7 patarimai, kaip pasiruošti duomenų saugumo pažeidimui

Ar įmanoma išvengti asmens duomenų saugumo pažeidimo? Kad ir kaip norėtųsi tikėti, kad atsakymas į šį klausimą yra teigiamas, labiau tikėtina, kad anksčiau ar vėliau kiekvienas verslas patirs asmens duomenų saugumo pažeidimą. Vienais atvejais tai įvyks dėl žmogiškojo faktoriaus organizacijos viduje, kitais – dėl saugos priemonių trūkumo, o dar kitais – dėl įsilaužėlių.

Tad ką daryti, kad būtumėme geriau pasirengę tokiai nelaimei ir išliptumėme sausesni iš vandens? Šįkart pakalbėkime apie prevencinius veiksmus („namų darbus“), kurių kiekvienas verslas turėtų imtis, siekdamas sumažinti riziką patirti asmens duomenų saugumo pažeidimą arba sušvelninti patirto pažeidimo pasekmes.

Pradžiai reikia paminėti, kad asmens duomenų saugumo pažeidimo sąvoka yra plati ir apima įvairias situacijas. Apsibrėžkime, kad kalbame būtent apie asmens duomenų saugumo pažeidimą, kaip jis suprantamas pagal Bendrąjį duomenų apsaugos reglamentą (BDAR) ir kuris yra vienas iš galimų saugumo pažeidimų įmonėje, kai yra pažeidžiami ne bet kokie duomenys, bet asmens duomenys.

BDAR asmens duomenų saugumo pažeidimą apibrėžia taip: „saugumo pažeidimas, dėl kurio netyčia arba neteisėtai sunaikinami, prarandami, pakeičiami, be leidimo atskleidžiami persiųsti, saugomi arba kitaip tvarkomi asmens duomenys arba prie jų be leidimo gaunama prieiga“. Pažeidimai skirstomi į tris rūšis (vienas pažeidimas gali būti priskirtas ir kelioms rūšims):

• konfidencialumo pažeidimas, kai yra atskleidžiama ar suteikiama prieiga prie įmonės tvarkomų asmens duomenų,
• prieinamumo pažeidimas, kai prarandama prieiga prie įmonės tvarkomų asmens duomenų arba jie sunaikinami;
• vientisumo pažeidimas, kai yra pakeičiami tvarkomi asmens duomenys.

Viešoje erdvėje dažniausiai girdime apie asmens duomenų saugumo pažeidimus dėl įsilaužimo į sistemas ir duomenų nutekinimo (dažniausiai tai yra konfidencialumo pažeidimai) ar išpirkos reikalavimo (prieinamumo pažeidimai). Tačiau reikia žinoti, kad asmens duomenų saugumo pažeidimas įvyksta ir kitais atvejais ir tuomet taip pat duomenų valdytojas turi imtis BDAR numatytų veiksmų (žinoma, pirmiausia suvaldyti pažeidimą ir sumažinti neigiamas pasekmes, o taip pat pranešti Valstybinei duomenų apsaugos inspekcijai ir duomenų subjektams, kai to reikia). Pavyzdžiui, įmonės pardavimų vadybininkas prie klientams siunčiamo el. laiško prikabina klientų duomenų bazę (iš patirties, galime sakyti, „klasikinis atvejis“) arba išsiunčia el. laišką klientams, visų gavėjų el. pašto adresus surašydamas į „To“ ar „Cc“ vietoje „Bcc“ laukelio (taip pat – klasika); darbuotojas palieka įmonės kompiuterį kavinėje ir grįžęs paimti jo neberanda, arba pameta USB raktą su informacija; dėl bet kokių priežasčių ištrinama ar pakeičiama visa ar dalis klientų duomenų bazės; įvyksta įsilaužimas patalpose, kuriose saugoma konfidenciali informacija; ir pan.

Jeigu įmonė visai nesirūpina informacijos sauga, asmens duomenų saugumo pažeidimas neišvengiamas. Tačiau imdamasis protingų priemonių duomenų valdytojas ar tvarkytojas gali neabejotinai sumažinti tokių pažeidimų atsiradimo riziką, o jeigu asmens duomenų saugumo pažeidimo išvengti nepavyks, bent jau sušvelninti jo neigiamas finansines, reputacines ir kitas pasekmes tiek pačiai įmonei, tiek asmenims, kurių duomenys bus pažeisti.

