Šį mėnesį įsigaliosiantis ES Bendrasis duomenų apsaugos reglamentas (BDAR, angl. GDPR) tėra vienas etapas ilgoje asmens duomenų apsaugos kelionėje. Pasak saugumo ekspertų, daugiau iššūkių įmonėms kelia ne atitikimas naujiems asmens duomenų apsaugos reikalavimams, o nuolatinis duomenų apsaugos užtikrinimas besikeičiant darbo metodams ir įmonių kultūrai.
Augantis darbuotojų mobilumas – nuolatinės kelionės, dalyvavimas konferencijose ir renginiuose, darbas namuose ar kitoje vietoje – yra tikras galvosopis įmonių saugumo specialistams. Kaip užtikrinti nutolusių kompiuterių, duomenų ir prieigos prie jautrių sistemų ar informacijos saugumą?
Darbui naudojamų asmeninių įrenginių skaičius taip pat nuolat auga. Iki šiol daugelyje įmonių populiarią tradiciją BYOD (Bring Your Own Device – liet. atsinešk savo įrenginį) pamažu keičia CYOD (Choose Your Own Device – liet. pasirink savo įrenginį), kurios esmė – įmonės aiškiai apibrėžia, kokiais asmeniniais įrenginiais ir verslo įrankiais gali naudotis darbuotojai. Tai – vienas iš būdų valdyti įmonės duomenų saugumą, tačiau tą įgyvendina tik vienetai.
„Labai dažnai įmonių vadovai ir IT administratoriai net nežino, kokius asmeninius įrenginius darbuotojai naudoja darbo reikalams, neįvertina rizikų, kai prie jautrių sistemų ar duomenų jungiamasi iš namų, viešbučio ar tiesiog naudojantis viešuoju internetu. Asmeniniai darbuotojų įrenginiai dažnai net neįtraukiami į įmonės saugumo politiką“, – komentuoja saugumo sprendimų platintojos „Baltimax“ pardavimų vadovas Deividas Pelenis.
Praėjusiais metais „Dimensional Research“ atlikta apklausa parodė, kad 20 proc. įmonių mobiliųjų įrenginių yra susidūrę su kibernetinėmis atakomis, 24 proc. nežino, ar įrenginiams nebuvo kilęs pavojus. Susirūpinimą kelia tai, kad 64 proc. respondentų abejoja, ar jų įmonės yra pajėgios apsisaugoti nuo mobiliesiems įrenginiams kylančių kibernetinių grėsmių.
Kad šių grėsmių daugėja, tyrime dalyvavusios įmonės net neslepia: 94 proc. respondentų tiki, kad mobilios atakos neišvengiamai augs, o 79 proc. pripažįsta, kad darosi vis sunkiau užtikrinti mobiliųjų įrenginių saugumą.
Pasak ESET Lietuva IT inžinieriaus Ramūno Liuberto, situacija panaši ir Lietuvoje. „Dideli kiekiai verslo ir asmens duomenų kasdien fiziškai keliauja kartu su įvairiais įrenginiais – kompiuteriais ir mobiliaisiais telefonais –, kuriuos darbuotojai nešasi namo, į susitikimus ir kitas vietas. Praradus tokį įrenginį, kyla pavojus ir jame buvusiems duomenims. Net jei kuriamos atsarginės kopijos ir įmonė tarsi nieko nepraranda, įrenginyje likę duomenys gali būti pažeisti, panaudoti blogiems tikslams. Scenarijų gali būti begalė, o jų baigtis – nuo finansinių nemalonumų iki sušlubavusios reputacijos“, – teigia R. Liubertas.
Įsigaliojus BDAR tokie asmens duomenų saugumo pažeidimai, kai įmonė neatsakingai tvarko duomenis ir neužtikrina jų vientisumo bei saugumo, gali įmonėms prišaukti baudas iki 4 proc. metinės apyvartos arba 20 milijonų eurų (atsižvelgiant, kuri suma yra didesnė).
„Ruoštis BDAR sukrutusios įmonės po išorinių ir vidinių auditų dažnai pamato, kad joms be trūkstamų asmens duomenų valdymo tvarkų, dar reikėtų susitvarkyti šifravimo bei mobiliųjų telefonų centralizuotą valdymą. Siekiant užtikrinti visapusišką asmens duomenų apsaugą vis labiau mobilesniu tampančiame versle, tai yra vienos iš svarbiausių priemonių“, – dalinasi D. Pelenis.
Pasak saugumo ekspertų, draudimas naudotis asmeniniais įrenginiais darbui nėra išeitis, juo labiau blokuoti prieigą prie verslo programų ar paskyrų. Rekomenduojama į įmonės saugumo politiką įtraukti mobiliųjų ir kitų nuolat „keliaujančių“ įrenginių, kaip nešiojamųjų kompiuterių, apsaugos strategiją, kuri leistų kontroliuoti, stebėti ir saugiai valdyti įmonės duomenis, atsiduriančius už jos tinklų ribų.
Kaip vieną iš BDAR organizacijoms rekomenduojamų techninių priemonių saugumo ekspertai nurodo duomenų ir įrenginių šifravimą: tiek mobiliųjų telefonų, tiek išorinių laikmenų ir kompiuterių. Mobilieji įrenginiai turėtų būti valdomi centralizuotai, kad prireikus įmonės galėtų blokuoti jų prieigą prie verslo paskyrų, nuotoliniu būdu šalinti svarbius duomenis ir atlikti kitus veiksmus.
Itin svarbūs ir darbuotojų saugumo mokymai. Remiantis praėjusių metų „Ponemon“ instituto tyrimu, 28 proc. duomenų saugumo pažeidimų įvyksta dėl žmogiškojo faktoriaus.