Když hackerům projde váš server: Právní kroky, které musí hostingový provozovatel znát

Server padl do rukou hackerů. Panika se uklidnila, škody jste omezili a systémy se vrací do chodu. Jenže pro hostingové firmy a jejich zákazníky teprve začíná ta nejtěžší část. Útok neskončí opravou díry v bezpečnosti. Končí teprve splněním všech právních povinností podle místních zákonů.

První 24-48 hodin rozhodne o všem

Jakmile zjistíte neoprávněný přístup nebo únik dat, spouští se časovač. Většina zemí vám nedá týdny na přemýšlení. GDPR v Evropě, CCPA v Kalifornii nebo podobné předpisy po světě nařizují rychlé hlášení – obvykle do 30-72 hodin.

Není to rada. Je to zákon.

Co znamená "rychlé"? Musíte mít:

• Přesný časový rámec útoku
• Seznam ohrožených dat
• Důkazy o opatřeních proti šíření
• Připravený plán komunikace

V NameOcean radíme mít plán na incidenty předem. Testujte ho každý rok. Víte, kdo koho volá, co zapisujete a jak nahlásíte zákazníkům.

Povinné hlášení: Složitá mozaika zákonů

Žádný jednotný světový standard neexistuje. Místo toho se řídíte překrývajícími se, někdy protichůdnými pravidly:

EU (GDPR): Pokud hostujete data EU občanů, hlaste do 72 hodin úřadům. Pokud riziko pro práva lidí hrozí, informujte i je. Nízké riziko? Stačí méně.

USA: Každý stát má svá pravidla. Nejpřísnější jsou CCPA a CPRA v Kalifornii. New York, Massachusetts nebo Virginia mají vlastní. Většinou platí "bez zbytečného odkladu" – tedy dny, ne týdny.

Ostatní země: Kanada s PIPEDA, Austrálie s Privacy Act, Brazílie s LGPD. Všechny podobné, ale s lokálními nuancemi.

Pro hosting s mezinárodními klienty platí nejpřísnější pravidlo z relevantních zemí.

Co přesně sdělit ve zprávě

Nejasné oznámení už nestačí. Úřady chtějí detaily. Vaše zpráva musí obsahovat:

• Co se stalo: Popis neoprávneného přístupu nebo odcizení dat
• Kdy: Časový úsek útoku a objev
• Jaká data: Konkrétní typy (jména, e-maily, platební údaje) – ne "nějaká data"
• Vaše kroky: Opravy a vylepšení bezpečnosti
• Rady pro lidi: Změna hesel, sledování úvěru
• Kontakty: Jak se s vámi spojit

Vyhněte se:

• Právnickému žargonu, co skrývá pravdu
• Zmenšování ("jen drobný problém")
• Nejasným časům nebo datům
• Chybějícím kontaktům

Dokumentace: Vaše nejsilnější zbraň

Mnoho hostingů na tom zakopne. Úřady nebudou věřit slovu. Potřebujete důkazy, že jste:

1. Zjistili rychle – Logy serveru, upozornění IDS/IPS, časy monitoringu
2. Prošetřili důkladně – Forenzní zprávy, časová osa, příčina
3. Zastavili šíření – Izolace, záplaty, ověření bezpečnosti
4. Hlásili správně – Záznamy e-mailů, texty, potvrzení doručení
5. Opravili trvale – Nová bezpečnost, změny systému, školení týmu

Bez toho tvrdíte, že jste to zvládli – bez důkazů. Úřady ani soudy to neberou.

Povinnosti mimo hlášení

Hlášení je jen start. Dál následuje:

DPIA podle GDPR: Dokumentujte ochranu dat a rizika do budoucna.

Bezpečnostní audity: Dokažte "rozumná opatření" – pravidelné pentesty, skeny zranitelností s výsledky.

Spolupráce s úřady: Buďte připraveni na vyšetřování, data, detaily a rozhovory.

Řetězec hlášení: Jako hosting informujte své klienty, aby oni mohli upozornit své zákazníky správně.

Cena za chybu

Tresty nejsou jen varování:

• GDPR: Až 20 milionů EUR nebo 4 % globálního obratu
• CCPA: 7 500 USD za záměrné porušení
• Státní pokuty: Další sankce a povinné opravy
• Žaloby: Kolektivní soudy s vyrovnáními většími než pokuty
• Škoda na image: Ztráta klientů a důvěry

Viděli jsme hostingy v sporech měsíce. Dá se to předejít papíry a rychlostí.

Jak si sestavit plán na incident

Začněte hned:

1. Zjistěte data: Co máte, kde ukládáte, kdo přistupuje?
2. Prozkoumejte zákony: Které země se týkají, jaké lhůty?
3. Napište manuál: Postup od objevu po hlášení, s rolemi.
4. Zabezpečte techniku: Šifrování, segmentace, kontroly přístupu, monitoring.
5. Zapisujte vše: Kultura dokumentace rozhodnutí.
6. Školte lidi: Co je útok, jak eskalovat, kdy volat právníky.
7. Testujte ročně: Simulace pod tlakem.

V NameOcean má Vibe Hosting vestavěný monitoring a postupy, co zkracují čas od detekce po opravu. Ale bez pevného právního základu to nestačí.

Závěr

Prolomený server se dá přežít. Nebezpečí je prolomený server plus špatná reakce. Úřady vědí, že útoky přicházejí. Chtějí důkaz rychlého objevu, hlášení a opravy.

Připravte se předem. Dokumentujte. Zjistěte povinnosti. Čekání na útok je riskantní.

Máte otázky k bezpečnosti v hostingu? Náš tým v NameOcean pomáhá hostingovým firmám a webům s dodržováním standardů a přípravou na incidenty. Napište nám na konzultaci.