení - druhý podpis, odesílání příkaz. V systému Trax je celý proces složitější z důvodu centralizace účetnictví v Rumunsku. Tvorbu bankovního příkazu podle zadaných kritérií zajišťuje outsourcovaná účetní firma v Rumunsku. V České republice účetní zkontroluje správnost dat a případně zažádají o korekce dle lokálních požadavků. Schvalování je stejné jako v případě Citidirect: 1. Hlavní účetní – se zabývá kontrolou a schválením transakce – první podpis. 2. Finanční ředitel – schvaluje – druhý podpis a odesílá transakci do banky. Existuje i forma manuálních plateb, které se neodesílají do Rumunska, ale zadává je do systému Trax účetní v ČR. Příkladem manuálních plateb jsou daně a odvody státu. Z důvodu manuálního zpracování musí docházet k dvojí kontrole. 1. Hlavní účetní – má za úkol kontrolu oprávněnosti – validace a první podpis. 2. Finanční ředitel – přidává k dokumentu druhý podpis a odesílá.

Pokud bychom měli hovořit o procesech firmy, které se týkají fyzických dokumentů, pak víme, že společnost Alcatel-Lucent Czech, s.r.o. má ve svých směrnicích zpracovaný spisový, archivní a skartační řád. Tento řád vymezuje postup při manipulaci s písemnostmi a jinými dokumenty a obsahuje 3 úrovně: 1. Spisový řád – tento systém zajišťuje racionální manipulaci s písemnostmi a zabraňuje jejich neodbornému znehodnocování. Řád se vztahuje na veškeré písemnosti, tedy vzniklé v rámci společnosti, ale i přijaté. 2. Archivní řád – určuje pravidla pro manipulaci a archivaci písemností 3. Skartační řád – zajišťuje postup při vyřazování písemností a dalších záznamů, jako je video záznam, či audio záznam. Směrnice vychází ze zákona 03/2008 Spisový, archivní a skartační řád. Veškerou odpovědnost za evidenci přijatých a odchozích písemností má recepční. Ze směrnic mají nařízeno evidovat došlou poštu a balíky 3 způsoby: 1. Knihy přijaté pošty – evidují se zde veškeré doporučené písemnosti. 2. Knihy přijaté a odchozí pošty – zbytek písemností. 3. Knihy Messenger – zaznamenávají zde veškeré písemnosti doručené zásilkovými službami. Při manipulaci došlé pošty má recepční povinnost zkontrolovat:

55

1. Zda pošta patří společnosti Alcatel-Lucent Czech, s.r.o. 2. Zda obsahují veškeré uvedené přílohy. 3. Zda nejsou poškozeny. Pokud cokoli z předešlých částí nesouhlasí, pak problém recepční popíše do Knihy přijaté pošty a následně distribuuje poštu v rámci firmy jejím příjemcům. Vyřizování písemností se, dle směrnic, prováděni svědomitě, rychle, účelně a hospodárně. Lhůty pro vyřizování písemností jsou značně flexibilní, dle závažnosti písemnosti. (interní směrnice Alcatel-Lucent) Uložené písemnosti se ukládají podle věcné příslušnosti v příručních registraturách útvaru. Jsou zde uloženy pouze na dobu nezbytnou. Archivační činnost společnost Alcatel-Lucent neutsourcuje. Uvnitř společnosti se nacházejí speciální spisovny. Dokumenty se archivují dle potřeb zaměstnanců. Pracovník zodpovědný za archivaci je buď správce spisovny, nebo jiná pověřená osoba. Před uložením musí správce zkontrolovat veškeré archivační bedny. Tato kontrola se dělá z důvodu ověření označení beden i kontroly jejich obsahu. Správce spisovny má za úkol veškeré archivované bedny zaevidovat v speciálním dokumenty nazvaném Evidence spisovny. Dále správce spisovny označí každý box skartačním znakem a skartační lhůtou, která se vypočítává podle tabulky skartačních znaků a lhůt. Skartační lhůta se bere vždy jako kalendářní rok. Po uplynutí skartační lhůty musí rozhodnout QM o dalším postupu. Má na výběr 2 cesty: 1. Prodlouží skartační lhůtu 2. Dá pokyn ke skartaci, přičemž musí přesně uvést, jakým způsobem skartace proběhne. Na uložení písemností má společnost speciální místnost, která je přísně zabezpečena proti vniku nepovolaných osob. Spisovna musí být zajištěna dobrým bezpečnostním zámkem, aby se vyloučila možnost i násilného vniknutí. Dále je spisovna situována uvnitř pobočky společnosti Alcatel-Lucent a tato místnost musí být dostatečně ochráněna před živelnými vlivy. Musí se minimalizovat jakékoliv poškození dokumentů v ní uložených. Přístup do spisovny mají pouze zaměstnanci a jen oni mohou nahlédnout do archivovaných dokumentů. Veškeré přístupy musí povolit buď správce spisovny. Stejné pravidlo platí při vynášení či půjčování dokumentů, kdy znovu musí výpůjčku odsouhlasit správce spisovny. Půjčování dokumentů se musí evidovat. Vše se zapisuje do tzv. Evidence spisovny. Při navrácení písemností správce spisovny zkontroluje stav dokumentů, a pokud je vše v pořádku, pak vymaže zápis z knihy Evidence spisovny. Správce spisovny rovněž může dělat namátkové kontroly všech archivovaných dokumentů a také dokumentů, které si vypůjčili zaměstnanci. Zaměstnaneckou kontrolu dělá přímo u zaměstnance, který si dokument vypůjčil. Pokud si dokument chce zaměstnanec odnést mimo budovu společnosti Alcatel-Lucent, pak musí mít souhlas generálního ředitele. Ochrana a archivace elektronických dat zajišťuje a rovněž za ni odpovídá korporace společnosti. Každý zaměstnanec si může nechat dobrovolně archivovat elektronická data buď na flash disk nebo jiná paměťová média jako jsou CD, DVD, apod. Každé médium je označené identifikačním kódem, datem kdy byla data zálohována a jménem zaměstnanec, kterému data náleží. Poté jsou nosiče dat

56

ponechány zaměstnancům a ti je musí uschovat na bezpečném místě. Tedy minimálně v zamykatelné zásuvce stolu. Skartační řízení Skartační řízení ve firmě probíhá jednou ročně a vyřazují se tím veškeré dokumenty, které již nemají pro společnost Alcatel-Lucent hodnotu nebo se staly nepotřebnými. Fakt, že dokument je nepotřebný, rozlišujeme podle 2 kritérií: 1. Historické 2. Hospodářské Uvnitř společnosti se dokumenty neskartují. Společnost si najímá externího dodavatele, který podle smlouvy v přesně daný čas dodá do firmy tzv. Skartační kontejnery. Odpovědní pracovníci je naplní a dodavatelská společnost plné kontejnery zase odveze a následně se postará o jejich skartaci. Skartovat se ovšem nemůže každý dokument po vypršení doby určené zákonem. Nejdříve správce spisovny nebo zaměstnanci vypracují tzv.: Skartační návrh. Ten se zhotoví v několika kopiích a následně externí archiv vydá spolu s danou kopií skartačního návrhu Povolení ke skartaci písemností. Zaměstnanci pak veškeré dokumenty, jež jsou uvedeny v Povolení ke skartaci, označí písmenem “S“. Bez “S“ označení se nesmí žádný dokument skartovat. Při obdržení Skartačního povolení mají správci spisoven nebo zaměstnanci za úkol: 1. Zkontrolovat veškeré dokumenty s označením “A“ – označují se tak dokumenty k trvalému uskladnění. 2. Dokumenty, které obdrží označení skupiny “S“ – jsou předány ke skartaci. 3. Veškeré skartace dokumentů zaevidovat v náležitých dokumentech – Evidence spisovny. Tabulka č. 8 : Tabulka skartačních znaků a lhůt Minimální doba uložení ve spisovně

