R. Vasiliauskienė. Tikimybių teorija negalioja vertinant kibernetinius incidentus

Jei neseniai patyrėte kibernetinį incidentą, tai nereiškia, kad išsprendę problemą galite atsipalaiduoti. Tikėtina, kad tai – tik vienas iš iššūkių. Elektroninėje erdvėje nėra ir negali būti šimtaprocentinio saugumo, todėl kibernetinių incidentų galima laukti ir ateityje. Įmonės turi būti jiems pasiruošusios.

Pernai užfiksuoti 254 pranešimai apie asmens duomenų saugumo pažeidimus, rodo Valstybinės duomenų apsaugos inspekcijos (VDAI) naujausi duomenys. Iš jų 15% – kibernetinių incidentų. Nors ši dalis sąlyginai nedidelė, žiūrint per paveiktų duomenų subjektų prizmę, net ir iš pirmo žvilgsnio nedidelis skaičius kibernetinėje erdvėje įvykusių atakų poveikį daro beveik pusei (49%) nukentėjusių subjektų.

Kibernetinis incidentas dažnai padaro daug platesnį poveikį nei manoma iš pradžių. Nors kartais gali atrodyti, kad viską suvaldyti vieniems ar net nuslėpti situaciją yra nesudėtinga, taip nėra. Yra labai daug šalių, kurios paveikiamos tuo metu, kai įmonėje atsitinka kibernetinis incidentas. Tai yra: darbuotojai, pašaliniai incidentą pastebėję asmenys, įsilaužėlis, tie, kurių duomenys buvo prarasti, ikiteisminio tyrimo pareigūnai, priežiūros institucijos, teismai, kartais ir draudimo bendrovės.

72 svarbiausios valandos

Incidentui įvykus svarbu bendradarbiauti ir su institucijomis. Jos yra dvi pagrindinės: Valstybinė duomenų apsaugos inspekcija (VDAI) ir Nacionalinis kibernetinio saugumo centras (NKSC). Apie incidentą, kai iškyla didelis pavojus laisvėms ir teisėms, pavyzdžiui, paveikiami finansiniai ar sveikatos duomenys, kyla poreikis net keisti dokumentus, svarbu pranešti per 72 val.

NKSC pranešti privalo tik tam tikros organizacijos – kibernetinio saugumo subjektai. Pastaruoju metu pranešimo laikas priklauso nuo incidento poveikio – kuo jis didesnis, tuo anksčiau reikia pranešti, kartais ir vos per 1 valandą.

Abi institucijos gali ir savo iniciatyva atlikti tyrimus, esant didesniems incidentams. Pavyzdžiui, Registrų centro užliejimo ar „CityBee“ duomenų nutekinimo atvejais. Tiesa, VDAI pranešti apie incidentą nereikia, kai paveikiami statistiniai duomenys, kurie neleidžia identifikuoti asmens, kai neteisingam adresatui yra siunčiami laiškai kuriuose nėra asmens duomenų, kai pati organizacija nustato spragas arba kai pats asmuo atskleidžia savo duomenis. Taip yra todėl, kad šie atvejai nelaikomi asmens duomenų saugos pažeidimais.

Pirmieji veiksmai

Įvykus krizei, pirmiausia reikia žinoti, kaip tinkamai „išgyventi“ tris dienas. Per tiek laiko tikrai įmanoma parengti pradinį pranešimą VDAI su tiek informacijos, kiek jos turima – kas, kaip ir kodėl įvyko. Išsamų pranešimą su detalėmis galima pateikti VDAI vėliau.

Tam, kad komunikacija būtų laiku ir tiksli, reikėtų prieš pateikiant informaciją pasikonsultuoti su teisininku. Ne mažiau svarbu pasirūpinti ir darbuotojais bei jų atliekamomis užduotimis. Dirbti bus lengviau paskyrus kontaktinį asmenį, kuris galėtų atsakyti į skambučius ir užklausas. Būtina nuraminti kolegas ir aiškiai paskirstyti naujas užduotis, koordinuoti veiksmus ir duoti nurodymus dėl komunikacijos.

Komentaro autorė – Renata Vasiliauskienė, COBALT vyresnioji teisininkė

Komentarai