Kas tai? Eksperto įžvalgos

Smulkiojo verslo BDAR: kuo praktika skiriasi nuo teorijos

Publikuota: 2019-02-28
„Kol verslas negavo tiesioginio skundo, tol neskubama sureguliuoti asmens duomenų tvarkymą reglamentuojančios teisinės bazės ar diegtis atitinkamų saugumo priemonių“, – dažniausiai pasitaikantį BDAR scenarijų piešia  Ramūnas Liubertas, kibernetinio saugumo sprendimų bendrovės ESET Lietuva IT inžinierius. Bendrovės nuotr.
„Kol verslas negavo tiesioginio skundo, tol neskubama sureguliuoti asmens duomenų tvarkymą reglamentuojančios teisinės bazės ar diegtis atitinkamų saugumo priemonių“, – dažniausiai pasitaikantį BDAR scenarijų piešia Ramūnas Liubertas, kibernetinio saugumo sprendimų bendrovės ESET Lietuva IT inžinierius. Bendrovės nuotr.

Pernai pavasariop verslo pasaulis ūžė kaip išbudintas avilys: bendrovės bruzdėjo dėl pasiruošimo naujoms asmens duomenų apsaugos rekomendacijoms, atsirado daugybė konsultantų, siūlančių savo paslaugas ir įvairias technines priemones. Įtampa augo iki pat gegužės 25 d., o tada – išaušo rytas ir nieko nenutiko. Ramūnas Liubertas, kibernetinio saugumo sprendimų bendrovės ESET Lietuva IT inžinierius, pataria, ko imtis smulkiojo ir vidutinio verslo įmonėms, kurios iki šiol į verslo pritaikymą BDAR žvelgė pro pirštus.

„Tikrai galima konstatuoti, kad Lietuvos įmonės iki šiol nėra 100% pasiruošusios atitikti BDAR. Apmaudžių klaidų, tvarkant ir saugant asmens duomenis, pastebime ne tik smulkaus verslo įmonėse, bet ir stambiose organizacijose, kurios naudoja pažangius saugumo sprendimus, turi įgyvendintas saugumo politikas“, – pasakoja p. Liubertas.

Skundų padvigubėjo

2014 m. gegužę internetinių aukcionų ir prekybos platforma „eBay“ išsiuntė vartotojams laiškus, raginančius kuo skubiau pakeisti savo paskyrų slaptažodžius. Mėnesio pradžioje programišiai pasisavino 145 mln. „eBay“ vartotojų duomenis – vardus, adresus, gimimo datas ir slaptažodžius, tiesa, finansinių atsiskaitymų informacijos jiems nepavyko gauti. Jeigu tuo metu būtų galiojęs BDAR, kompanija, kurios apyvarta 2013 m. sudarė 6,6 mlrd. USD, būtų priversta sumokėti 20 mln. GBP baudą. Pernai gruodį, socialiniam tinklui „Facebook“ jau ne pirmą kartą nepavyko apsaugoti savo vartotojų: laikinai trečiosioms šalims tapo prieinamos 6,5 mln. tinklo vartotojų nuotraukos. Šis atvejis vis dar tiriamas – blogiausiu atveju Marko Zuckerbergo korporacijai tektų pakloti 1,63 mlrd. USD baudą.

Lietuvoje neteko girdėti apie rimtesnius asmens duomenų apsaugos pažeidimus, tačiau skundų daugėja.

„Valstybinė duomenų apsaugos inspekcija sulaukia dvigubai daugiau skundų nei iki reglamento įsigaliojimo. Pvz., per 2018 m. tris pirmus ketvirčius buvo gauti 644 asmenų skundai, o 2017 m. per tą patį laikotarpį jų užregistruota tik 311, – skaičiuoja p. Liubertas. – Remiantis inspekcijos veiklos statistika, daugiausia lietuviai skundžiasi dėl tiesioginės rinkodaros, vaizdo duomenų, duomenų tvarkymo internete, skolininkų duomenų, valstybės registrų, asmens kodo ir kitos informacijos“.

[infogram id="4038d5c7-f6fc-4677-b4b4-7db9c01a117f" prefix="VNH" format="interactive" title="Copy: TR:VS citata ESET"]

Reaguoja po fakto

Anot pašnekovo, didžiausia šalies bendrovių, taip pat ir smulkiojo bei vidutinio verslo atstovų problema yra ta, kad į pokyčius, kurių reikalauja BDAR, jie reaguoja ne iniciatyvomis, o taisydami kitų pastebėtas klaidas.