Galima išskirti tokias septynias pagrindines prevencines priemones:

Tai yra neabejotinas sąrašo pirmasis numeris. Techninės ir organizacinės priemonės apima įvairias, dažnai ko gero savaime suprantamas, priemones (pavyzdžiui, slaptažodžių (stiprių) naudojimą, kompiuterio ekrano ar patalpų su dokumentais rakinimą, atsarginių kopijų darymą, antivirusinių priemonių naudojimą ir kt.), o taip pat ir kitas technines priemones (pavyzdžiui, duomenų šifravimą pažangiomis priemonėmis, techninės ir programinės įrangos atnaujinimą ir pan.) bei organizacines priemones (pavyzdžiui, aiškų suteikiamų teisių nustatymą, atsakingų asmenų paskyrimą, reikiamų tvarkų parengimą ir faktinių verslo procesų suderinimą su tomis tvarkomis ir pan.). Ne kiekvienas verslas turi laikytis tų pačių taisyklių, techninės ir organizacinės priemonės turi būti parinktos protingai ir, vadovaujantis BDAR, tai turi būti daroma atsižvelgiant į tokius kriterijus:

• techninių galimybių išsivystymo lygis (tai nebūtinai turi būti state of the art lygio priemonės, tačiau neturi būti ir naudojama gamintojo nebepalaikoma ir neatnaujinama programinė įranga ar pan.),
• įgyvendinimo sąnaudos (reikia vertinti sąnaudų proporcingumą rizikai),
• duomenų tvarkymo pobūdis, aprėptis, kontekstas ir tikslai (pavyzdžiui, jeigu tvarkomi jautrūs sveikatos duomenys, atitinkamai priemonės turi būti rimtesnės),
• duomenų tvarkymo keliami pavojai fizinių asmenų teisėms ir laisvėms (pavyzdžiui, jeigu iš duomenų galima sužinoti rasinę arba etninę kilmę, politines pažiūras, religinius arba filosofinius įsitikinimus, gali kilti rimtesnis pavojus asmenų teisėms ir laisvėms).

Nuo ko pradėti ir ką daryti? Įsivertinti veiklos modelį, tvarkomus asmens duomenis, nustatyti galimas rizikas, rizikos lygį ir pagal tai parinkti reikiamas technines ir organizacines priemones. Tam gali pasitarnauti VDAI parengtos Tvarkomų asmens duomenų saugumo priemonių ir rizikos įvertinimo gairės duomenų valdytojams ir duomenų tvarkytojams.

Tai yra viena iš organizacinių priemonių, tad patenka į 1 punkte aptartą apimtį, tačiau ji yra itin svarbi, todėl verta išskirti atskirai.

Rengiant BDAR atitikties dokumentus, paprastai kartu su kitais dokumentais rengiama ir Asmens duomenų saugumo pažeidimo reagavimo tvarka. Išties, toks dokumentas yra reikalingas, tačiau, kaip ir visų dokumentų atveju, svarbu turėti ne „popierinę“ ar „tipinę BDAR tvarką“, o individualiai konkrečios organizacijos parengtą procedūrą, kuria būtų vadovaujamasi, jeigu įvyktų asmens duomenų saugumo pažeidimas.

Kas tokioje tvarkoje turi būti aptarta? Visų pirma, reikia apibrėžti, kas yra asmens duomenų saugumo pažeidimas, nevengiant pateikti ir praktinių, konkrečiai įmonei aktualių pavyzdžių, kurie padės skaitančiajam geriau suprasti, ar įvykęs įvykis yra asmens duomenų saugumo pažeidimas. Bene pagrindinė tokios tvarkos dalis turi būti skirta veiksmų, kurių turėtų būti imamasi įvykus pažeidimui, aptarimui: kaip pažeidimas yra nustatomas ir vertinamas, kokia yra informacijos grandinė (kam darbuotojai turi perduoti sužinotą informaciją, kaip ji turi kuo operatyviau pasiekti duomenų apsaugos pareigūną ar kitą už asmens duomenis atsakingą asmenį, vadovus, teisininkus ar kitus reikiamos kompetencijos žmones), kokių veiksmų imamasi, siekiant nutraukti pažeidimą ir mažinti neigiamas pasekmes, kaip nustatyti, ar turi būti pranešta Valstybinei duomenų apsaugos inspekcijai ar ir duomenų subjektams, kaip registruojami įvykę pažeidimai ir kiti su asmens duomenų saugumo pažeidimo suvaldymu susiję veiksmai.

