Kas geriau: saugus verslas ar jokio?

Kas geriau: saugus verslas ar jokio?

2018-05-25

Tyrimų duomenimis, 80% vadovų pasiruošimą BDAR laiko vienu iš trijų svarbiausių verslo prioritetų, tačiau artėjant įsigaliojimui tik trečdalis manė, kad reikalavimams yra visiškai pasiruošę. Tomas Stamulis, Atea Informacijos saugos valdymo grupės vadovas, sako, kad sunkiausia įgyvendinti BDAR reikalavimus toms bendrovėms, kurios iki šiol išvis nesirūpino duomenų apsauga ar į pasiruošimo procesą neįtraukė aukščiausio lygio vadovų.

Kibernetinės saugos rinkodaros kompanijos „Crowd Research Partners“ atliktoje apklausoje dalyvavę ES verslo vadovai tikina, kad Bendrojo duomenų apsaugos reglamento (BDAR) įgyvendinimui sunkiausia ruoštis todėl, jog stinga lėšų (taip mano 50% apklaustųjų), trūksta išmanymo (taip mano 48% apklaustųjų) ir specialistų, kurie nuodugniai paaiškintų, ko konkrečiai reikalauja reglamentas  (37% apklaustųjų). Tyrimo rezultatai atskleidžia, kad 27% kompanijų vadovų apskritai nėra tikri, jog BDAR jiems pavyks pasiruošti laiku.

Moka už aplaidumą

Tomas Stamulis nesiginčija: pasiruošimo BDAR procesas reikalauja nemažai investicijų. Visgi, anot pašnekovo, į tokią duobę save įstūmė pats verslas – daugumai bendrovių duomenų apsauga iki šiol neatrodė nei prioritetas, nei problema, todėl jai nebuvo skiriama pakankamai lėšų ar resursų.

„Duomenų apsauga niekada nebuvo aiškiu verslo prioritetu. Dažnu atveju įmonės tam tikrų asmens duomenų, tokių kaip darbuotojų duomenys, kontaktinis telefono numeris, el. pašto adresas, IP adresas, nelaikydavo asmens duomenimis, todėl asmens duomenų saugumu buvo rūpinamasi labai atmestinai arba visai nesirūpinama. Didžioji dalis verslo į duomenų apsaugą neinvestavo daugiau kaip 10 metų, todėl neverta stebėtis, kad priėmus BDAR pasigirdo kalbų apie milžiniškas investicijas ir didžiules sąnaudas. Paskaičiuokite: jei asmens duomenų apsauga įmonė rūpintųsi keletą metų, dabar ūmai atsiradusias sąnaudas ji būtų galėjusi išskirstyti iš jos neatrodytų taip baugiai“, –  prisiminti aritmetiką siūlo Tomas Stamulis.

Žinoma, ne visoms kompanijoms prireikia vienodų investicijų. Anot eksperto, neįsigilinus į konkrečios bendrovės veiklą ir situaciją gana sunku patarti, į ką investuoti būtų svarbiausia.

„IT ūkis, informacinės sistemos, kuriuose tvarkomi asmens duomenys, skiriasi tiek IT požiūriu, tiek pagal jų panaudojimą. Vienos įmonės duomenis saugo centralizuotai, vienoje sistemoje ar duomenų bazėje, kitos – keliose sistemose, trečios asmens duomenis tvarko tik kompiuteryje ar el. paštu, todėl kiekvienu atveju galima pasiūlyti skirtingų patarimų. Kalbėdamas apie saugumą, pirmiausia siūlyčiau pasirūpinti asmens duomenų prieigos užtikrinimu. T.y., asmens duomenis saugokite ten, kur galėsite kontroliuoti, kas prie jų gali prieiti, kokius veiksmus gali atlikti. Tam, kad įvykus incidentui išvengtumėte problemų, būtinai darykite ir saugokite audito įrašus – juose matysite, kas, kada ir kaip asmens duomenis tvarkė. Taip pat privalote užtikrinti įrenginių, kuriuose tvarkomi duomenys, saugumą. Pavyzdžiui, jeigu asmens duomenys apdorojami kompiuteriu, jis turėtų būti apsaugotas slaptažodžiu,  pasirūpinta šifruota atmintimi, įdiegta kokybiška antivirusinė programa, būtinai naudojamasi legalia programine įranga, atskirai daroma ir saugoma asmens duomenų kopija ir t.t., – patarimus beria T. Stamulis. – Informacines sistemas reikia pritaikyti taip, kad užtikrintumėte duomenų subjektų teises. Pavyzdžiui, duomenų subjektui paprašius ištrinti jo duomenis, turėkite galimybę tą padaryti nesudėtingai, nesugriaudami visos sistemos. Kitas atvejis – jei duomenų subjektas prašo pateikti informaciją apie tvarkomus jo duomenis, turėkite galimybę juos nesudėtingai surinkti“.

