Informacijos saugos užtikrinimas

Informacijos saugos užtikrinimas

2019-05-30

Metai po Bendrojo duomenų apsaugos reglamento Europoje

Praėjus lygiai metams po Bendrojo duomenų apsaugos reglamento (BDAR) įsigaliojimo norime apžvelgti, visgi kas pasikeitė per šį laikotarpį? Kaip įmonės tvarkosi su reglamentu ir kurios vietos yra vis dar opios.

Prisiminkime 2018 metus, kuomet gegužės 25 d. mes rašėme apie atlikta tyrimą, kurio rezultatai parodė, jog 80% vadovų pasiruošimą BDAR laikė vienu iš trijų svarbiausių verslo prioritetų, tačiau artėjant įsigaliojimui tik trečdalis manė, kad reikalavimams yra visiškai pasiruošę. Kibernetinės saugos rinkodaros kompanijos „Crowd Research Partners“ atliktoje apklausoje dalyvavę ES verslo vadovai tikina, kad BDAR įgyvendinimui sunkiausia ruoštis todėl, jog stinga lėšų (taip mano 50% apklaustųjų), trūksta išmanymo (taip mano 48% apklaustųjų) ir specialistų, kurie nuodugniai paaiškintų, ko konkrečiai reikalauja reglamentas (37% apklaustųjų). Tyrimo rezultatai atskleidžia, kad 27% kompanijų vadovų apskritai nėra tikri, jog BDAR jiems pavyks pasiruošti laiku. Tokie duomenys buvo dar prieš 2018 m. gegužės 25 d. Kitas, 2019 m. pradžioje atliktas TrustArc tyrimas parodė, kad tik 20% Europoje esančių įmonių atitinka BDAR reikalavimus, o 27% dar nepradėjo reglamento įgyvendinimo. Šiuos skaičius patvirtina ir kita statistika, kuri pateikia, jog Europoje, remiantis European Data Protection Board duomenimis, jau yra gauti daugiau, nei 95 000 vartotojų nusiskundimų nesilaikant BDAR. Taip pat skirtingose valstybėse skirta ne viena bauda, kurią turi susimokėti pažeidimus atlikusios įmonės ar viešojo sektoriaus įstaigos. Primename, bauda gali siekti iki 2–4 proc. ankstesnių finansinių metų bendros metinės pasaulinės apyvartos, arba iki 10 000 000 – 20 000 000 EUR.

Metai po Bendrojo duomenų apsaugos reglamento Lietuvoje

Pirmiausia pradėkime nuo to, kad įmonių susidomėjimas saugumo reikalavimai išaugo, klientai domisi ir klausia patarimų. Anot, Atea informacijos saugos valdymo grupės vadovo Tomo Stamulio apie atliekamus įmonių auditus domisi ne tik didžiausios Lietuvos įmonės, bet ir mažesni verslai. Tai įrodo, jog nėra svarbu, kokio dydžio yra įmonė, kokią veiklą ji vykdo, svarbu kokį kiekį duomenų įmonė turi ir kaip vertina rizikas susijusias su asmens duomenų apsauga ar reikalavimu neįgyvendinimu. Po įmonės užklausos siūlome atlikti atitikties vertinimą ir surasti kur įmonė neatitinka ar iš dalies neatitinka Reglamento reikalavimų, pateikti rekomendacijas neatitikčių įgyvendinimui.

Po atliekamų vertinimų įmonės elgiasi pakankamai skirtingai, vienos pasirengia planą neatitikčių įgyvendinimui, kitos įgyvendina tik tas rekomendacijas, kurios nereikalauja didelių išlaidų ar įgyvendina tik rekomendacijas iš teisinės pusės, trečios nesiima jokių veiksmų, taip prisiimdamos kylančias rizikas.

Iki gegužės vidurio nebuvo girdėti nei apie vieną Lietuvoje esančią įmonę, kuriai tektų sumokėti baudą už Reglamento ar asmens duomenų tvarkymo pažeidimą, tačiau prieš kelias savaitės spaudoje pasirodė pirmasis atvejis. Valstybinė duomenų apsaugos inspekcija įmonei, kuri pažeidė BDAR ir netinkamai tvarkė klientų duomenis skyrė 61,5 tūkstančių eurų baudą. Jei dar prieš mėnesį laiko Lietuvoje esančios įmonės galėjo jaustis ramiai, gaudamos tik rekomendacijas dėl galimų pažeidimų, dabar baudos tapo realybe. Todėl itin svarbu ne tik atlikti įvertinimą, tačiau vėliau imtis veiksmų, sprendžiant kylančias rizikas.