Skartační znak

Dokumenty o vzniku společnosti:

5 let

A

Zakladatelské dokumenty

5 let

A

Organizační řád

5 let

A

Dokumenty o sloučení

5 let

A

Dokumenty o zrušení společnosti

5 let

A

Dále dokumenty týkající se aktivit spol.:

5 let

A

Dokumenty vrcholového řízení subjektu

5 let

A

Finanční dokumenty (závěrky, další výkazy)

5 let

A

Kolektivní smlouvy

5 let

A

Příručka jakosti

5 let

A

Mzdové listy

45 let

S

Objednávky, smlouvy

3 roky

S

Nabídky, Poptávky

3 roky

S

Daňové doklady

10 let

S

Účetní doklady

5 let

S

Dokumenty

Konkrétní dokumenty:

57

Evidence o cenách

3 roky

S

Tabulka skartačních znaků a lhůt nám ukazuje, jaké dokumenty si firma musí ze zákona ponechat a jaké dokumenty může v případě uplynutí dostatečné doby pro archivaci skartovat. Vysvětlivky: Skartační znak A – nesmí se skartovat Skartační znak S – skartuje se po uplynutí doby dané zákonem Minimální doba uložení ve spisovně – doba daná zákonem nebo vnitřními směrnicemi společnosti. Přičemž doba určená směrnicí nesmí být kratší než doba určená zákonem. Dokumenty, které se nesmí firmou skartovat, mají své opodstatnění. Tyto dokumenty jsou důležité pro státní orgány, investory, dodavatele či zákazníky.

V účetnictví se musí provádět kontroly. Tyto aktivity mají za úkol včas zjistit případné nedostatky či chyby tak, aby je mohli pověření zaměstnanci napravit dříve, než by vznikly nějaké následky. Dopad na společnost může být jen malý, tedy pokuta, nebo pokud firma dlouhodobě nesplňuje své závazky vůči vedení účetnictví, pak finanční úřad zakáže její činnost. Společnost Alcatel-Lucent s.r.o. má velmi přísné kontroly účetních dokladů. Veškerý dohled rozdělujeme: 1. Průběžný dohled ze strany účetních 2. Měsíční závěrky – je kontrolován každý účetní měsíc odpovědnou osobou, tedy hlavní účetní. 3. Otevřené závazky a pohledávky v rámci skupiny – kontrolu zásadně provádí hlavní účetní. 4. Roční závěrka – společnost Alcatel-Lucent Czech, s.r.o. využívá služeb auditorské firmy.

58

3 Závěrečné shrnutí Dle mého pozorování a porovnávání obou firem musím říci, že obě firmy se velmi dobře starají o zabezpečení jak fyzických tak i elektronických informací. Obě firmy jsou členy mezinárodních korporací a musí být dostatečně zabezpečeny proti případným útokům. Rozdílem mezi těmito institucemi figuruje počet zaměstnanců.

