Iki Bendrojo duomenų apsaugos reglamento (BDAR, angl. GDPR) likus kiek daugiau, nei dviems mėnesiams, saugumo ekspertai pajuto augantį įmonių susidomėjimą tiek gerosiomis duomenų apsaugos praktikomis, tiek techninėmis priemonėmis. Pasak „Baltimax“ duomenų apsaugos sprendimų vadovo Augustino Daukšo, įmonėms pakanka atsakyti į kelis klausimus, kad įvertintų savo pasiruošimo būseną.
Saugumo grėsmės ne tik išorėje
Kadangi BDAR reglamentuoja asmens duomenų apsaugą, tereikia pažvelgti į visus procesus būtent pro šių duomenų prizmę: kur saugomi asmens duomenys, kas turi teisę prie jų prieiti, ar yra mobilių darbo vietų, turinčių prieigą prie asmens duomenų, per kokius procesus, el. laiškus ar sistemas keliauja šie duomenys, ar nėra kaupiami pertekliniai duomenys ir t. t.
„Dažnai nesusimąstoma, kad duomenų apsauga turi būti užtikrinama ne tik įmonės viduje, bet ir išorėje. Verta paklausti savęs, ką darysime praradę įrenginį, kuriame saugomi asmens duomenys ar paliktos prieigos prie duomenų šaltinių teisės. Taip pat, kokie įrenginiai jungiasi prie įmonės sistemų – ar tarp jų yra asmeninių darbuotojų kompiuterių ir telefonų, USB laikmenų. Dabar itin populiaru suteikti darbuotojams galimybę dirbti iš namų arba atsinešti savo įrenginius į biurą, vadinasi, duomenų apsaugos ribos turi būti plečiamos atsižvelgiant į visus šiuos faktorius“, – komentuoja A. Daukšas.
Svarbu atkreipti dėmesį ne tik į apsaugą nuo išorinių grėsmių, bet ir eliminuoti vidaus rizikas. Tarp pastarųjų dažniausiai minimas žmogiškasis faktorius – kai darbuotojai tyčia arba per neatsargumą savo elgesiu kelia grėsmę pavienių duomenų ar ištisų sistemų saugumui.
„Dažniausiai įmonės būna susitvarkiusios prieigos prie jautrių duomenų teises, tačiau neretai problemų kyla ne dėl pačios prieigos, o dėl darbuotojams leidžiamų perteklinių veiksmų: spausdinti, kopijuoti jautrią informaciją, ją siųsti el. paštu sau arba tretiesiems asmenims, kelti į debesis ar USB laikmenas ir pan. Tokių laisvių pagal duomenų saugos gerąsias praktikas neturėtų būti“, – pasakoja „Baltimax“ atstovas.
Kaip esmines duomenų apsaugos dedamąsias saugumo ekspertai įvardina darbo vietų ir tinklo apsaugos priemones, duomenų nutekėjimo prevencijos (DLP) sprendimus, duomenų šifravimą, atsargines duomenų kopijas bei naikinimą, taip pat – reguliarius IT ūkio auditus.
Vienas iš IT infrastruktūros audito privalumų – organizacijos naudojamos programinės įrangos legalumo prevencija, leidžianti išvengti grėsmių dėl darbuotojų diegiamų programų įmonės kompiuteriuose. Nelegali programinė įranga ne tik užtraukia baudžiamąją atsakomybę, bet ir kelia riziką įmonės tinklo saugumui, vadinasi, ir visiems saugomiems duomenims.
Atsakomybė už nelicencijuotą programinę įrangą
Pasak advokatų profesinės bendrijos „BalticLaw“ Pranckevičius, Valiulis ir partneriai atstovų, būtent reguliarūs auditai ir inventorizacija padeda identifikuoti įmonėse naudojamas nelicencijuotas kompiuterių programas, kurios gali būti diegiamos darbo kompiuteriuose dėl darbuotojų kaltės.
