Brangios duomenų apsaugos pažeidimų pamokos

183,4 mln. svarų (apie 207 mln. Eur) bauda „British Airways“ avialinijoms. 99 mln. svarų (112 mln. Eur) bauda viešbučių tinklui „Marriott“. 50 mln. Eur bauda interneto milžinei „Google“. Žadą atimantys skaičiai liudija, kad nesilaikyti prieš kiek daugiau nei pusantrų metų (2018 m. gegužės 25 d.) įsigaliojusio Bendrojo duomenų apsaugos reglamento (BDAR) reikalavimų daugeliui įmonių gali būti didžiulė ir nepateisinama prabanga.
„Vien per pirmuosius metus Europos duomenų apsaugos institucijos gavo beveik 90 tūkstančių pranešimų apie duomenų apsaugos pažeidimus. Įmonės baudų paprastai sulaukia, nes nesilaiko teisinių arba techninių IT saugumo reikalavimų. Tokių nemalonumų būtų galima išvengti laikantis paprastos taisyklės: tikėkis geriausio, bet ruoškis blogiausiam. BDAR atveju, pradžia turėtų būti įmonės teisinis bei techninis pagrindinių rizikų auditas – tai aktualu tiek nedidelėms įmonėms, tiek stambioms korporacijoms, kadangi, kaip rodo pavyzdžiai, joks verslas nėra visiškai saugus“, – sako integruotų profesinių paslaugų teikėjos „Lewben“ teisės paslaugų vadovas Vytautas Vičius.

Jam antrina IT sprendimų kompanijos „Baltic Amadeus“ generalinis direktorius Andžej Šuškevič, pastebėdamas, kad dažniausiai asmens duomenų saugumo pažeidimai įvyksta dėl žmogiškosios klaidos. Todėl ypač didelis dėmesys turėtų būti skiriamas darbuotojų mokymams – ne tik jiems pradėjus darbą pirmosiomis dienomis, bet ir šių žinių periodiniam atnaujinimui.

„Dažniausiai pasitaikanti klaida – tik deklaratyviai įgyvendinamos Bendrojo duomenų apsaugos reglamento nuostatos. Dažnai pro pirštus žiūrima į duomenų šifravimą, reguliarų įsilaužimų testavimą, laikomų duomenų inventorizavimą. Tinkamai įgyvendinant šiuos veiksmus būtų ne tik užtikrinama kibernetinė sauga, bet ir sumažinamas galimos žalos bei baudų dydis“, – priduria Andžej Šuškevič.

„Lewben Group“ ir „Baltic Amadeus“ yra pasirašiusios bendradarbiavimo sutartį ir kartu siūlo verslui konsoliduotą paslaugą – pasirūpina, kad klientas atitiktų ES Bendrojo duomenų apsaugos reglamento nuostatas.
Abiejų įmonių ekspertai įvardija penkis garsiai nuskambėjusius BDAR pažeidimų atvejus ir ką įmonės atliko teisingai, o kur padarė klaidų.

1. „Dixons Carphone“, galima sakyti, pasisekė, kad pirmasis įmonės tvarkomų duomenų praradimas (2015 m.) ir jo tyrimas įvyko prieš pat įsigaliojant BDAR. Paaiškėjo, kad jos sistemos buvo pažeidžiamos ištisus metus. Pagal anksčiau galiojusius teisės aktus, maksimali jai gresianti bauda buvo 500 tūkst. svarų (apie 568 tūkst. Eur). Tačiau kito neseniai toje pačioje įmonėje nustatyto atveju, kuris tiriamas šiuo metu, pasekmės gali būti žymiai didesnės. Kalbama, kad pagal BDAR reikalavimus įmonei gali tekti pakloti net iki 400 mln. svarų (454 mln. Eur) baudą.
   „Šis atvejis rodo, kad privalu periodiškai atlikti asmens duomenų apsaugos atitikties auditus bei saugumo testus. Gali susiklostyti situacija, kad pažeidimas yra neidentifikuojamas metus laiko ar dar ilgiau, tačiau jam paaiškėjus ir priežiūros institucijoms nustačius, jog bendrovė visu pažeidimo laikotarpiu nesiėmė veiksmų jam pašalinti, gresia sankcijos“, – komentuoja „Lewben“ teisės paslaugų vadovas Vytautas Vičius.
   