Obrázek č. 6: Počet zaměstnanců

Tento graf nám vysvětluje, kolik zaměstnanců mají jednotlivé firmy. Údaje jsou odhadované z informace, kde se uvádí: 1. Počet zaměstnanců ČSOB Leasing a.s. je od 500 do 999 2. Počet zaměstnanců Alcatel-Lucent s.r.o. je od 50 do 99 Počet zaměstnanců má v zabezpečení dat velký vliv. Pokud má firma více zaměstnanců, pak je potřeba aby více kontrolovala účty, měla častější audit apod. Rovněž je v těchto velkých korporacích i větší množství fluktuace zaměstnanců než v menších pobočkách, jako je Alcatel-Lucent Czech, s.r.o. Proto si musí organizace jako taková, dávat větší pozor a pečlivě evidovat své zaměstnance pomocí zápisů na recepci a přístupových karet. Na rozdíl od ČSOB leasing a.s. má společnost Alcatel-Lucent Czech, s.r.o. velkou výhodu v menší množství zaměstnanců a tím i menší fluktuaci. Pokud by se kdokoliv snažil zcizit nebo vyhledat informace, které mu nepřísluší, bude velmi rychle přistižen a potrestán dle pracovního práva nebo pomocí rozhodnutí komise v rámci firmy, pokud je prohřešek méně závažný. Méně zaměstnanců znamená i přátelštější atmosféra v rámci firmy. Pobočka Alcatel-Lucent Czech, s.r.o. je členem velké korporace Alcatel-Lucent a.s., která má zastoupení na celém světě. Společnost má pobočky od USA, přes Evropu a až v Shangaji. Díku tomuto zastoupení v různých částech světa, mají dočinění s mnoha útoky. Informace z nich získané se následně, díky centralizovanému informačnímu systému, distribuují do ostatních poboček a společnost tak může rychle zareagovat na případné ohrožení.

59

13.

ZÁVĚR

Vypracoval Bakalářskou práci na téma bezpečnost a ochrana dat v účetnictví vedeném na počítači. Rozdělil jsem práci na fyzickou a virtuální ochranu. Fyzickou jsem popsal v jejím začátku a virtuální v následné části. Celou virtuální část jsem uvedl historií vzniku počítačů a internetu, který dříve byl jen pro vojenské účely, a říkalo se mu Arpanet. Dále jsem shrnul základy kryptografie, kde jsem popsal 3 typy šifrování. Substituční i permutační šifrování a polygrafickou substituční šifru. Rovněž jsem zde rozebral i kryptografii a kryptoanalýzu. Přičemž hlavním úkolem kryptografie je chránit data a zabránit neautorizovanému pokusu o přečtení. Kryptoanalýza je oborem, který má jako hlavní úlohu analyzovat algoritmy a rovněž analyzovat zašifrovaná data. Celá úvodní kapitola byla završena definováním kyberprostoru, což je virtuální svět vytvořený moderními technologickými prostředky (např. počítačem). V další části jsem rozebíral detailní ochranu počítače a dat v něm uložených. Rozebíral jsem hlavně hrozby, tedy útočníky, kteří nás mohou napadnout. Mezi útočníky patří hackeři, crackeři, black hats, apod. Mohou být mezi nimi amatéři i profesionálové. Rovněž jsem popsal i jakými způsoby nás tito útočníci mohou ohrozit. Jsou to různé viry, trojské koně apod, jako na příklad Dropper, Hoax, apod. Tuto kapitolu jsem uzavřel elektronickým klíčem. Popsal jsem jeho fungování i princip Hashe. Následná část se týká čistě jen právní stránky, která je v bezpečnosti rovněž důležitá. Rozebírám zde základní zákony, ale i mezinárodní směrnice EU jako je směrnice 2006/24/ES, o uchovávání údajů vytvářených nebo zpracovávaných v souvislosti s poskytováním veřejně dostupných služeb elektronických komunikací nebo veřejných komunikačních sítí. Stejně tak jsem rozebral i českou sbírku zákonů. Pro příklad bych uvedl zákon č. 101/2000 Sb., v platném znění o ochraně osobních údajů. Poslední část před praktickou částí je věnované jen účetní tématice. Popisuji, jak způsob zaznamenávání účetních položek postupoval v čase. Rovněž popisuji i základy a principy auditu. Dnes se již nedělá kontrola jednotných účetních výkazů, ale jen mechanismy, jakými jsme dostali dané hodnoty. Završuji tuto část radami pro společnost, která zamýšlí pořízení účetního software. Rovněž zde i popisuji obecné náležitosti a důvody, proč si firmy pořizují software. Poslední částí mé bakalářské práce je praktická část, kde jsem pozoroval a popsal jednotlivé bezpečnostní opatření firem Alcatel-Lucent Czech, s.r.o. a ČSOB Leasing a.s. Dle pozorování mohu říci, že obě firmy jsou velmi orientované na zabezpečení dat. Kvůli jejich podnikatelském zaměření, které vyžaduje důvěryhodnost. Alcatel Lucent Czech, s.r.o. se zabývá telekomunikační technologií a ČSOB Leasing a.s. se zabývá pojišťovnictvím. Obě firmy jsou mezinárodní korporace. Proto směrnice jsou unifikovány s pravidly centrály obou společností.

