BDAR realybė: sutaupius kelis šimtus, prarasti galima milijonus

Bendrasis duomenų apsaugos reglamentas (BDAR) įsigaliojo prieš ketverius metus, tačiau tarptautiniai tyrimai rodo, kad 95 proc. verslų tebėra prastai pasiruošę ir vis dar naudojasi rankiniais įrankiais BDAR taisyklėms įgyvendinti. Ekspertai Lietuvoje taip pat patvirtina, kad neretai įmonėse BDAR įgyvendinimas yra formalus, neatitinkantis realybės. Kuo iš tiesų turėtų pasirūpinti verslai ir kokia yra duomenų apsaugos reikalavimų kaina, pasakoja Baltic Amadeus Informacijos saugumo architektas Tomas Stamulis.
Pasak T. Stamulio pirmaisiais BDAR įsigaliojimo metais užklausų sulaukta labai daug, tačiau dažnai pasitaikydavo atvejų, kai įmonės prašydavo tik šabloninių formų, kurias galėtų pasitvirtinti ir tuo užbaigti BDAR reikalavimų įgyvendinimo klausimą. Su kiekvienais metais klientų supratimas augo, todėl daugiau dėmesio įmonių veikloje pradėta skirti paslaugų apimčiai, patirčiai ir kokybei.
Dabar, praėjus ketveriems metams nuo BDAR įsigaliojimo, verslo klientai į Baltic Amadeus dažniausiai kreipiasi prašydami padėti įsivertinti esamą situaciją įmonėje ar konkrečioje informacinėje sistemoje, pateikti rekomendacijas asmens duomenų saugumo gerinimui, kai kuriais atvejais ir padėti jas įgyvendinti.
Dažniausiai atliekame asmens duomenų saugumo vertinimą, saugumo dokumentacijos parengimą ar vykdome informacijos saugumo mokymus. Jei anksčiau dažniau reikėdavo vertinti visos įmonės situaciją, tai dabar dažnai atliekame naujų informacinių sistemų, atliekamų IT pokyčių saugumo vertinimą, įsilaužimo testavimą. Jei klientai nėra tikri, ar turi teisę tvarkyti asmens duomenis, prašome teisininkų konsultacijų taip padedame išspręsti problemą visapusiškai teigia Baltic Amadeus ekspertas.
Kiekvienas atvejis individualus
Klientų poreikiai dažnai būna labai skirtingi ir priklauso nuo daugelio faktorių: įmonės turimų resursų, asmens duomenų apsaugos situacijos, turimo personalo kompetencijos ir kitų. Į visa tai atsižvelgus sprendžiama, kokios organizacinės ir techninės saugumo priemonės užtikrins geriausią asmens duomenų saugumą vienur gali užtekti paprastesnių priemonių, kitur gali prireikti sudėtingesnių kompleksinių sprendimų.
T. Stamulio teigimu, jei rankinės saugumo priemonės geba užtikrinti pakankamą saugumo lygį, tikrai nėra būtina investuoti į automatizuotas sistemas, kurių galimybių įmonė galbūt pilnai neišnaudos.
Visos problemos yra išsprendžiamos, tik vienoms reikia daugiau laiko, finansinių ir žmogiškųjų resursų, kitoms mažiau. BDAR įsigaliojimas buvo nustatytas 24 mėn. nuo jo patvirtinimo tam, kad įmonės spėtų pasirengti įgyvendinimui. Dėl tos pačios priežasties ir Valstybinė duomenų apsaugos inspekcija vis dar dažniau įspėja, nei baudžia identifikavusi pažeidimą, sako T. Stamulis.
Išlaidos ar investicija?
Asmens duomenų apsaugos reglamentavimas Lietuvoje yra gerokai senesnis nei BDAR, tačiau iki šio teisės akto įsigaliojimo duomenų apsauga įmonėms rūpėjo mažai. Vienas iš mažą susidomėjimą lėmusių veiksnių buvo tai, kad grėsusi bauda už duomenų apsaugos pažeidimus siekė vos kelis šimtus eurų, o nuolatinės investicijos į saugumą didelės.
Įsigaliojus BDAR, maksimalus baudos dydis padidėjo iki 24 proc. ankstesnių finansinių metų bendros metinės pasaulinės apyvartos, arba iki 1020 mln. Eur. Ir jei 2018 m. daug verslininkų buvo išsigandę, kiek laiko, žmogiškųjų ir finansinių resursų reikės, norint įgyvendinti BDAR reikalavimus, dabar suvokimas keičiasi, nes vis realiau vertinamas neigiamas poveikis atsiradęs dėl prastovų, konkurencinio ar technologinio pranašumo praradimo, kai pavagiami ar sunaikinami svarbūs duomenys, ar sutrikdoma sistemų veikla.
Jei į asmens duomenų apsaugą niekada neinvestuoji arba investuoji nepakankamai, tai turi būti pasiruošęs susimokėti. Be to, anksčiau ar vėliau ateis diena, kai teks investuoti į saugumą už visą laikotarpį, ne tik tam, kad užtikrintum duomenų apsaugą, bet ir atsparumą kibernetinėms atakoms ar verslo tęstinumą. Tai priemonė, kuri reikalauja lėšų ir neatneša tiesioginio pelno, tačiau ilgainiui gali apsaugoti nuo daug didesnių išlaidų. Pavyzdžiui, nesilaikant reglamento ir priklausomai nuo padarytos žalos, yra taikytinos milžiniškos baudos atkreipia dėmesį T. Stamulis.
Tačiau ne tik baudos skatina įmones susitvarkyti informacijos saugumą, bet ir jų partneriai bei klientai. Pasaulinės ir didžiosios Lietuvos kompanijos jau seniai kelia aukštus saugumo reikalavimus, todėl, norint su jomis dirbti, privalu investuoti į saugumą, antraip gali netekti partnerių. Tuo tarpu jei visuomenę pasiektų informacija apie tai, kad įmonės sistemos skylėtos ir iš jų gali nutekėti duomenys, nuo jos gali nusisukti ir didelė dalis klientų, kuriems jų asmens duomenų saugumas išties rūpi.
Pasirinkite jus dominančias įmones ir temas asmeniniu naujienlaiškiu informuosime iškart, kai jos bus minimos Verslo žiniose, Sodros, Registrų centro ir kt. šaltiniuose.
Prisijungti
Prisijungti
Prisijungti
Prisijungti