Saugumas užtikrina įmonės reputaciją, veiklos tęstinumą

Įmonėje kaupiamų duomenų saugumas svarbus ne tik todėl, kad būtų lengviau išvengti baudos už BDAR nesilaikymą, bet taip pat išlaikyti įmonės reputaciją. T. Stamulio manymu, kuomet laikomasi saugumo reikalavimų įmonė atrodo patikimesnė ne tik klientui, bet ir partneriui. Įmonės vertindamos savo veiklos rizikas vertina ir informacijos saugumo riziką, todėl jei mato grėsmę, jog dėl partnerių (ne)veiksmų gali kilti ar kyla informacijos saugumo rizika šalia kokybės, aplinkosaugos ir kt. reikalavimų, partneriams nustato reikalavimus ir informacijos saugumui. Jei šie nustatytų reikalavimų nesilaiko, ne retai nutraukiami santykiai.

Visgi reikia pripažinti, jog Lietuvoje vis dar trūksta informacijos vartotojui apie jo asmens duomenis. Dažnas pirkėjas, pasitikėdamas įmone, jai pateikia savo duomenis tam, kad galėtų įsigyti prekes su nuolaida ar gauti lojalaus pirkėjo kortelę ir pan. Taigi, pirkėjai ne visuomet įvertina kokius svarbius duomenis atiduoda ir nežino, kur jie nukeliauja toliau. Kadangi vartotojai nėra tokie reiklūs, įmonės tuo naudojasi ir duomenis tvarko ne visada atsakingai.

Duomenų apsauga rūpinasi ne tik privatus sektorius. Specifinių sektorių įmonėms, viešajam sektoriui, ypatingos svarbos informacinės infrastruktūros valdytojams informacijos saugumo, kibernetinio saugumo reikalavimai nustatyti anksčiau, siekiant užtikrinti jų paslaugų teikiamumą, informacijos saugumą, atsparumą kibernetinėms grėsmėms. Tačiau tikrai ne visi subjektai atitinka jiems keliamus reikalavimus, randama ne viena ir ne dvi dingstys reikalavimams neįgyvendinti.

Informacijos saugumo procesai ir priemonės prisideda prie įmonės veiklos tęstinumo užtikrinimo, todėl stengiamės padidinti savo esamų ir potencialių klientų supratingumą informacijos saugumo srityje, ne tik dėl to, kad įmonės negautų baudos, bet ir dėl to, kad nesustotu jų veikla, nebūtų prarastos pajamos, klientai.

Rekomendacijos

Jeigu Jūsų įmonė vis dar neturi sprendimo, kaip apsaugoti duomenis, užtikrinti įmonės veiklos tęstinumą įvykus informacijos saugumo incidentui ir/ar užtikrinti BDAR, pirmiausia įmonėms rekomenduojama atlikti informacijos saugumo vertinimą (auditą), po kurio pateikiama ataskaita, išskiriamos kylančios grėsmės ir rekomendacijos neatitikčių šalinimui. Kartu su vertintojais įmonės gali nustatyti prioritetus rekomendacijoms pagal jų svarbą, įgyvendinimo terminą, reikalingus išteklius. Svarbiausia atminti, kad vertinimas saugumo problemų neišsprendžia, o tik parodo, ką reikia spręsti norint apsaugoti informaciją ar duomenis.
Patariame gerai apgalvoti ar lengviau užkirsti kelią kylančioms saugumo grėsmėms, ar atstatyti pusiausvyrą po incidento. Nereikėtų pamirši, kad turėtų būti parenkamos adekvačios saugumo priemonės, t. y. saugumo priemonės neturi būti brangesnės nei saugoma informacija ar veikla.
Ir jei Jūs vis dar turite klausimų, kodėl reikia apsaugoti duomenis, esančius įmonėje ir nuo ko pradėti tai daryti, susisiekite su mūsų informacijos saugumo ekspertais.

Tomas Stamulis
Informacijos saugos valdymo grupės vadovas