BDAR „šalutinis efektas“ – daugiau kibernetinio saugumo

Publikuota: 2018-02-26
Asmeninio archyvo nuotr.
Asmeninio archyvo nuotr.
„Telia Lietuva“ vyriausiasis juriskonsultas

Iki gegužės 25 d. lieka vos 3 mėnesiai. Tada privalėsime taikyti Bendrojo duomenų apsaugos reglamento (BDAR, angl. General Data Protection Regulation) reikalavimus. Vis garsiau diskutuojama, kad tai verslui nemažai kainuos, ir kad nemaža dalis įmonių ir institucijų nespės laiku pasiruošti reglamento įgyvendinimui.

Nuogąstaujama, kad keliami reikalavimai daugeliui įmonių, ne tik Lietuvoje, bus per didelė našta, tačiau nepaisant šių diskusijų yra ir kita medalio pusė – laukiantys pokyčiai gali atnešti teigiamos įtakos kibernetinio saugumo srityje.

Asmens duomenų apsaugos reformos tikslas – nustatyti ir įgyvendinti vienodus asmens duomenų apsaugos reikalavimus visoje ES. Nuo šių metų gegužės 25 d. naujasis reglamentas turės būti taikomas kaip privalomas tiesioginio taikymo teisės aktas visoms ES narėms. Be to, jis turės įtakos ir šalims, kurios nėra ES narės, bet tvarko europiečių duomenis, pavyzdžiui, JAV.

Motyvavimo priemonė – baudos

Tinkamai laikytis asmens duomenų tvarkymo reikalavimų stipriausiai motyvuos numatyta didelė atsakomybė už reglamento reikalavimų nevykdymą – baudos gali siekti iki 20 mln. eurų arba 4% bendros metinės įmonės apyvartos.

Apie tai, kaip asmens duomenų apsaugos reforma paveiks kibernetinį saugumą, buvo plačiai diskutuota neseniai Tel Avive (Izraelyje) vykusioje tarptautinėje kibernetinio saugumo konferencijoje „Cybertech“. Renginyje kalbėję bendrovės „Symantec“ atstovai pabrėžė, kad BDAR gali prisidėti prie verslo ir valstybės institucijų atsparumo kibernetinėms atakoms. Nors įmonės jau pradeda suvokti ir atpažinti kylančias virtualias grėsmes, tačiau, kibernetinio saugumo ekspertų vertinimu, jis toli gražu nėra pakankamas.

Kibernetinis saugumas ir asmens duomenų apsauga nėra sinonimai, tačiau kibernetinės saugos principų ignoravimas gali lemti ir BDAR pažeidimus, o kartu ir dideles baudas. Tai patvirtina ir naujausi tyrimų duomenys – konsultacijų bendrovės „PwC“ skelbiamas 2018 m. Pasaulinės informacijos saugumo būklės tyrimas rodo, kad net 39% visų kibernetinių atakų nutaikytos į konfidencialią informaciją, vadinasi ir klientų, partnerių bei darbuotojų duomenis.

Kartais didelių kibernetinių incidentų priežastys atrodo juokingos, pavyzdžiui, metų metais nekeičiami ar labai paprasti slaptažodžiai, nepatikimi techniniai sprendimai, tačiau to pasekmės būna itin skausmingos. Be to, kibernetinės atakos vis dažniau ruošiamos itin skrupulingai – įmonės yra stebimos, analizuojami skirtingi jų parametrai, surenkama daug viešos informacijos, pasitelkiama socialinė inžinerija.

Teks peržiūrėti dokumentus

Todėl neramina faktas, kad daugelis įmonių ir įstaigų vis dar gyvena tikėjimu, kad yra saugios. To paties „PwC“ tyrimo, kuriame dalyvavo bemaž 10.000 verslininkų ir vadovų iš 122 valstybių, duomenimis, 44% bendrovių vis dar neturi visapusiškos savo veiklos kibernetinio saugumo strategijos. Dar tiek pat įmonių pripažįsta, kad neinvestuoja į savo darbuotojų IT saugumo kompetencijas. Tai kelia nuostabą ir tuo pačiu nerimą, nes kibernetinių nusikaltimų skaičius ir kasmet atnešami nuostoliai sparčiai auga.

Dažnai norime rasti „tabletę“, kurią išgėrę išspręstume visas savo problemas nedėdami jokių papildomų pastangų. Deja, nei asmens duomenų apsaugoje, nei kibernetiniame saugume nėra vieno stebuklingo recepto, kaip ir nėra vienos programinės įrangos arba sprendimo, kurį įsigijus iškart išspręstume visus asmens duomenų tvarkymo klausimus ir atitiktume BDAR reikalavimus.

Norėdamos atitikti BDAR reikalavimus, be patikimų technologinių priemonių diegimo organizacijos turi ir daugiau namų darbų – įvertinti dabartinę duomenų apsaugos situaciją, atlikti vidinius auditus ir išsigryninti tvarkomus asmens duomenis, jų tvarkymo poreikį, saugojimo terminus, naikinimo galimybę, galimus neatitikimus naujajam reglamentui, skirti atsakingus asmenis bei išteklius, sutvarkyti vidinius procesus bei tvarkas.

Panašūs veiksmai turėtų būti atliekami ir kibernetinio saugumo srityje, nes šiais laikais nebepateisinamu naivumu būtų laikomas tikėjimasis, kad kibernetinio saugumo incidentai įmonės nepalies vien dėl to, kad ji ar jos vadovai nemano esantys pakankamai svarbūs. Piktavaliai tokio neatsargumo tik ir laukai.

Todėl reikia tikėtis, kad asmens duomenų apsaugos reforma prisidės prie augančių Lietuvos verslo ir valstybės investicijų į kibernetinį saugumą. Didesnis dėmesys šiai sričiai tiesiogiai padės užtikrinti dar geresnę kiekvieno piliečio asmens duomenų apsaugą. Prisiminkime, kad bet kuri sistema yra stipri tiek, kiek yra stipri silpniausia jos grandis.

Paulius Pakutinskas yra „Telia Lietuva“ vyriausiasis juriskonsultas.

Autoriaus nuomonė nebūtinai sutampa su redakcijos pozicija.
Rašyti komentarą

Rašyti komentarą

Gauk nemokamą TECHNOLOGIJŲ savaitraštį į savo el.pašto dėžutę:

Pasirinkite Jus dominančius NEMOKAMUS savaitraščius:















Svarbiausios dienos naujienos trumpai:



 

Verslo žinių pasiūlymai

Šioje svetainėje naudojame slapukus (angl. „cookies“). Jie padeda atpažinti prisijungusius vartotojus, matuoti auditorijos dydį ir naršymo įpročius; taip mes galime keisti svetainę, kad ji būtų jums patogesnė.
Sutinku Plačiau