60

14.

CONCLUSION

As per the formulation of the task, I wrote this bachelor's thesis on the topic of data integrity and protection in computerized accounting.

The paper is structured is along the difference between

physical and virtual protection. In the first part of the thesis, I describe physical protection, followed by virtual protection. This part on virtual protection begins with a history of computers and of the Internet, initially an asset solely for military purposes known as Arpanet. I also include the basics of cryptography, describing three types of ciphers: substitution, permutation, and polygraphic substitution. Here, I also review cryptography and cryptanalysis. While the main objective of cryptography is the protection of data and the prevention of unauthorized attempts to access data, cryptanalysis as a discipline is chiefly concerned with the analysis of algorithms and of encrypted data. This entire introductory chapter closes with a definition of cyberspace: the virtual world created by modern technology (such as computers). In a further section, I analyze in detail the protection of computers and of the data stored in the same. Above all, I analyze the main threats – i.e., attackers – to which we are exposed, among them hackers, crackers, black hats, etc. These attackers may be amateurs or professionals. I also describe the various methods and pathways of attack: various viruses, Trojan horses, etc., such as e.g. Dropper or Hoax. This chapter closes with a mentioning of electronic keys; I describe how they function on the basis of the hash principle. The following section is purely concerned with the legal side of the issue, which is of likewise importance in the area of security.

I analyze major laws in this area, but also international EU

directives such as Directive 2006/24/EC, on the retention of data generated or processed in connection with the provision of publicly available electronic communications services or of public communications networks. I also analyze the Czech Collection of Laws – by way of example, I may mention the Data Protection Act (act No. 101/2000 Coll., as amended). The last section before the practical part exclusively addresses accounting issues. I describe how the manner in which accounting items are recorded evolved over time, as well as the basic concepts and principles of auditing. Today, no longer are the individual accounting records being examined, but merely the mechanisms by which we arrived at the given figures. This part closes with a set of recommendations for companies which contemplate the acquisition of accounting software. I also describe general requirements and reasons for which companies purchase such software. The final part of my bachelor's thesis is a practical part, in which I observe and describe the various security measures that are in place at Alcatel-Lucent Czech s.r.o. and ČSOB Leasing a.s., respectively. Based on my observations, I may say that both firms put great store in data security, given the nature of their business which is crucially dependent on trustworthiness. Alcatel Lucent Czech s.r.o. deals in telecommunication technologies, and ČSOB Leasing a.s. is concerned with insurance transactions; both firms are international corporations. Their security policies are therefore harmonized with the rules that are in place at corporate headquarters.

61

62

15.

SEZNAM POUŽITÉ LITERATURY

1. L. Mejzlík. Účetní informační systémy. Oeconomica 2006 str.16, 19-22, 28, 30, 32, 39, 41, 6975, 76, 82, 98-99, 101, 102. ISBN 80-245-1136-3

2. Tomáš Doseděl. Počítačová bezpečnost a ochrana dat. Computer press 2004. SBN: 80-2510106-1

3. Michal Matějka. Počítačová kriminalita. Computer press, 2002, str 54, 44, 20. ISBN: 80– 7226–419–2

4. Sturart Mcclure, Joel Scambray, George Kurtz. Hacking bez tajemství 3. Aktualizované vydání, kapitola 6. Computer press 2003. ISBN: 8072269488

5. Úřad pro ochranu osobních údajů (online) (cit 11.12. 2010) http://www.uoou.cz/uoou.aspx? menu=13).

