Lietuviškų BDAR incidentų pamokos: duomenys nuteka tyliai, baudos ateina su trenksmu

Šiandien duomenys yra ne tik vertingiausia valiuta, bet ir griežtą teisinę apsaugą turintis objektas, kurio pažeidimai gali sukelti rimtų pasekmių. Intelektinė nuosavybė, finansinių paskyrų informacija, pacientų įrašai ar klientų vardai – visa tai turi būti apsaugota nuo vagystės ar nutekėjimo, nuo vidinių ir išorės grėsmių, ir visai nesvarbu, tyčinių ar ne. Kaip tą padaryti?

Jau fiksuoti BDAR pažeidimai Lietuvoje aiškiai atskleidė vieną tendenciją: duomenų apsauga yra aktuali visoms organizacijoms, nepriklausomai nuo jų dydžio, sektoriaus ar technologinės brandos. Incidentai, kuriuose nutekėjo ar netinkamai buvo tvarkomi duomenys, vyko tiek privačiame, tiek viešajame sektoriuje, o jų pasekmės – nuo finansinių (šimtus tūkstančių, net milijonus siekiančios baudos) iki reputacinių smūgių.

Rekordinė – 2,385 mln. eurų – BDAR bauda Lietuvoje 2024 m. buvo skirta UAB „Vinted“. Pažeidimai buvo susiję su platformos vartotojų duomenų tvarkymo procesais, teisių įgyvendinimu ir rizikų valdymu. Šis atvejis parodė, kad net technologinės bendrovės, turinčios dideles kibernetinio saugumo komandas, daro klaidas, ir tos klaidos kainuoja brangiai.

Prieš kelis metus nutikęs „CityBee“ incidentas iki šiol lieka vienu plačiausiai nuskambėjusių BDAR pažeidimų šalyje. Nutekėjo daugiau kaip 110 tūkst. klientų duomenys – vardai, kontaktinė informacija ir automobilių duomenys. Įmonei skirta 110 tūkst. eurų bauda, tačiau kur kas didesnė buvo reputacinė žala.

Valstybinė duomenų apsaugos inspekcija (VDAI) pažeidimus fiksavo ir viešajame sektoriuje. Vienur įstaigų darbuotojai, neturėdami jokio teisinio pagrindo, tikrino fizinių asmenų duomenis informacinėse sistemose, kitur nustatyta, kad nebuvo imtasi tinkamų techninių ir organizacinių priemonių, saugančių konfidencialią informaciją nuo nutekėjimo.

Tai – tik keletas pavyzdžių, į kuriuos derėtų atkreipti dėmesį visoms organizacijoms Lietuvoje. Jie bendrovėms suteikė kelias vertingas pamokas: rizika – nebūtinai tik išorinės atakos ir ne tik duomenų nutekėjimas iš organizacijos. Netinkamas prieigos valdymas, vidaus darbuotojų smalsumas ar procesų spragos taip pat yra pažeidimai.

Nuo pažeidimų neapsaugotos net ir brandžios organizacijos: visi gali suklysti dokumentuodami procesus, tvarkydami vartotojų teises ar valdydami duomenų srautus.

Be to, klaidinga manyti, kad tokie duomenys kaip vardas, el. paštas nėra „kritiškai jautrūs“. BDAR prasme tai – pilnai saugotini asmens duomenys, kurių praradimas laikomas rimtu pažeidimu.

„Įvykę incidentai atskleidžia esminį dalyką: BDAR taikomas praktiškai visoms organizacijoms, net jei jos tvarko tik bazinius klientų ar darbuotojų duomenis. BDAR prasme šie duomenys yra jautrūs. O kibernetinio saugumo įstatymas (KSĮ), per kurį įgyvendinama ES TIS2 direktyva, dar papildomai sustiprina reikalavimus, įpareigodamas organizacijas turėti technines ir organizacines priemones duomenų apsaugai ir incidentų valdymui“, – tikina Vaidas Knyzas, bendrovės „Santa Monica Networks“ kibernetinio saugumo sprendimų pardavimų vadovas.

Anot jo, šiandien svarbiausias klausimas jau nėra: „Ar mums taikomas BDAR?“

Derėtų savęs paklausti: „Ar mes galime įrodyti, kad kontroliuojame duomenis?“

Kaip užtikrinti BDAR ir KSĮ atitiktį?

Didžioji problema yra ta, kad dauguma organizacijų nežino, kur yra jų turimi duomenys, kokie jie ir kur jie nukeliauja, teigia Vytautas Kliorė, kibernetinio saugumo įrankius kuriančios pasaulinės bendrovės „Fortinet“ pardavimų vadovas Baltijos šalims.

Vytautas Kliorė, kibernetinio saugumo įrankius kuriančios pasaulinės bendrovės „Fortinet“ pardavimų vadovas Baltijos šalims.