„Lietuvoje dažnai kartojasi panašus scenarijus: kol verslas negavo tiesioginio skundo, tol neskubama sureguliuoti asmens duomenų tvarkymą reglamentuojančios teisinės bazės ar diegtis atitinkamų saugumo priemonių. Visa tai grindžiama žmogiškųjų resursų, laiko ar lėšų stoka. Bėda ta, kad skundus tiriantys inspekcijos specialistai tokių argumentų nelaiko reikšmingais“, – situaciją vertina p. Liubertas.

Dar vienas neigiamas pokytis, kurio galbūt buvo galima tikėtis yra susijęs su žmogiškaisiais ištekliais.

„BDAR rekomendacijos įnešė sumaišties į nusistovėjusią organizacijų darbo rutiną. Idealiu atveju verslas turėjo paskirti atsakingus asmenis, kurie rūpintųsi viso verslo vieneto atitikimu naujiems reikalavimams: dokumentacija, procesų ir procedūrų inicijavimu ir pan. Tačiau dažna smulkioji įmonė nusprendė verstis su turimais žmogiškaisiais ištekliais, todėl daugelyje bendrovių naujomis atsakomybėmis ir užduotimis buvo apkrauti esami darbuotojai“, – sako p. Liubertas.

Verta pasitikrinti

Kokie pagrindiniai su BDAR susiję verslo trūkumai įmonėse paprastai išryškėja akivaizdžiausiai? Ekspertas pasakoja, kad lengviausia situaciją vertinti per asmens duomenų apsaugos prizmę, nes būtent juos reglamentuoja BDAR.

„Pirmiausia reikia įvertinti: kur saugomi asmens duomenys, kas turi teisę prie jų prieiti, ar yra mobilių darbo vietų, turinčių prieigą prie asmens duomenų, per kokius procesus, el. laiškus ar sistemas keliauja šie duomenys, ar nėra kaupiami pertekliniai duomenys ir t.t.“, – akcentuoja p. Liubertas.

Specialistas randa ir kitą spragą: dažnai nesusimąstoma, kad duomenų apsauga turi būti užtikrinama ne tik įmonės viduje, bet ir išorėje.

„Verta savęs paklausti, ką darysite praradę įrenginį, kuriame saugomi asmens duomenys ar paliktos prieigos prie duomenų šaltinių teisės. Taip pat, kokie įrenginiai jungiami prie įmonės sistemų – ar į jų sąrašą įeina asmeniniai darbuotojų kompiuteriai ir telefonai, USB laikmenos. Dabar itin populiaru suteikti darbuotojams galimybę dirbti iš namų arba atsinešti savo įrenginius į biurą; vadinasi, duomenų apsaugos ribos turi būti plečiamos atsižvelgiant į visus šiuos faktorius“, – primena pašnekovas.

Anot jo svarbu atkreipti dėmesį ne tik į apsaugą nuo išorinių grėsmių, bet ir eliminuoti vidaus rizikas.

„Tarp pastarųjų dažniausiai minimas žmogiškasis faktorius – kai darbuotojai tyčia arba per neatsargumą savo elgesiu kelia grėsmę atskirų duomenų ar ištisų sistemų saugumui, – komentuoja p. Liubertas. – Dažniausiai įmonės būna susitvarkiusios prieigos prie jautrių duomenų teises, tačiau neretai problemų kyla ne dėl pačios prieigos, o dėl darbuotojams leidžiamų perteklinių veiksmų: spausdinti, kopijuoti jautrią informaciją, ją siųsti el. paštu sau arba tretiesiems asmenims, kelti į debesis ar USB laikmenas ir pan. Tokių laisvių pagal duomenų saugos gerąsias praktikas neturėtų būti“.

Kaip esmines duomenų apsaugos dedamąsias saugumo ekspertai įvardina darbo vietų ir tinklo apsaugos priemones, duomenų nutekėjimo prevencijos (DLP) sprendimus, duomenų šifravimą, atsargines duomenų kopijas bei naikinimą, taip pat – reguliarius IT ūkio auditus.

[infogram id="4f56ff18-1f58-4407-b766-c11e84dfa0ed" prefix="qNc" format="interactive" title="TR: ESET"]

Gauk nemokamą VERSLO naujienlaiškį į savo el.pašto dėžutę:

Pasirinkite Jus dominančius NEMOKAMUS savaitraščius:













Svarbiausios dienos naujienos trumpai:



 
Rašyti komentarą 0
Kaip SVV pritraukti papildomo kapitalo plėtrai Verslo tribūna

Smulkiojo ir vidutinio verslo (SVV) bendrovių plėtros finansiniu varikliu gali tapti ir nuosavas, ir...

2019.10.31

Verslo žinių pasiūlymai

Šioje svetainėje naudojame slapukus (angl. „cookies“). Jie padeda atpažinti prisijungusius vartotojus, matuoti auditorijos dydį ir naršymo įpročius; taip mes galime keisti svetainę, kad ji būtų jums patogesnė.
Sutinku Plačiau