6. Ministerstvo vnitra ČR (online) (cit 11.12. 2010) http://www.mvcr.cz/clanek/zakon-c-227-2000-sb-o-elektronickem-podpisu.aspx

7. ČSOB Leasing (online) (cit 1.1 2011) http://www.csobleasing.cz/cz/kontakty/pobockova-sit

8. Justice (online) (cit 1.1 2011)

9. 10. 11.

http://www.justice.cz/xqw/xervlet/insl/index? sysinf.@typ=or&sysinf.@strana=searchResults&hledani.@typ=subjekt&hledani.format.typHle dani=x*&hledani.podminka.subjekt=%c8SOB ČSOB Leasing (online) (cit 3.1 2011) http://www.csobpoj.cz/spolecnost/ Bc. Pavel Aberle (online) (cit 3.1 2011) http://is.muni.cz/th/342895/fss_m/Budoucnost.kyber.teror.Aberle.DP.pdf Bezpečnostní informační služba (online) (cit 10.1 2011) www.bis.cz http://www.lupa.cz/clanky/jaky-byl-internet-v-praveku/

12. 13. Army (online) (cit 10.1 2011)

http://www.army.cz/scripts/detail.php?id=309 14. Samuraj (online) (cit 10.1 2011) http://www.samuraj.cz/clanek/internet-a-jeho-historie 15. Pelikán (online) (cit 15.1 2011) http://www.fi.muni.cz/usr/pelikan/ARCHIT/TEXTY/HISTOR.HTML

16. Informační služby veřejné správy (online) (cit 18.1 2011) http://www.isvs.cz/e-podpis-podatelny/papirovy-versus-elektronicky-dokument-27-dil.html

17. E-pravp (online) (cit 18.1 2011) http://www.epravo.cz/top/clanky/delka-archivace-ucetnich-dokumentu-42894.html

18. Ministertsvo vnitra ČR (online) (cit 25.1 2011) http://aplikace.mvcr.cz/archiv2008/sbirka/2002/sb047-02.pdf

19. Sagit (online) (cit 25.1 2011) (http://www.sagit.cz/pages/sbirkatxt.asp?cd=76&typ=r&zdroj=sb02310)

63

20. http://www.sagit.cz/pages/sbirkatxt.asp?cd=76&typ=r&zdroj=sb02517 21. portál: Právo (online) (cit 16.2 2011) http://cs.wikipedia.org/wiki/Listina_základních_práv_a_svobod

22. PSP (online) (cit. 16.02.2011) http://www.psp.cz/docs/laws/listina.html (16.2.2011)

23. Pecina (online) (cit. 17.02.2011) http://iuridictum.pecina.cz/w/Kolisní_pravidla (17.2.2011)

24. http://www.psp.cz/docs/laws/constitution.html (17.2.2011) 25. http://www.esyhandicaphelp.wgz.cz/prehled-nejdulezitejsich (17.2.2011) 26. Jitka Hradilová, Ikaros (online) 2008, roč. 12, č. 2 (cit. 17.02.2011) http://www.ikaros.cz/ochrana-osobnich-udaju-v-evropske-unii

27. Eur-lex (online) (cit. 17.02.2011) http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=DD:13:15:31995L0046:CS:PDF (17.2.2011)

28. http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=OJ:L:2001:008:0001:01:CS:HTML (17.2.2011)

29. http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=OJ:L:2006:105:0054:0063:CS:PDF (17.2.2011)

30. http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=OJ:L:2002:201:0037:01:CS:HTML (17.2.2011)

31. Business center (online) (cit. 18.02.2011) http://business.center.cz/business/pravo/zakony/obchzak/cast1.aspx (18.2.2011)