Jis pastebi: Lietuvos verslų realybė yra nedžiuginanti. Net jei įmonė turi vidinį duomenų apsaugos tvarkos aprašą, realiai ji nemato, kur ir kokie duomenys yra laikomi, bei kur jie keliauja.

Ekspertas išskiria dažniausiai pasitaikančias rizikas arba standartines situacijas, kuomet organizacijoms kyla grėsmės dėl duomenų apsaugos. Tai:

El. laiškai su klientų duomenimis, kurie išsiunčiami ne tiems gavėjams, kuriems jie skirti.
Failai, keliaujantys per asmeninius el. paštus ar failų dalinimosi platformos (pavyzdžiui, „WeTransfer“).
Duomenys, kurie netyčia nutekinami naudojantis ChatGPT, GROK ar kitomis AI platformomis.
Darbuotojai, išsinešantys dokumentus ar kitaip perkopijuojantys duomenų sąrašus už organizacijos ribų (tyčia arba netyčia)
Egzistuojanti perteklinė prieiga prie jautrių duomenų rinkinių, kai juos pasiekti gali daugiau žmonių nei būtina.
Organizacijoje neįdiegtas centralizuotas incidentų fiksavimas ir nerenkami incidentą įrodantys įkalčiai.

„Šiuolaikiniai duomenų kontrolės reikalavimai jau nebegali būti įgyvendinti vien procesais ar instrukcijomis. Reikalinga technologija, kuri aptiktų, suklasifikuotų bei dokumentuotų visus riziką keliančius duomenų srautus, bei nuolat stebėtų, edukuotų vartotoją, o prireikus blokuotų jo prieigą. Tokių uždavinių įgyvendinimui yra naudojami duomenų nutekėjimo sprendimai (angl. Data Loss Prevention (DLP)). Šie sprendimai leidžia užkirsti kelią netyčiniams nutekėjimams, per plačiai suteiktai prieigai, klaidingam failų siuntimui arba sąmoningam informacijos išnešimui už organizacijos ribų“, – sako V. Kliorė.

Šiuolaikiniai DLP sprendimai, organizacijoms yra prieinami kaip SaaS paslauga. Tai reiškia, kad jie greitai įdiegiami, turi iš anksto paruoštus BDAR duomenų šablonus, centralizuotai kuriamas politikas ir suteikia vienodo lygio apsaugą tiek el. pašte, tiek internete, tiek galiniuose įrenginiuose ir debesijoje. O svarbiausia DLP sprendimų savybė, kuri bendrovėms ypač aktuali BDAR kontekste – tai, kad jie renka reikalingus įrodymus ir fiksuoja detalius incidentų įrašus.

Sumažinti riziką išvengiant sudėtingų diegimo projektų

Vienas iš naujos kartos duomenų apsaugos sprendimų, kuris jau realiai naudojamas Lietuvoje, yra „FortiDLP“. Jo dėka organizacijos iš karto įgyja visapusišką verslo duomenų srautų matomumą ir mato, kaip jie naudojami galiniuose įrenginiuose, įmonės debesijos saugyklose, generatyvinio dirbtinio intelekto įrankiuose, SaaS programose ir kituose duomenų išėjimo taškuose.

„FortiDLP“ nėra „dar vienas IT produktas“ – tai duomenų kontrolės architektūra, kuri pajėgi smarkiai sumažinti ir net visiškai panaikinti didžiausias rizikas. Turint ją mažėja netyčinių klaidų, užkertamas kelias netinkamam informacijos judėjimui, ir, kas ypač svarbu – organizacija gali būti tikra, kad turės įrodymus, reikalingus BDAR ir KSĮ auditams. · .

„Praktikoje „FortiDLP“ jau pasiteisino ne tik kaip duomenų tvarkymo „higienos“ įrankis, padedantis suprasti, kur keliauja jautrūs duomenys ir kaip jie naudojami, bet ir kaip efektyvi intelektinės nuosavybės apsaugos priemonė. Jis leidžia organizacijoms ankstyvame etape identifikuoti rizikingą elgseną ir užkirsti kelią duomenų nutekėjimui, išlaikant pusiausvyrą tarp saugumo, verslo procesų ir naudojimo patogumo“, – teigia V. Kliorė.

Išvengti – pigiau nei mokėti už pasekmes

Kad viena investicija gali ženkliai sumažinti didžiausias grėsmes, rodo ir lietuviški pavyzdžiai. Pasak ekspertų, nagrinėjant BDAR pažeidimų praktiką, išryškėja vienas bendras bruožas – pažeidimai dažnai įvyksta dėl to, kad organizacijos neturi pilno matomumo ir nekontroliuoja, kaip duomenys yra naudojami, perduodami ar pasiekiami tiek viduje, tiek išorėje. Duomenų kontrolės sprendimai, tokie kaip „FortiDLP“, ir yra sukurti spręsti šią problemą. Jie suteikia organizacijai realų matomumą ir priemones rizikoms valdyti dar iki incidentui įvykstant.