Branginantiems reputaciją

Daug kalbama apie tai, kad BDAR naudingas tik toms įmonėms, kurios kuria bei diegia saugumo sprendimus, o kitoms bendrovėms lengviau matuoti naštą, nei įžvelgti apčiuopiamos naudos. Visgi, pasak T. Stamulio, reglamento teikiamą naudą patartina vertinti plačiau.

„Klientai ir partneriai visame pasaulyje daug palankiau atsiliepia apie verslą, kuris rūpinasi saugumu. Jeigu įmonė vertina savo informaciją, prioretizuoja jos saugumą, lengviau daryti prielaidą, jog ji brangina ir klientų ar partnerių pateiktą informaciją, – sako ekspertas. – Nuo senų laikų yra susiformavusi nuomonė, jog susikoncentravus į saugumą nukenčia verslas. Taip pat manoma, kad investicijos į saugumą yra papildomos, dažnai niekam nereikalingos išlaidos – mažinant biudžetą būtent jų atsisakoma pirmiausiai. Tačiau ne visada įvertinama, kad numojus ranka į saugumą kyla grėsmė pačiam verslui – įvykus incidentui gali tekti padengti didelę žalą. Pasaulis gyvena skaitmenizacijos eroje, ir saugos tema tampa vis aktualesnė. Pasitelkęs informacines technologijas, verslas perkelia ir optimizuoja savo veiklas. Norint užtikrinti, kad veikla vyktų be trikdžių, garantuoti pajamas, sumažinti galimus praradimus ir žalą būtina imtis atitinkamų saugumo priemonių.“

Tas bendroves, kurios į reglamento reikalavimus kol kas nusprendė žvelgti pro pirštus, anot eksperto, paklusti BDAR privers aplinkybės.

„Viešojo ir privataus verslo atstovai, kurių veikla atitiks BDAR reikalavimus, pirkdami prekes ar paslaugas to paties reikalaus ir iš rangovų, kai perkamos paslaugos bus susijusios su asmens duomenimis bei jų tvarkymu. Todėl įmonės, kurios norės dalyvauti pirkimo konkursuose, turės atitikti BDAR. Kitaip sakant, verslą, kuris norės išlikti rinkoje, pati rinka anksčiau ar vėliau privers susirūpinti duomenų apsauga“, – tikina pašnekovas.

Vadovams dalyvauti būtina

Net ir tie vadovai, kurie pripažįsta saugos svarbą, neretai pabrėžia, jog BDAR – pernelyg techniškas ir painus taisyklių rinkinys. Daliai jų atrodo logiška, pasiruošimo BDAR procesą atiduoti į IT ir teisės skyrių rankas arba patikėti šią paslaugą siūlantiems specialistams iš šalies. Tai, anot p. Stamulio, vienos didžiausių verslo daromų klaidų.

