Žymus XVIII a. JAV veikėjas Bendžaminas Franklinas kartą pasakė: „Jei nesiseka ruoštis, jūs ruošiatės nesėkmei“ (angl. By failing to prepare, you are preparing to fail). Ši citata puikiai tinka kalbant bet kuria tema, susijusia su netrukus – jau gegužės 25 d. – įsigaliosiančiu ES Bendruoju duomenų apsaugos reglamentu (BDAR).
Nors apie asmens duomenų apsaugos teisės pokyčius kalbama jau dvejus metus, kai Europos Parlamentas pasirašė sutikimą dėl BDAR įsigaliojimo, atrodo, kad susidomėjimas naujais reikalavimais išaugo tik dabar. Kuo arčiau lemtingas terminas, tuo daugiau aiškumo ir… painiavos.
Pasak ESET Endpoint Encryption produkto vadovo David Tomlinson, analizavusio, kokį poveikį BDAR sukels mažam ir vidutiniam verslui, neišvengiamai artėjantys pokyčiai nėra aiškūs visoms organizacijoms. „Ši direktyva yra sunki našta mažam ir vidutinio dydžio verslui. Reikalavimų sąrašas yra ilgas, tad dalis organizacijų tiesiog užmerkė akis tikėdamosios, kad BDAR jų nepalies“, – komentuoja D. Tomlinson.
Tuo tarpu BDAR reglamentuoja, kad bet kuri organizacija Europos Sąjungoje ir už jos ribų, kuri renka ar kitu būdu valdo ES piliečių asmeninius duomenis, privalo atitikti šio reglamento nuostatas, antraip bus taikomos teisinės priemonės.
„Manau, kad BDAR reikalavimai įnešė sumaišties į nusistovėjusią organizacijų darbo rutiną – idealiu atveju verslas turėtų paskirti atsakingus asmenis, kurie rūpinasi viso verslo vieneto atitikimu naujiems reikalavimams, rūpinasi dokumentacija, procesų ir procedūrų inicijavimu, tačiau smulkios įmonės dažnai verčiasi su turimais žmogiškaisiais ištekliais, tad esami darbuotojai tiesiog apkraunami naujomis atsakomybėmis ir užduotimis. Vis dėlto esminis BDAR baubas yra ženklios baudos, kurias būtų sunku pakelti tiek smulkiam, tiek vidutiniam verslui“, – teigia ESET Lietuva IT inžinierius Ramūnas Liubertas.
Balandį skelbti tyrimų agentūros IDC apklausos rezultatai parodė, kad tik 29 proc. smulkių ir 41 proc. vidutinių Europos įmonių ėmėsi pasiruošimo BDAR rekomendacijoms. Ne Europoje veikiančių įmonių pasiruošimo lygis kur kas mažesnis: tik 9 proc. smulkių ir 20 proc. vidutinių įmonių ėmėsi reikalingų veiksmų.
Pasak ESET saugumo ekspertų, reali situacija yra kur kas geresnė. „Dauguma organizacijų gali užtikrinti atitiktį BDAR reikalavimams dar iki gegužės 25 d. Jei jos iki šiol tvarkingai saugojo asmens duomenis ir turėjo stiprias saugumo politikas, pasiruošimas naujoms duomenų apsaugos taisyklėms buvo kur kas lengvesnis, vykdomi pokyčiai neturėjo reikšmingos įtakos jų struktūrai ar verslo procesams“, – tvirtina D. Tomlinson.
Esminis BDAR vaidmuo yra užtikrinti geresnes duomenų apsaugos teises visiems europiečiams. Įgyvendinus rekomenduojamas organizacines ir technines priemones organizacijos tuo pačiu sustiprina savo saugumo politiką.
„Išties tai yra puiki proga peržiūrėti savo saugumo politiką, sustiprinti duomenų apsaugą, užtikrinti sklandžias procedūras ir procesus. Ne tik atsiranda didesnė atsakomybė, bet ir mažinamos saugumo rizikos: BDAR aiškiai nurodo, kad įmonės turi imtis visų reikalingų priemonių, kad užkirstų kelią galimam duomenų nutekėjimui ar jų pažeidimui. Įvykus kibernetiniam incidentui įmonės privalės per 72 valandas apie tai pranešti Valstybinei duomenų apsaugos inspekcijai, dėl to turėtų sumažėti atvejų, kai organizacijos nuslepia patirtas atakas, dėl kurių nukenčia fiziniai asmenys“, – komentuoja R. Liubertas.
Tuo tarpu saugumo rizikos, su kuriomis susiduria organizacijos, gali skirtis: pasak saugumo ekspertų, didelės įmonės dažniau patiria kibernetines atakas, o smulkus ir vidutinis verslas kur kas dažniau patiria nemalonumų dėl darbuotojų aplaidumo ar tyčinių veiksmų. Todėl be rekomenduojamų techninių priemonių, kaip duomenų šifravimo ar prieigos kontrolės sprendimai, patariama edukuoti darbuotojus apie kibernetinį saugumą.