„BDAR ir KSĮ aiškiai parodo, kad duomenų kontrolė yra visų pirma verslo, o ne vien IT klausimas. Efektyvi duomenų apsauga prasideda nuo organizacijos požiūrio, atsakomybių ir sprendimų t. y. nuo duomenų kontrolės kultūros. Techniniai sprendimai šiuo atveju veikia kaip organizacinių priemonių papildymas, suteikiantis galimybę praktiškai įgyvendinti, palaikyti ir užtikrinti duomenų kontrolės kultūros veikimą kasdienėje organizacijos veikloje“, – tikina V. Kliorė.

VERSLO TRIBŪNA

RĖMIMAS

Rokas Ališauskas, „Telia“ verslo produktų vadovas.

Skrydis be navigacijos: kodėl įmonių DI projektai lieka eksperimentais?

Dalis įmonių žengia į dirbtinio intelekto (DI) pasaulį lyg lipdamos į lėktuvą be aiškios navigacijos. Nors technologija tampa vis lengviau prieinama, Roko Ališausko, „Telia“ verslo produktų vadovo, teigimu, nemažai įmonių lieka eksperimentavimo ar pilotinių projektų stadijoje, nes neturi tinkamos infrastruktūros ir aiškaus valdymo modelio, leidžiančio kurti, testuoti ir diegti DI sprendimus visos įmonės mastu.

3 min.

Kaune atidarytas „MATERIJA – interjero fabrikas”, keičiantis rinkos taisykles

Lietuvoje interjero sprendimų rinka sparčiai auga. Valstybės duomenų agentūros duomenimis, per pastaruosius trejus metus baldų ir interjero prekių mažmeninė prekyba išaugo apie 12 %. Vis labiau domimasi ne pavieniais produktais, bet visuma: galimybe sprendimus patirti gyvai ir įvertinti jų pritaikomumą. Šią tendenciją atliepia naujo tipo erdvės, kuriose susijungia ekspozicija, konsultacija ir bendradarbiavimas.

3 min.

„Fleethand“ pristato naujovę transporto įmonių rinkoje – rankinį vadybininkų darbą keis dirbtinis intelektas

Lietuvių įkurta, transporto priemonių stebėjimo ir valdymo sprendimų platforma „Fleethand“ viena pirmųjų pasaulyje pristatė dirbtiniu intelektu (DI) grįstą funkcionalumą, padėsiantį automatizuoti dalį kasdienio transporto vadybininkų darbo. Įmonės sukurtas DI grįstas funkcionalumas perims tokias užduotis kaip maršrutų planavimas, automatinis degalinių ir parkingų planavimas, dokumentų patikra bei dalį operacinės komunikacijos su vairuotojais.

3 min.

LSMU ir LSMU Dokumentų valdymo tarnybos vadovė Agnė Jokūbaitienė.

LSMU administracinius procesus skaitmenizuoja su „Sekasoft“ pagalba

Didelės organizacijos kasdien susiduria su milžiniškais dokumentų srautais, painiais jų derinimo procesais, kuriančiais nemenką administracinę naštą darbuotojams. Lietuvos sveikatos mokslų universitetas (LSMU) pastaraisiais metais nuosekliai skaitmenizuoja administracinius procesus – svarbia šios transformacijos dalimi tapo bendrovės „Sekasoft“ dokumentų valdymo sistema.

5 min.

Jau įvykę incidentai Lietuvoje parodė, kad rizikuoja visi – net tie, kurių turimi duomenys iš pirmo žvilgsnio nėra „ypač jautrūs“. Taigi peršasi išvada: kaina už duomenų nekontroliavimą yra akivaizdi ir išties skausminga. Kaina už duomenų kontrolės sugrąžinimą į įmonės rankas – gerokai mažesnė.

„Todėl šiandien ne tiek svarbu, ar įmonė įsigis DLP sprendimą, esminis yra klausimas, kada organizacija pradės kryptingai diegti duomenų kontrolės kultūrą, kurioje aiškiai suprantama, kas, kodėl ir kaip naudoja duomenis. Technologiniai sprendimai, tokie kaip „FortiDLP“, šioje kultūroje tampa ne tik kontrolės techninio įgyvendinimo priemone, bet ir edukacijos bei prevencijos elementu, padedančiu organizacijai realiai matyti duomenų srautus, laiku identifikuoti rizikas ir užtikrinti atsakingą duomenų naudojimą kasdienėje veikloje“, – pabrėžia „Santa Monica Networks“ kibernetinio saugumo sprendimų pardavimų vadovas V. Knyzas.