32. http://www.businessinfo.cz/cz/clanek/orientace-v-pravnich-ukonech/ochrana-osobnich-udajuopu/1000818/51144/#b1 (18.2.2011)

33. http://business.center.cz/business/pravo/zakony/obcanzak/cast1.aspx (18.2.2011) Český statistický úřad (online) (18.2.2011, Aktualizováno dne: 10.6. 2009) http://www.czso.cz/csu/redakce.nsf/i/16_povinnost_mlcenlivosti_a_ochrana_individualnich_ud aju Úřad pro ochranu osobních údajů (online) (cit 15.2. 2011) http://www.uoou.cz/uoou.aspx? menu=41&submenu=42

34. Ministerstvo vnitra ČR (online) (cit 18.2.2011) http://www.mvcr.cz/clanek/zakon-c-227-2000-sb-o-elektronickem-podpisu.aspx (18.2.2011)

35. http://spcp.prf.cuni.cz/lex/04-499x.htm (18.2.2011) 36. Business center (online) (cit. 18.02.2011) http://business.center.cz/business/pravo/zakony/ucto/

37. http://business.center.cz/business/pravo/zakony/ucto/cast6.aspx (18.2.2011) 38. Česká archivní společnost (online) (cit. 18.02.2011) http://www.cesarch.cz/legislat/117_74.htm#p3o1

64

39. Podnikatel (online) (cit. 18.02.2011) http://www.podnikatel.cz/zakony/zakon-c-235-2004-sb-o-dani-z-pridane-hodnoty/cast-prvnihlava-ii/

40. http://www.podnikatel.cz/clanky/nez-skartujete-fakturu-radeji-merte-dvakrat/ (18.2.2011) 41. Alcatel-Lucent (online) (cit. 21.02.2011) http://www.alcatel-lucent.com/wps/portal/! ut/p/kcxml/04_Sj9SPykssy0xPLMnMz0vM0Y_QjzKLd4w3sfQGSYGYRq6mpEoYgbxjgiRIH1vfVP_NxU_QD9gtzQiHJHR0UAIZNI3w!!/delta/base64xml/L3dJdyEvd0ZNQUFzQUMvNElVRS82 X0FfNUxJ

42. Wikipedia (online) (cit. 05.03.2011) http://cs.wikipedia.org/wiki/Morseova_abeceda

43. http://cs.wikipedia.org/wiki/Znakový_jazyk 44. http://referaty-seminarky.cz/sifrovani/ 45. David Hartman Úvod do kryptografie (online) (cit. 05.03.2011) https://uu.unicornuniverse.eu

46. Sophos (online) (cit. 05.03.2011) http://www.sophos.com/security/topic/security-threat-report-mid2010/cyberwar-cyberterror.html

47. WSJ (online) (cit. 05.03.2011) http://online.wsj.com/article/SB10001424052748704545004575352983850463108.html

48. Linux (online) (cit. 07.03.2011) http://www.linuxexpres.cz/blog/hacker-vs-cracker

49. Wikipedia (online) (cit. 9.3.2011) http://cs.wikipedia.org/wiki/I_Love_You (9.3.2011)

50. David Hartman 12. Přednáška (online) (cit. 09.03.2011) (www.unicorncollege.cz,

51. Wikipedia (online) (cit. 10.3.2011) http://cs.wikipedia.org/wiki/Spam

52. Úřad pro ochranu osobních údajů (online) (cit. 10.3.2011) http://www.uoou.cz/uoou.aspx?menu=23&submenu=25

53. Recomando (online) (cit. 12.3.2011) http://www.recomando.cz/elektronicky-podpis

65

16.

SEZNAM POUŽITÝCH SYMBOLŮ A ZKRATEK

Zkratka

Popisek

PC

Počítač

IT

Informační technologie

ICT

Information and Communication Technologies

66

17.

SEZNAM OBRÁZKŮ

67

18.

SEZNAM TABULEK

68

19.

SEZNAM PŘÍLOH

69

20.

70