Šiuolaikiniame pasaulyje, kuriame privatus gyvenimas vis labiau perkeliamas į viešąją erdvę internete, atsiranda vis daugiau klausimų apie kibernetinį saugumą ir asmens duomenų apsaugą. Elektroninėje erdvėje kyla įvairiausių grėsmių ne tik pavieniams asmenims, bet ir privačioms bei valstybinės organizacijoms, kurios priverstos ieškoti būdų, kaip apsaugoti IT turtą, sistemas ir duomenis. Deja, ne visada taikomos apsaugos priemonės būna pakankamos ir neapsaugo nuo kibernetinių incidentų, kurie dažnu atveju yra ir asmens duomenų saugumo pažeidimai. Pavyzdžiui, vienoje automobilių nuomos paslaugų įmonėje dėl netinkamai vykdytos prieigų kontrolės ir netinkamo autentifikavimo buvo prisijungta prie organizacijos duomenų bazės ir nutekinti klientų asmens duomenys. Panašūs pavyzdžiai tampa dažnesni, o tai rodo, kad kibernetinio saugumo ir asmens duomenų apsaugos klausimas tampa vis aktualesnis. Tad kaip saugiai valdyti asmens duomenis šiandienos skaitmeninėje erdvėje?
Mykolo Romerio universiteto doktorantas Aurimas Šidlauskas savo vadybos mokslų krypties disertacijos tyrime pristato asmens duomenų saugaus valdymo elektroninėje erdvėje sistemos modelį. Šis modelis padeda sumažinti asmens duomenų saugumo pažeidimo ir kibernetinio saugumo incidento rizikas. Organizacijoms tvarkant, renkant, apdorojant ir saugant vis daugiau duomenų, didėja rizikos dėl asmens duomenų neteisėto atskleidimo ar praradimo. Be to, griežtėjantys teisės aktai, reglamentuojantys asmens duomenų apsaugą, kelia papildomų iššūkių organizacijoms, nes asmens duomenys privalo būti tvarkomi pagal pagrindinius asmens duomenų tvarkymo principus. Savo tyrimą A. Šidlauskas grindžia ne tik teorinėmis žiniomis, bet ir ilgamete praktine patirtimi kibernetinio saugumo ir asmens duomenų apsaugos srityje. „Į šį modelį sudėjau visą savo mokslinio tyrimo ir darbinę patirtį, galvodamas, kaip užtikrinti asmens duomenų apsaugą ir kibernetinį saugumą organizacijose“, - teigia doktorantas.
Vien tik techninių apsaugos priemonių neužtenka
Duomenys tapo nepakeičiamu šiuolaikinio verslo komponentu. Dauguma organizacijų naudoja informacines sistemas ir jose tvarko didelius duomenų kiekius, be kurių efektyvi veikla taptų neįmanoma. Pasak A. Šidlausko, organizacijos dažnai daro klaidingą prielaidą, jog vien techninės priemonės, tokios kaip antivirusinė ar duomenų praradimo prevencijos (angl. DLP) programinė įranga ir kitos sistemos, gali apsaugoti nuo kibernetinių incidentų. Pasirodo, didžiausią grėsmę kelia žmogiškasis faktorius. Net ir įsigijus brangias apsaugos sistemas, jos gali neatitikti lūkesčių, jei nėra tinkamai sukonfigūruotos ar darbuotojai nėra apmokyti jomis naudotis. Tokiu atveju apsauga tampa neveiksminga, o kibernetiniai nusikaltėliai dažniau renkasi pasinaudoti žmogiškąja klaida, o ne apeiti technines priemones. Doktorantas primena, kad organizacijos privalo užtikrinti asmens duomenų apsaugą, vadovaujantis Bendruoju duomenų apsaugos reglamentu (BDAR). Reglamente nėra konkrečiai įvardinta, kokios techninės ir organizacinės priemonės turi būti naudojamos, kad būtų užtikrintas pavojų atitinkančio lygio saugumas. Todėl organizacija privalo atlikti rizikos vertinimą, kuris padėtų pasirinkti tinkamas technines ir organizacines priemones tam, kad užtikrintų asmens duomenų apsaugą ir kibernetinį saugumą. Jei šie reikalavimai nėra įvykdomi, gali būti taikomos administracinės baudos.
Asmens duomenų saugumo pažeidimas gali brangiai kainuoti
Įvykus asmens duomenų saugumo pažeidimui, tyrimo eigą reglamentuoja teisės aktai. Jei įvykęs kibernetinis incidentas turi asmens duomenų saugumo pažeidimo požymių, galima tikėtis Valstybinės duomenų apsaugos inspekcijos tyrimo. Anot A. Šidlausko, tokiu atveju organizacijos atsiduria po padidinamuoju stiklu: bandoma nustatyti, ar jos vykdė visus įsipareigojimus būtinus užtikrinti kibernetinį saugumą ir asmens duomenų apsaugą.
Doktorantas ragina įmones rimtai žiūrėti į duomenų saugumą, nes ateityje baudos už pažeidimus gali ženkliai išaugti, vadovaujantis kitų šalių praktika.