„Įmonės gana dažnai atitikties BDAR paslaugas perka iš trečiųjų šalių ir daro klaidą samdydamos tik teisininkus arba tik IT specialistus. Nei teisės, nei IT specialistai individualiai neatliks visos apimties darbų, – nuodugniau vertinti situaciją ragina T. Stamulis. – Net tokiu atveju, kai teisininkai ar IT specialistai yra jūsų darbuotojai, jie neišmanys absoliučiai visų įmonės veiklos niuansų, todėl būtina į procesą nuo pat pradžios įtraukti daugiau įmonėje dirbančių skirtingų sričių specialistų. Tik su konkrečia informacija dirbantys specialistai gali pasakyti, kokie duomenys jiems reikalingi, kiek laiko jų reikia, kokiose sistemose tie duomenys tvarkomi ir pan. Sakykime, BDAR reglamentui jus ruošia teisininkas ir IT specialistas, tačiau jie nė nenutuokia, jog marketingo skyrius tiesioginę rinkodarą vykdo ne tik el. paštu, bet ir telefonu ar klientams siųsdami popierinius reklaminius pranešimus. Tokiu atveju net nepriekaištingai atlikdami savo darbą ekspertai paliks spragų, kurios nuo jų nepriklauso, bet įmonei gali tapti lemtingomis. Bėda ta, kad dažnai įmonės vadovybė per menkai arba iš viso nedalyvauja ruošiantis BDAR, nesuteikia pakankamų įgaliojimų atsakingam darbuotojui, todėl šis negali į šį procesą įtraukti visų reikalingų darbuotojų“.

Kita klaida – manymas, kad naujasis reglamentas svarbesnis kitiems verslams, bet ne maniškiui.

„BDAR vienodai svarbus visam verslui ir tie, kas į reglamento reikalavimus numojo ranka, sulauks pasekmių, – atsainumo netoleruoja pašnekovas.

Ragina dalintis kompetencija

Ragindamas į procesą įtraukti kuo daugiau darbuotojų, Tomas Stamulis sako, kad IT specialistai turėtų patys rodyti daugiau iniciatyvos – juk BDAR tiesiogiai susijusi su jų veiklos sritimi.

„Kiekvienas  darbuotojas turi rūpintis duomenų saugumu, o pamatęs kažką, kas kelia nerimą ar atrodo neteisėta, įtardamas, kad buvo pažeistas saugumas, privalo informuoti atsakingus asmenis. IT specialistai šioje srityje dažnai turi daugiau kompetencijos, todėl galėtų pamokyti kitus darbuotojus kaip reikia elgtis tvarkant asmens duomenis, į ką atkreipti dėmesį dirbant su IT priemonėmis, – siūlo ekspertas. – Apskritai net tada, kai atlieka savo tiesioginius pavedimus IT specialistai turėtų žvelgti plačiau: ne tik rūpintis sklandžia sistemų ar kompiuterių veikla, bet ir skirti daugiau dėmesio saugumo priemonėms, kruopščiau vertinti kiekvieną incidentą. Pavyzdžiui, jeigu virusas užšifravo kompiuterio failus, neužtenka atstatyti tuos failus – reikia išsiaiškinti, kodėl taip įvyko ir imtis priemonių, kad tai nepasikartotų“.

Ruošiantis BDAR būtina:

  1. Inventorizuoti tvarkomus duomenis (tvarkomi duomenys, tvarkymo būdas, tvarkymo vieta, tvarkymo tikslas, tvarkymo forma, tvarkymo terminas, tvarkantys asmenys ar padaliniai, duomenų gavėjai ir teikėjai);
  2. Nustatyti duomenų rinkimo teisinį pagrindą;
  3. Atrinkti reikalingus asmens duomenis ir sunaikinti nereikalingus duomenis;
  4. Atlikti asmens duomenų tvarkymą bei saugumą reglamentuojančių įmonės dokumentų auditą;
  5. Įvertinti ar vietos, kuriose tvarkomi asmens duomenys, atitinka BDAR reikalavimus;
  6. Atlikti techninių ir organizacinių asmens duomenų apsaugos priemonių ir jų veiksmingumo auditą;
  7. Įvertinti rizikas (poveikį) tvarkomų asmens duomenų saugumui;
  8. Nustatyti, ko trūksta, kad būtų įgyvendinti reglamento reikalavimai, ir paskirti už tai atsakingus asmenis;
  9. Įgyvendinti reglamento reikalavimus;
  10. Nuolat vertinti asmens duomenų tvarkymo procesus, tvarkomų duomenų apimtis, tvarkymo tikslus, asmens duomenų saugumą, atsiradus pokyčiams – atlikti pakeitimus, kad ir toliau būtų tenkinami reglamento reikalavimai;
  11. Nuolat mokyti darbuotojus apie asmens duomenų tvarkymą ir saugumą.
Tomas Stamulis
Informacijos saugos valdymo grupės vadovas