Atgal

Naujienos

2021. 02. 18

A. Macijauskienė. Kaip išvengti duomenų saugumo pažeidėjo etiketės

Žiniasklaidoje skamba pranešimai apie asmens duomenų nutekėjimus, kibernetines atakas. Ko galime pasimokyti iš šios blogos patirties ir kokius pagrindinius namų darbus reikia atlikti, kad jūsų organizacijos pavadinimas neatsirastų žiniasklaidos antraštėse asmens duomenų saugumo pažeidimo kontekste?

Pirma, kruopščiai inventorizuokite, kokius asmens duomenis organizacija tvarko ir kur jie yra saugojami, t. y. pasidarykite išsamius asmens duomenų tvarkymo veiklos įrašus. Paskirkite asmenį, atsakingą už šių įrašų peržiūrą ir pildymą. Tik žinodami, kur yra jūsų organizacijos tvarkomi asmens duomenys, galėsite svarstyti, kaip juos apsaugoti.

Antra, atsisakykite perteklinių duomenų tvarkymo. Ypač turėtumėte kritiškai įvertinti asmens kodo tvarkymo būtinybę. Daugeliu atveju galima išsiversti su vardu, pavarde, gimimo data ir (ar) ID kortelės ar paso numeriu. Vien asmens gimimo data neidentifikuoja konkretaus asmens, o asmens kodas – taip, nes jis apima papildomus duomenis. Ar to paties tikslo nepasieksite su vardu, pavarde ir gimimo data? Lietuvoje vienetai asmenų su tapačiu vardu, pavarde ir gimimo data, todėl klaidos tikimybė itin maža. Jei reikia papildomo identifikavimo – naudokite asmens dokumentų numerius. Be to, asmens kodo asmuo nepasikeis, bet ID kortelę ar pasą – gali.

Trečia, įvertinkite riziką, susijusią su asmens duomenų tvarkymu. Rizikos vertinimo metu nustatysite konkrečias taikytinas duomenų saugumo užtikrinimo priemones, kurios sumažintų ar pašalintų šią riziką. Šių dienų kontekste aktualios asmens duomenų saugumo užtikrinimo priemonės: slaptažodžių šifravimas (pvz., „salted password hashing“), pačių duomenų bazių šifravimas ir kt.

Ketvirta, nustatykite ir įtvirtinkite aiškias taisykles kas kiek laiko turi būti atliekami IT, teisiniai duomenų apsaugos auditai ir infrastruktūros atsparumo skverbimuisi testavimai. Paskirkite asmenį, atsakingą už šių veiksmų organizavimą ar atlikimą. Atminkite, kad teisė nereikalauja neįmanomo, todėl jei dėsite maksimalias įmanomas pastangas ir tai dokumentuosite, bus žymiai lengviau apsiginti. 

Penkta, susitvarkykite Bendrojo duomenų apsaugos reglamento atitikties dokumentaciją, turėkite Informacinių sistemų, kuriose tvarkomi asmens duomenys, veiklos tęstinumo planą. Net jei ir asmens duomenų saugumo pažeidimas bus įvykęs dėl aukšto lygio kibernetinės atakos, netvarkinga dokumentacija parodys jūsų aplaidumą ir indiferentiškumą asmens duomenų apsaugai. Be to, net jei dokumentaciją pasirengsite per kelias dienas po asmens duomenų saugumo pažeidimo, jau bus per vėlu, nes darbuotojai asmens duomenų saugumo pažeidimo metu nebus buvę informuoti apie savo pareigas bei kaip elgtis duomenų saugumo incidento metu.

Šešta, įsigydami įmonę, atlikite kruopštų IT bei teisinį asmens duomenų apsaugos auditą, nes įsigytos įmonės spragos gali būti nepastebėtos ir egzistuoti metų metus. Labai tikėtina, kad įmonės pirkėjo įmonių grupė bus nubausta už asmens duomenų saugumo pažeidimą, jei pažeidimas buvo trunkamasis ir tęsėsi po įmonės įsigijimo. Ar galėsite išieškoti patirtos žalos kompensavimą iš buvusio akcininko? Priklausomai nuo įsigijimo sandorio sąlygų ir pardavėjo finansinės būklės.

Septinta, jei jau įvyko asmens duomenų saugumo pažeidimas, nepraleiskite notifikavimo terminų, atrinkite kiekvieną žodį ir priežiūros ar teisėsaugos institucijoms teikite tik patvirtintus duomenis ir faktus, jei tuo metu nežinote konkrečių aplinkybių, taip ir nurodykite. „Pėdų sumėtymas“ jau pirminiuose etapuose jums padarys „meškos paslaugą“, galimai, padidins skundų bei ieškinių skaičių. Bendradarbiaukite su institucijomis, tiriančiomis incidentą. Sąžiningumas, skaidrumas ir proaktyvus bendradarbiavimas tokiose situacijose gali likti vieninteliu, bet ne prasčiausiu, būdu sumažinti duomenų saugumo incidento pasekmes.