Naše etické zásady a způsob, jakým střežíme naše hodnoty

Citadelo působí již více než 15 let v oblasti bezpečnosti, pro kterou je důvěra naprosto klíčová. Abychom byli pro naše klienty důvěryhodným partnerem, "upsali" jsme se vlastním, velmi přísným etickým normám. A za žádných okolností z nich neustupujeme.

Přestože se etický hacking jako odvětví neustále vyvíjí, naše zásady zůstávají neměnné. Díky nim se nám daří udržovat vysoké renomé našich služeb i společnosti jako takové.

Nezapomínejme však, že jednou z největších slabin kybernetické bezpečnosti je lidský faktor. A i sebelepší soubor pravidel a procesů se "rozbije" na konkrétních lidech, kteří ho uplatňují. V průběhu let jsme však v Citadelo zavedli a zdokonalili procesy, které dokáží lidským selháním co nejvíce předcházet.

### Podívejme se tedy, jak zaručujeme dodržování white hat etických zásad nejen v rámci našeho interního týmu, ale také u našich partnerů a externích dodavatelů.

Zavedli jsme těchto pět postupů:

1. Prověrky

Na začátku spolupráce podrobujeme nové zaměstnance, partnery a externí konzultanty přísným prověrkám. Vykonává je pro nás specializovaná externí firma, která zaručuje objektivitu a nezávislost.

2. Interní školení v oblasti etiky

Provádíme interní školení a semináře o etice. S kolegy otevřeně diskutujeme o hraničních situacích, ale stejně otevřeně se vyjadřujeme i k situacím, které považujeme za porušení našich etických norem. Projekty pravidelně hodnotíme také z etického hlediska. Neustálé vzdělávání a diskuse o etice naší práce považujeme za důležitou věc, která odlišuje white hat hacking od black hat hackingu.

3. Právní rámec

Se všemi partnery, dodavateli a zaměstnanci podepisujeme dohody o mlčenlivosti (NDA), abychom zajistili, že všechna data zůstanou důvěrná. Tyto smlouvy pravidelně revidujeme, aby odrážely naše aktuální etické normy a požadavky. Zavádíme také systém řízení bezpečnosti informací podle normy ISO 27002.

4. Protokolování

O našich penetračních testech uchováváme záznamy (protokoly), a to především za účelem sledování historie a poskytnutí technických důkazů. Z bezpečnostních důvodů však tyto protokoly archivujeme šifrovaně a pouze po omezenou dobu.

5. Program odpovědného zveřejňování

Náš program odpovědného zveřejňování informací nás zavazuje k transparentnosti nejen vůči našim klientům. Třetí strany informujeme také v případě, že zjistíme zranitelnost jejich systémů, i když s nimi nemáme smluvní vztah. K tomu máme podrobné směrnice. Ale hlavně se nezapojujeme do ničeho, co by mohlo někomu ublížit.

### Co se stane, pokud některý z našich dodavatelů, zaměstnanců nebo externích partnerů nedodržuje naše standardy?

Přestože svoboda našich zaměstnanců při plnění jejich pracovních úkolů je jednou z našich základních hodnot, velmi přísně dbáme na etiku našeho jednání a netolerujeme neetické chování.

Pokud máme podezření, že náš partner, dodavatel nebo zaměstnanec nedodržuje naše standardy, okamžitě situaci prošetříme a posoudíme. Pokud se potvrdí, že naše zásady skutečně byly porušeny, okamžitě smluvní vztah ukončujeme.

V případě zvlášť závažného pochybení samozřejmě zvážíme i právní kroky. Skutečnost, že jsme nikdy nemuseli podniknout žádné právní kroky proti zaměstnanci nebo externímu dodavateli, považujeme za potvrzení toho, že naše prověřovací a bezpečnostní procesy fungují opravdu dobře.

V loňském roce jsme však měli případ, kdy jsme museli ukončit spolupráci s externím konzultantem. Důvodem bylo, že se v letech 2018 až 2019 dopustil neoprávněného průniku do informačního systému. Udělal to bez našeho vědomí, ve svém volném čase a s použitím vlastního hardwaru. A přestože se jeho jednání netýkalo žádného z našich projektů ani klientů, byl takový neoprávněný průnik hrubým porušením našich etických standardů. Jakmile jsme se to dozvěděli, vypověděli jsme konzultantovi smlouvu.

### Závěrem

Dnešní doba plná nástrah nám nedovoluje polevit v ostražitosti. Nikdo není stoprocentně neomylný a může dojít k chybám. Důležité však je, jak na ně reagujeme.

Oblast kybernetické bezpečnosti je natolik citlivá, že vyžaduje stanovení osvědčených postupů, přísné dodržování zásad a jejich transparentní komunikaci. Naše zásady a postupy zůstávají pevné, zároveň jsme však schopni je uplatňovat i v kontextu neustále se měnícího prostředí etického hackingu. Jen tak je můžeme zaručit vždy a všude. Jsme proaktivní a pravidelně vyhodnocujeme a zlepšujeme, jak věci děláme. Díky tomu stojíme my i naši klienti vždy na správné straně.