2. „British Airways“ rekordinė 183,4 mln. svarų bauda skirta paaiškėjus, kad programišiams pavyko nukreipti per 0,5 milijono avialinijų svetainės lankytojų į fiktyvų puslapį ir tokiu būdu pasisavinti jų vardus, adresus, prisijungimus, mokėjimo kortelių duomenis, kelionių užsakymus ir kitą asmeninę informaciją.
   Pasak „Baltic Amadeus“ atstovo, programišių atakos vyksta nuolat ir jų taikiniais gali tapti bet kas, nuo smulkių įmonių iki didžiųjų kompanijų ar net pavienių žmonių. „Vienas iš galimų sprendimų – tai reguliariai atliekami profesionalūs trečiųjų šalių kibernetinio saugumo auditai. Jie padeda aptikti galimas spragas ir laiku tinkamai į jas sureaguoti“, – teigia Andžej Šuškevič.
   
3. Nyderlandų Hagos ligoninei skirta 460 tūkst. Eur bauda už netinkamą pacientų duomenų saugojimą. Tyrimo metu paaiškėjo, kad vienos įžymybės sveikatos duomenis patikrino net 197 ligoninės darbuotojai, taip pat ligoninė netaikė patvirtinimo dviem veiksmais priemonių, o tai yra būtinas reikalavimas pacientų duomenis saugančioms sistemoms.
   „Baltic Amadeus“ generalinis direktorius pastebi, kad dažnai dėl kibernetinio saugumo pažeidimų kaltas žmogiškasis faktorius, paliktos spragos ar netyčinis elgesys, visgi atsakomybė pasirūpinti, kad tuo nepasinaudotų piktavaliai, tenka pačiai įmonei ar įstaigai. „Kad būtų sumažinta žmogiškųjų klaidų tikimybė, reikia įvertinti ir vidinių sistemų procesus. Darbuotojams turi būti suteikiama prieiga tik prie tų duomenų, kurie reikalingi jų tiesioginėms funkcijoms atlikti. Apskritai, informacijos saugumas turi tapti organizacijos kultūros dalimi. Dažnai darbuotojai, net neturėdami blogų kėslų, o tik norėdami pakeisti darbo vietą ir dirbti ne iš ofiso, išsineša duomenis, taip sukeldami jiems pavojų“, – komentuoja Andžej Šuškevič.
   
4. Vokietijos socialinis tinklas Knuddels.de buvo nubaustas 20 tūkst. eurų po to, kai įsilaužėliai pavogė 1,8 mln. klientų prisijungimo vardus ir slaptažodžius, kurie buvo laikomi tekstiniu formatu, visiškai neužšifruoti. Pamokos čia dvi: pirma, jautrius duomenis, tokius kaip asmeninė informacija ar prisijungimo duomenys, privalu užšifruoti – tokiu būdu sumažinama rizika, kad programišiai galės jais pasinaudoti. Antra, įsilaužimo nederėtų slėpti.
   „Kompanija apie įsilaužimą priežiūros institucijai pranešė vos jį aptikusi, todėl ir jai skirta bauda yra palyginti nedidelė. Taigi šis pavyzdys rodo, kad tyrimo metu naudinga kooperuotis su jį atliekančiomis institucijomis. Tai laikoma lengvinančia aplinkybe skiriant baudą ar kitą sankciją už pažeidimą“, – teigia „Lewben“ atstovas.
   
5. 99 mln. svarų bauda „Marriott“ viešbučių tinklui skirta nustačius, kad į įsilaužėlių rankas galėjo patekti per 500 mln. lankytojų, kurie registravosi „Starwood“ viešbučiuose, duomenys. Šį viešbučių tinklą „Marriott“ įsigijo dar 2016 metais, tačiau, kaip paaiškėjo, jų sistemos taip ir nebuvo suvienodintos.
   „Vykdant bet kokius sandorius labai svarbu visapusiškai įvertinti asmens duomenų apsaugos klausimus: atliekant įsigyjamos įmonės teisinį auditą reikia įvertinti, ar nėra rizikų, susijusių su asmens duomenų reikalavimų pažeidimais. Toks įvertinimas turi būti atliktas ne tik formaliai, patikrinus ar yra reikalinga dokumentacija, bet ir nustatant, ar tokia dokumentacija atitinka esamą situaciją ir yra jai pritaikyta“, – pabrėžia „Lewben“ atstovas Vytautas Vičius.
   
   „Baltic Amadeus“ ir „Lewben“ ekspertai pastebi, kad ideali atitiktis BDAR nuostatoms reikalauja didelių laiko, finansinių ir žmogiškųjų išteklių. Todėl nieko nuostabaus, kad dar ir šiandien, praėjus daugiau nei metams po šio reglamentavimo įsigaliojimo, didelė dalis verslų nėra atlikę reikiamų veiksmų, kad atitiktų BDAR nuostatas.
   Vis dėlto, kiekviena įmonė turėtų įvertinti bent jau didžiausias jai iš duomenų apsaugos reikalavimų nesilaikymo galinčias kilti teisines ir technines rizikas ir stengtis optimaliausiu būdu jas suvaldyti, kad būtų išvengta verslo tęstinumui grėsmę keliančių sankcijų.