„Sprendžiant dėl atsakomybės už neteisėtų programų panaudojimą įmonės veikloje atsižvelgiama į faktines aplinkybes ir konkrečią situaciją. Jei įmonė įgyvendina visas teisines priemones ir visuose kompiuteriuose naudoja tik teisėtas programas, o tik viename ar keliuose jų randama nelicencijuota programa, atsakomybė gali gulti ir ant darbuotojo pečių“, – tvirtina advokato padėjėja Gintarė Butnoriūtė.
Vis dėlto, jei kompiuteryje yra sudiegta nelicencijuota programa, be kurios įmonės veikla nėra įmanoma, gali kilti įtarimų, kad neteisėtos programos įmonės veikloje buvo naudojamos su vadovo žinia. Tuo tarpu IT vadovui teisinė atsakomybė taikoma visais atvejais, kai nėra įrodymo, jog buvo duotas tiesioginis ar netiesioginis įmonės vadovo nurodymas diegti ir naudoti neteisėtas programas. Atsakomybė taikoma IT vadovui kaip asmeniui, kurio tiesioginės darbo funkcijos yra įmonės IT ūkio priežiūra.
Pasak teisininkų, įmonės turėtų sudaryti lokalius teisės aktus, kuriais paskiriami už įmonės IT ūkį atsakingi asmenys ir kuriuose draudžiamas neteisėtų programų diegimas bei naudojimas įmonės veikloje. Visi darbuotojai su šia tvarka turėtų būti supažindinami pasirašytinai. Antraip galima manyti, kad įmonės vadovybės politika yra nukreipta į autorių teisių pažeidimus ar nusikalstamų veikų darymą.
Daugiau „BalticLaw“ Pranckevičius, Valiulis ir partneriai atstovų pastebėjimų apie nelicencijuotos programinės įrangos naudojimą įmonėse:
Ne vienkartinė atitiktis, o procesas
„Svarbu suprasti, kad Bendrasis duomenų apsaugos reglamentas nėra vienkartinė atitiktis – įmonėms nepakanka atitikti reglamentą tik vieną dieną, t.y. gegužės 25 d. Naujomis asmens duomenų apsaugos rekomendacijomis reikia remtis jau dabar ir vadovautis visuose tolimesniuose veiklos procesuose“, – komentuoja A.Daukšas.
Organizacijų vadovams kyla neaiškumų ir dėl Bendrajame asmens duomenų reglamente minimo duomenų apsaugos pareigūno (DAP) – kai kurios įmonės šį reikalavimą supranta kaip visiškai naujo darbuotojo reikalaujančią poziciją įmonėje, kai realiai pakanka juo paskirti esamą IT administratorių ar IT skyriaus vadovą. Žinoma, jei šis darbuotojas sutinka su naujomis atsakomybėmis ir turi tinkamas kvalifikacijas.
Be to, duomenų apsaugos pareigūną privalo turėti tik valstybinės institucijos (išskyrus teismus, kai jie vykdo savo teismines funkcijas) ir organizacijos, kurių pagrindinė veikla yra duomenų tvarkymo operacijos, dėl kurių būtina reguliariai ir sistemingai dideliu mastu stebėti duomenų subjektus. Taip pat tos organizacijos, kurių pagrindinė veikla yra specialių kategorijų duomenų tvarkymas dideliu mastu arba asmens duomenų apie apkaltinamuosius nuosprendžius ir nusikalstamas veikas tvarkymas dideliu mastu.
Pasak saugumo ekspertų, vienas pagrindinių reikalavimų duomenų apsaugos pareigūnui yra jo savarankiškumas ir kvalifikacija: šis asmuo turi ne tik gerai žinoti saugumo reikalavimus, bet ir juos vykdyti nepriklausomai nuo vadovo nurodymų, autonomiškai vykdyti savo pareigybes dėl BDAR atitikties. Plačiau apie DAP gaires skelbia Valstybinė duomenų apsaugos inspekcija.