Turėti daugiau duomenų, tai nereiškia geriau
A. Šidlausko sukurtas asmens duomenų saugaus valdymo elektroninėje erdvėje sistemos modelis siūlo novatorišką sprendimą, skirtą apsaugoti asmens duomenis tiek privačioms, tiek valstybinėms organizacijoms. Modelis apima aiškius žingsnius, padedančius organizacijoms efektyviai valdyti duomenis elektroninėje erdvėje, užtikrinant atitiktį asmens duomenų apsaugos ir kibernetinio saugumo reikalavimams ir sumažinant incidentų riziką.
Viena iš pagrindinių doktoranto rekomendacijų organizacijoms – užtikrinti pagrindinius asmens duomenų tvarkymo principus. Kitas svarbus žingsnis – anonimizuoti arba pseudominizuoti* tvarkomus asmens duomenis, kai tik tai yra įmanoma. Tokie duomenys yra mažiau jautrūs ir jiems apsaugoti gali reikėti mažiau organizacinių ir techninių priemonių. Doktorantas taip pat pažymi, kad besaikis duomenų rinkimas ne visada naudingas organizacijoms: „turėti daugiau duomenų, tai nereiškia geriau“.
Kibernetinis saugumas ir vadovo atsakomybė
Anot A. Šidlausko, organizacijos vadovybė privalo skatinti kibernetinio saugumo ir asmens duomenų apsaugos kultūrą. Nors daugelyje organizacijų dirba duomenų apsaugos pareigūnas, kuris rūpinasi duomenų apsauga organizacijoje, tačiau tai, kad jis yra pavaldus informacinių technologijų skyriaus vadovui, gali kelti interesų konflikto riziką. IT skyriaus vadovo pagrindinis tikslas – užtikrinti sklandų sistemos veikimą ir efektyvumą, o duomenų apsaugos pareigūno prioritetas – apsaugoti duomenis nuo grėsmių ir užtikrinti BDAR reikalavimus. Dėl to gali kilti konfliktas tarp šių dviejų tikslų. Doktoranto patarimas organizacijoms – duomenų apsaugos pareigūnas turėtų būti tiesiogiai pavaldus aukščiausiam vadovui. Tai leistų jam tiesiogiai bendrauti su vadovybe ir pristatyti savo poreikius, taip pat padidintų duomenų apsaugos svarbą organizacijoje ir padėtų gauti reikiamą finansavimą techninėms kibernetinio saugumo ir asmens duomenų apsaugos priemonėms. „Dabar dažnai atsitinka taip, kad vadovybė netgi nežino apie kylančias grėsmes“, – teigia doktorantas.
Saugumas nėra patogumas
„Reiktų suvokti, kad asmens duomenų apsaugos ir kibernetinio saugumo valdymas nėra vien tik patogumas. Kuo daugiau apsaugos priemonių įdiegiame, tuo kartais gali atsirasti daugiau nepatogumų. Tačiau asmens duomenų apsauga ir kibernetinis saugumas reikalauja nuolatinio įdirbio ir pastangų, nes tai yra tęstinis procesas, imlus laikui ir dėmesiui“, – pažymi A. Šidlauskas.
Tad, kokias priemones taikyti? Be aukščiau paminėto kibernetinių grėsmių rizikos vertinimo, kurį organizacijos privalo atlikti atsižvelgdamos į savo specifiką ir verslo modelį, doktorantas pabrėžia švietimo kultūros esminį vaidmenį organizacijose. Tokia kultūra turėtų skatinti reguliarų darbuotojų mokymą, siekiant atnaujinti jų žinias ir įgūdžius kibernetinio saugumo srityje. Deja, kai kurios organizacijos rengia mokymus spontaniškai, kas dažnai būna neefektyvu. Geriausia praktika reikalauja planingo mokymų proceso su aiškiu biudžetu, periodiškumo planu, nustatant, kuriems darbuotojams mokymai skirti, ir siekiant apibrėžti norimus rezultatus.
Vartotojai neturėtų būti pasyvūs stebėtojai
Anot A. Šidlausko, vartotojai privalo aktyviai dalyvauti duomenų apsaugos srityje teikdami organizacijoms tam tikrus asmens duomenis. Vartotojai turi teisę klausti, kodėl organizacijoms reikalingi tam tikri jų asmens duomenys ir kaip jie bus naudojami. Jie taip pat gali reikalauti informacijos apie tai, kiek laiko asmens duomenys bus saugomi ir reikalauti juos ištrinti esant tam tikroms sąlygoms. Jeigu organizacija nesilaiko savo įsipareigojimų ir vartotojas mano, kad jo teisės, kaip duomenų subjekto, yra pažeistos – tuomet jis turi teisę kreiptis į priežiūros instituciją – Valstybinę duomenų apsaugos inspekciją. Vartotojai turėtų taip pat informuoti Valstybinę duomenų apsaugos inspekciją ir Kibernetinio saugumo centrą, jeigu įtaria įvykus kibernetinį incidentą, turintį asmens duomenų saugumo pažeidimo požymių. Tokiu būdu visuomenė gali aktyviai įsitraukti kuriant saugesnę skaitmeninę erdvę.
Straipsnį parengė Mokslo ir inovacijų centro komunikacijos vadybininkė Vilma Losytė.
*Pašalinti iš duomenų asmens tapatybę atskleidžiančią informaciją, tokią kaip vardas, pavardė, adresas ar telefono numeris.