Rugsėjį pasaulį sudrebinusi kibernetinė ataka prieš didžiulę JAV bendrovę „Equifax“ dar kartą atkreipė įmonių dėmesį į asmens duomenų apsaugą. Norėdamos išvengti kibernetinių grėsmių ir kitąmet išaugsiančių baudų už pažeidimus, Lietuvos bendrovės privalo imtis konkrečių veiksmų jau dabar, primena duomenų saugumo specialistai.
„Equifax“ savo sistemoje kaupia individualių asmenų ir įmonių kredito istoriją. Kibernetinės atakos metu bendrovė prarado 145 mln. žmonių asmeninius duomenis: socialinio draudimo numerius, gimimo datas, adresus, kita. Bendrovė sulaukė aršios kritikos iš klientų, reguliavimo institucijų ir įstatymų leidėjų dėl to, kaip buvo elgiamasi po atakos, kuri įvyko tarp gegužės ir liepos, tačiau nebuvo atskleista iki rugsėjo pradžios. Nuo tada „Equifax“ atsisveikino su savo vadovu, vyriausiuoju informacijos vadovu ir vyriausiuoju saugumo vadovu.
„Tai yra istorinis įvykis kibernetinio saugumo pasaulyje. Verslas sujudo ir pagaliau IT departamentų vadovams pavyksta gauti reikalingą biudžetą bei priemones duomenų saugumo užtikrinimui. Niekas nenori, kad kažkas panašaus vėl pasikartotų“, – pranešime spaudai komentuoja Martinas Petrovas, tarptautinės duomenų saugumo sprendimų bendrovės „Advantio“ bendraįkūrėjas ir vykdantysis direktorius.
Lapkritį jis lankysis Vilniuje, tarptautinėje Master Class HR konferencijoje, kurioje skaitys pranešimą apie kibernetinių atakų grėsmes verslui. Pasak saugumo specialisto, „Equifax“ atakos priežastis – darbuotojų aplaidumas. Dar kovo mėnesį bendrovė buvo įspėta, kad jos sistemose buvo saugumo spragų, tačiau centrinės būstinės išplatinta žinutė padaliniams apie reikalingus atnaujinimus buvo ignoruota viename ar keliuose padaliniuose. Užsilikusios sistemų spragos nusikaltėliams atvėrė kelią į klientų duomenų bazę.
„Organizacijos pernelyg dažnai ignoruoja IT sistemų silpnąsias vietas, kurias galima lengvai sutvarkyti tiesiog įdiegiant gamintojų sukurtas naujas programų versijas“, – atkreipia dėmesį M. Petrovas. Jis pataria neignoruoti egzistuojančių problemų ir jas spręsti, o neturint saugumo specialistų įmonės viduje – kreiptis į išorės ekspertus.
Augs atsakomybė ir baudos
Lietuvos įmonėms duomenų saugumo klausimas aktualus ne tik dėl dažnėjančių kibernetinių atakų, bet ir kitąmet įsigaliosiančio ES Bendrojo duomenų apsaugos reglamento (BDAR), primena Tomas Ivanauskas, advokatų kontoros „Vilgerts“ partneris.
„Kitų metų gegužę mūsų šalyje ir visoje ES įsigaliosiantis naujasis reglamentas įmonėms numato gerokai daugiau pareigų ir prievolių, kurios susijusios su kaupiamų asmens duomenų tvarkymu, apdorojimu ir panaudojimu, nei dabar. Visuose padaliniuose turės būti aiškiai sudėlioti procesai, kaip apsaugoti duomenis, aiškiai apibrėžtos darbuotojų funkcijos ir duomenų panaudojimo galimybės. Tai pat numatoma ir tai, kad turės būti reglamentuoti santykiai su trečiosiomis šalimis ir kaip asmenų duomenys valdomi tarp jų“, – sako T. Ivanauskas. Taip pat didės atsakomybė už žmogaus duomenų praradimą.
Pagal naująjį reglamentą, baudos galės siekti iki 20 milijonų eurų, arba 4 proc. apyvartos. Pasak „Vilgerts“ advokato, naujasis reglamentas aktualus visoms įmonėms kurios kaupia asmens duomenis, nuo mažos kelionių agentūros iki finansinių įstaigų: „Nuo 2018 metų gegužės 25 dienos visiems vienodai įsigalios nauji reikalavimai nepriklausomai nuo to, kokius duomenų saugumo procesus jos šiuo metu turi. Jei įmonės bus nepasiruošę laiku, neturės tam tikrų procedūrų, kiekvienas pažeidimas kels baudų riziką.“
Ragina imtis veiksmų
Įmonėms, kurios dar nepradėjo ruoštis naujajam reglamentui, „Vilgerts“ advokatas pataria nedelsti ir konkrečių veiksmų imtis jau dabar. „Pirmiausia reikia labai aiškiai suvokti, kokie duomenys yra kaupiami įmonėje, kokias kategorijas jie atitinka ir kokios jų apimtys. Tada svarbu įsivertinti duomenų tekėjimo procesus: kaip duomenys gaunami, kur jie saugomi, kokioms trečiosioms šalims jie perduodami. Taip pat – ar yra gauti visi duomenų naudojimo sutikimai iš asmenų. Jei duomenys perduodami trečiosioms šalims, reikia įsitikinti, kad duomenys yra saugūs. Taip pat reikia įsivertinti, ar reikia paskirti duomenų apsaugos pareigūną – tam tikrais atvejais to reikalauja naujasis reglamentas“, – pataria advokatas.
Atlikus pirminę analizę įmonės viduje jis pataria kreiptis į teisininkus ir IT paslaugų teikėjus, kurie gali suteikti visapusišką auditą bei padėti įgyvendinti visas priemones, kurios užtikrins asmens duomenų saugumą bei jų tvarkymą pagal ES Bendrojo duomenų apsaugos reglamento nuostatas. Kad galėtų klientams pasiūlyti duomenų saugumo kompleksines paslaugas iš vienų rankų, advokatų kontora „Vilgerts“ pasirašė bendradarbiavimo sutartį su IT sprendimų įmone „Datakom“.