Kokia šios tvarkos nauda? Ji neapsaugos nuo asmens duomenų saugumo pažeidimo ir neišspręs visų klausimų, tačiau aiški tvarka padės tinkamai ir operatyviai sureaguoti, jeigu toks pažeidimas įvyks, ir suvaldyti jį, sumažinant ar net visai eliminuojant neigiamas pasekmes įmonei ir asmenims.

Kaip tvarka turėtų būti rengiama? Tvarka turi būti rengiama, derinant ją su visais susijusias darbuotojais ar konsultantais: duomenų apsaugos pareigūnu ar kitu už asmens duomenų apsaugą atsakingu asmeniu, IT žmonėmis, teisininkais. Su parengta tvarka turi būti supažindinami visi įmonės darbuotojai. Ji turi būti reguliariai peržiūrima ir, kai reikia, atnaujinama. Kaip ir kitose tokio pobūdžio tvarkose, naudinga įtraukti praktinių pavyzdžių, ją būtina priderinti prie įmonės veiklos ir vidinių procesų specifikos. Jeigu kalbame apie įmonių grupę, rekomenduotina turėti bendrą tvarką visos grupės mastu, taip užtikrinant vieningą praktiką visoje grupėje.

Nuo ko pradėti ir ką daryti? Suburti komandą, susidedančią iš reikiamos kompetencijos darbuotojų ir konsultantų, kurie aptars įmonės situaciją ir poreikius bei parengs reikiamus dokumentus bei procesus.

Tai yra dar viena organizacinė priemonė, kurią verta išskirti atskirai. Pagal įvairių statistikų duomenis, daugiau nei pusė (kai kurios statistikos net nurodo 70%) asmens duomenų saugumo pažeidimų įvyksta dėl žmogiškojo faktoriaus. Dažnai tai yra veiksmai, kurie gali pasirodyti naivūs, padaromi iš nežinojimo ar dėl to, kad į duomenų apsaugą nėra kreipiamas dėmesys. Jokios vidinės tvarkos ar dažniausiai taikomos techninės priemonės nepadės apsisaugoti nuo šio straipsnio pradžioje minėtų klasikinių situacijų, kai el. laiškai išsiunčiami su priedais, kurių neturėjo būti, ar ne taip, kaip turėjo būti išsiųsti. Todėl reguliarūs darbuotojų mokymai, pradedant nuo asmens duomenų apsaugos pagrindų, ir, ypač svarbu, šviečiant darbuotojus apie būtent su jų funkcijomis susijusį asmens duomenų tvarkymą, procesus, priemones, yra būtina priemonė kiekvienoje įmonėje.

Nuo ko pradėti ir ką daryti? Reguliariai šviesti darbuotojus asmens duomenų apsaugos klausimais. Darbuotojai gali būti siunčiami į trečiųjų šalių vykdomus mokymus, o taip pat mokymus galima vykdyti įmonės ar grupės viduje. Svarbu be bendrinių (įvadinių) mokymų organizuoti ir specialius apmokymus ar konsultacijas darbuotojams pagal jų veiklos specifiką (juk pardavimo vadybininkams bus aktualūs vieni klausimai, buhalterijai – kiti ir pan.). Be abejo, svarbu pasirinkti patikimus mokytojus, kad mokymai nebūtų vien tik „pliusiuko užsidėjimas“ ir bendros informacijos, kartais ir mitų, išklausymas.

BDAR numato duomenų kiekio mažinimo principą (duomenys turi būti renkami adekvatūs, tinkami ir tik tokie, kurių reikia siekiant tikslų, dėl kurių jie tvarkomi) ir saugojimo trukmės apribojimo principą (duomenys turi būti laikomi tokia forma, kad duomenų subjektų tapatybę būtų galima nustatyti ne ilgiau, nei tai yra būtina tais tikslais, kuriais asmens duomenys yra tvarkomi).

