Brangių klientų pigūs duomenys
Lietuvą supurtė bene didžiausias nutekėjusių asmens duomenų skandalas. Jo epicentre Modus grupės valdoma automobilių dalijimosi platforma CityBee. Ši istorija įmonei kainuos brangiai.
Pirmadienio vakarą paaiškėjo, kad nutekėjo apie 110.000 įmonės klientų duomenys: e. pašto adresai, vardai, pavardės, asmens kodai, telefonų numeriai, gyvenamosios vietos adresai, vairuotojų pažymėjimo numeriai bei užkoduoti slaptažodžiai. Pradėtas ikiteisminis tyrimas, aplinkybes aiškinasi ir duomenų apsaugos prievaizdai.
Įmonė tikina, kad banko kortelių duomenys nenutekėjo, nes CityBee jų nekaupė, tačiau internetuose sklando ekrano nuotraukos, kuriose esą matomi klientų kortelių duomenų fragmentai.
Kol kas bendrovė neatskleidžia, KADA ir KAIP privatūs duomenys buvo pavogti, tik užsimena apie duomenų migraciją iš vienos sistemos į kitą. O kol pati įmonė tylėjo, kalbėjo programišiai ir kibernetinio saugumo ekspertai. Pasak jų, sunku nebuvo: duomenų bazės kopija gulėjo nepaslėptame debesyje, užteko paspėlioti aplanko pavadinimą ir... bingo! Be to, kibernetinio saugumo ekspertai pamatė ir tai, kad vartotojų slaptažodžiai buvo šifruoti gana nesudėtingu būdu.
Neatleistinas ir nuomos bendrovės sukurtas informacinis vakuumas. Taip, vartotojai po paros jau turėjo esminę informaciją, kaip reikėtų elgtis. Bet per tą parą feisbuke išbujojo šimtai versijų, teorijų, gąsdinimų. Dalis žmonių tiesiog supanikavo. O ir dabar įsijungus įmonės platformos svetainę svarbią informaciją rasti reikia pasistengti. Apie vasario 15 d. paaiškėjusį incidentą įmonės svetainėje citybee.lt paskelbta... vasario 17-ąją. Iš tiesų, prastas korporatyvinės krizės valdymo pavyzdys.
Tiesa, pirmosios spaudos konferencijos metu Kristijonas Kaikaris, CityBee vadovas, labai apgailestavo. Tai jau šis tas, bet nepakankama.
Visų pirma, labai apgailestaujam. Ir iš tikrųjų aš pats esu nukentėjęs, kadangi esu CityBee klientas, [taip pat] mano artimieji, mano draugai, mano bičiuliai. Labai gerai suprantu tą nesaugumo jausmą, kurį dabar patiria dalis mūsų klientų. Dėl to tikrai labai apgailestaujam, kalbėjo jis antradienio popietę.
Dėl apgailestaujančio vadovo telieka apgailestauti. Gal net pagailėti nes tarp nutekėjusių duomenų atsidūrė ir pats, ir šeimos nariai. Tačiau pirmoji krizinių situacijų taisyklė aukščiausio lygio vadovui pirmiausia klientas! Taigi šioje vietoje neabejotinai būtų labiau tikęs garsus atsiprašome.
Nesiginčijame, šaltibarščių lipdukais apklijuoti automobilius kur kas lengviau nei klampoti tokios krizės pelkėje. Tačiau bekopiant į auksinės rinkodaros olimpą, tokio dydžio grupės įmonei vertėjo pagalvoti ir kas, jeigu?.
Kas, jeigu paaiškėtų, jog klientų duomenų bazės kopija išties gulėjo laisvai prieinama ir jai gauti nereikėjo jokių ypatingų IT žinių? Šmaikščių atsirašymo plakatų miesto centre nepakaks. Tad, tikėtina, skandalas kainuos brangiai tiek pinigine, tiek reputacijos išraiška.
CityBee norisi palinkėti nuo apgailestavimo pereiti prie aktyvių veiksmų. Pirmiausia visos savo 750.000 klientų duomenų bazės patalpinimo po devyniais užraktais bei tikslios bei pilnos informacijos pateikimo visuomenei. Nes ji dar ilgą laiką seks šią istoriją, ypač jei bus pateikti kolektyviniai ieškiniai. Taip pat galbūt neseniai pareigas pradėjusiam eiti vadovui vertėtų pagalvoti ir apie auditą.
Kitas šio skandalo aspektas mūsų visų suvokimas apie duomenų bei kibernetinę saugą. Be abejo, tokie įvykiai kiek papurtys visų mąstymą. Tačiau ne visi nuomonių lyderiai dar supranta, apie ką eina kalba. Štai kur ne kur išlindo ir buvęs Vilniaus meras Artūras Zuokas, pareiškęs, kad anokia čia tragedija.
Ai, kokie svarbūs mūsų asmeniniai duomenys: elektroninis paštas? Ar asmens kodas? Tikrai, tokie brangūs? Mes savo privačius duomenis vos ne kasdieną daliname į kairę ir į dešinę mainais už nemokamas paslaugas. O dabar tokia isterija, nes norima / galima gauti kelis šimtus eurų kompensacijos, feisbuke rašo A. Zuokas.
Taip, XXI amžiaus realybė tokia, kad jei paslauga nemokama prekė esi tu pats. Tik CityBee atveju dabar daugiau nei 110.000 vartotojų ir susimokėjo, ir tapo pigia preke, mat hakeriai už visą jų asmeninių duomenų bazę prašo vos 1.000 USD, arba apie 0,009 USD už asmenį.
Apgailėtina, kad politinį saulėlydį išgyvenantis p. Artūras nesuvokia, jog esmė yra ne e. pašto ar asmens kodo menama vertė. Esmė kad šie duomenys priklauso konkrečiam asmeniui ir tik jis vienas gali spręsti, kam mokamai, o kam nemokamai juos suteikti. Dabar gi turime 110.000 žmonių būrį, kuris CityBee puslapyje tikrai nepažymėjo varnelės ties Sutinku, kad mano duomenys būtų saugomi aplaidžiai, galėtų būti pasiekiami bet kam ir bet kur bei pardavinėjami už bitkoinus.
Kibernetinė sauga ir Bendrasis duomenų apsaugos reglamentas (BDAR) yra tolimi ir neaktualūs dalykai tik tiems verslams, kurie galvas laiko smėlyje ir apsimeta, kad tai nieko ypatinga ir jų asmeniškai neliečia.
Praktikoje įmonių vadovai, ypač mažesnių, neretai linkę numoti ranka į duomenų apsaugą, motyvuodami tuo, kad turim ir rimtesnių problemų nei duomenų apsauga arba teiraudamiesi kiek jau nubaudė Lietuvoje?, anksčiau VŽ yra sakęs Laimonas Marcinkevičius, advokatų kontoros Marcinkevičius ir partneriai Juridicon advokatas, duomenų apsaugos pareigūnas.
VŽ nuomone, likusiam verslui vertėtų atidžiai stebėti CityBee istoriją ir mokytis, mokytis ir dar kartą mokytis. Nes būtent šis įvykis parodė ne kartą keltą problemą dalis įmonių į kibernetinę saugą bei BDAR žiūri pro pirštus. Tikimės, kad ši savaitė įmonių IT skyriams bus kaip niekad darbinga, o savo elgesį su verslo duomenimis apgalvos ne tik akcininkai, vadovai, bet ir visi darbuotojai kad branginami klientai netaptų pigia programišių preke, o sunkiai kuriamas verslas nevirstų šiukšle.
Prisijungti
Prisijungti
Prisijungti
Prisijungti