Šių principų laikymasis yra reikšmingas ir mažinant neigiamas pasekmes, kurios gali kilti patyrus asmens duomenų saugumo pažeidimą. Juk kuo mažiau duomenų tvarkoma, tuo mažesnė rizika, mažesnis pavojus duomenų subjektams, reiškia ir lengvesnės pasekmės verslui, jeigu įvyktų pažeidimas.

Nuo ko pradėti ir ką daryti? Atlikti tvarkomų asmens duomenų „inventorizaciją“, įsivertinti, kokius duomenis tvarkote, kurie iš tų duomenų išties reikalingi, kiek laiko juos reikia saugoti, ir imtis priemonių duomenų kiekio sumažinimui bei nustatyto reikiamo saugojimo laikotarpio įgyvendinimui.

Atliekant minėtą „inventorizaciją“, kartu reikėtų įvertinti ir esamus su asmens duomenų tvarkymu susijusius procesus bei turimus asmens duomenų tvarkymą reguliuojančius dokumentus. Jeigu procesai yra neaiškūs (neapibrėžti), didelė rizika, kad kiekvienas darbuotojas juos interpretuos savaip, asmens duomenys bus tvarkomi be sistemos ir, galimai, nesilaikant BDAR reikalavimų, o iš to kils ir jų saugumo pažeidimo rizika.

Tvarkingi ir ne tik BDAR reikalavimus, bet ir įmonėje taikomus procesus atitinkantys dokumentai padės sumažinti klaidų riziką, o taip pat pagelbės, jeigu nutiks asmens duomenų saugumo pažeidimas bei dėl to bus pradėtas priežiūros institucijos tyrimas.

Kartu reikia įsivertinti, galbūt kurie nors duomenų tvarkymo tikslai gali kelti didesnį pavojų asmenų teisėms ir laisvėms ir dėl to pagal BDAR reikalavimus būtina atlikti poveikio duomenų apsaugai vertinimą. Tokiais atvejais poveikio duomenų apsaugai vertinimas pasitarnaus kaip prevencinė priemonė, nes atliekant jį bus galima nustatyti su duomenų tvarkymu susijusias rizikas ir priimti sprendimus, kaip jas mažinti.

Nuo ko pradėti ir ką daryti? Kreiptis į savo duomenų apsaugos pareigūną ar teisininkus, kurie padės įvertinti esamus dokumentus bei procesus bei pateiks rekomendacijas.

Kai į asmens duomenų tvarkymą yra įtraukti ir duomenų tvarkytojai (pavyzdžiui, IT paslaugas ar buhalterines paslaugas teikiantys asmenys/įmonės), svarbu pasirinkti paslaugų teikėjus patikimus tiek profesine prasme, tiek požiūrio į duomenų saugą prasme. Taip pat svarbu sudaryti tinkamas sutartis dėl asmens duomenų tvarkymo, jose be kita ko aptariant ir technines bei organizacines priemones, kurių turi laikytis duomenų tvarkytojas, ir jo pareigą nedelsiant informuoti, jeigu jis sužinotų apie asmens duomenų saugumo pažeidimą.

Nuo ko pradėti ir ką daryti? Renkantis paslaugų teikėją, susipažinti su potencialių paslaugų teikėjų asmens duomenų tvarkymo praktikomis, asmens duomenų tvarkymo sutartimis (kurias praktikoje dažniausiai pateikia paslaugų teikėjai, taikydami vieningą tvarką visiems savo klientams).

Nors sąraše paskutinis, draudimo nuvertinti nereikėtų, ypač jeigu veikla susijusi su ypatingais duomenimis ar tvarkomas didelis kiekis asmens duomenų. Paskutinė vieta sąraše jam skirta pirmiausia dėl to, kad prieš kreipiantis dėl draudimo, reikėtų pasidaryti visus prieš tai aptartus „namų darbus“, nes draudimo bendrovė norės matyti, kad imatės reikiamų priemonių duomenų apsaugai.

Kibernetinių rizikų draudimas nepadės sumažinti asmens duomenų saugumo pažeidimo rizikos, tačiau gali kompensuoti sąnaudas, patirtas tokiam pažeidimui nutikus.

Nuo ko pradėti ir ką daryti? Pasirinkti jūsų veiklai tinkantį kibernetinių rizikų draudimą, prieš tai pasidarius „namų darbus“ pagal 1-6 punktus.