Meniu
Prenumerata

trečiadienis, spalio 16 d.


DUOMENŲ SAUGUMAS
Liesųjų duomenų politika: kas ir kiek apie mus žino?
Gytis Kapsevičius

Perteklinės informacijos rinkimas ir kaupimas gali sukelti tiek teisinių, tiek finansinių pasekmių

Skaitmeniniame pasaulyje duomenys lengvai įgyjami ir lengvai prieinami. Popierinių dokumentų laikais norint gauti dominančią informaciją reikėdavo fiziškai būti pastate, o dabar ji pasiekiama iš bet kurio pasaulio kampelio. Paaukojus patogumą dėl saugumo, tenka prisiimti ir pasekmes.

Kibernetinių įsilaužimų pasaulyje daugėja, o nuostoliai tik auga. Kartais apie įsilaužimą galima sužinoti jau gerokai po fakto – kibernetinių atakų tikslas gali būti ir duomenų rinkimas, ketinant juos panaudoti gerokai vėliau. „Didžioji dalis įsilaužimų susiję su ekonomine nauda – siekiama informaciją pavogti ir iš jos uždirbti. Pagal mūsų fiksuojamų incidentų statistiką sėkmingų įsilaužimų 2020-ųjų pirmą pusmetį įvykdyta apie 200 proc. daugiau nei pernai. Jų vis daugėja“, – sakė Nacionalinio kibernetinio saugumo centro (NKSC) direktorius Rytis Rainys.

Kibernetinio saugumo specialistas, Vilniaus universiteto Kauno fakulteto dekanas Kęstutis Driaunys pasakojo, kad pasauliniu mastu dažniausiai kibernetinių atakų taikiniais tampa sveikatos apsaugos, gamybos sektorius, finansinių paslaugų, viešojo sektoriaus, mažmeninės prekybos ir transporto arba logistikos įstaigos. „Čia galima tikėtis didesnio grobio sėkmės atveju, tačiau tokios organizacijos dažniausia būna rimčiau pasiruošusios apsaugoti savo išteklius“, – paaiškino jis.

Žinoma, svarbiausias ginklas yra geros apsaugos sistemos ir tinkama saugos higiena, tačiau šalia šio egzistuoja ir kitas požiūris – jei bus kaupiami tik būtiniausi duomenys, išsipildžius juodajam scenarijui galima apsieiti su mažesniais nuostoliais. Atakos atveju gali nukentėti ne tik verslas tiesiogiai, tačiau ir vartotojai, vis dažniau atiduodantys daugiau asmeninių duomenų už tam tikras paslaugas.

Vienas įsimintiniausių tokią riziką iliustruojančių įvykių Lietuvoje buvo 2017 m. įvykęs įsilaužimas į vienos plastinės chirurgijos klinikos duomenų bazę. Nors įsilaužimai apskritai nėra reti, šis parodė, kas gali atsitikti neapsaugojus itin jautrių klientų duomenų. Pavogtas šios klinikos medicinines bylas buvo grasinama paviešinti, jei nebus sumokėta išpirka. Netrukus žinomų žmonių nuotraukos pasklido internete, o teisėsaugos institucijoms teko gąsdinti šiuos duomenis peržiūrinėjančius interneto vartotojus, kad už tai gresia baudžiamoji atsakomybė. Kalti galiausiai rasti, tačiau padaryta didžiulė žala tiek įmonei, tiek paviešintiems asmenims. Klinika uždarė padalinį Kaune, o Vilniuje veiklą tęsia su kitu prekės ženklu.

Žinoma, tai gana specifinis pavyzdys – pas grožio chirurgus lankomės ne kiekvienas. Tačiau daugybę savo duomenų atiduodame į verslo ir institucijų rankas, pasitikėdami jų kompetencija ir įdiegtais saugumo sprendimais. Ar ne be reikalo?

Nebūkite godūs!

Vienas svarbiausių pastarųjų metų žingsnių siekiant geriau reglamentuoti vartotojo informaciją renkančių subjektų veiklą buvo ES valstybėse įsigaliojęs Bendrasis duomenų apsaugos reglamentas (BDAR). Be kitų sričių, šis dokumentas taip pat apibrėžė svarbius surinktų duomenų tvarkymo aspektus – kaupimo tikslingumą ir jo terminus. Šiose gairėse taip pat akcentuojama, kad saugojimas neturi būti perteklinis.

Įsigaliojus BDAR reglamentui, tarp Lietuvos įmonių pastebėtas nevienareikšmiškas požiūris į duomenų saugojimą. Dalyje įmonių prasidėjo auditai, pasirengimo kai kurių sričių duomenų apsaugos reglamentavimui procesai. Dalis bendrovių gerokai rimčiau pradėjo vertinti teisinius reikalavimus dėl asmens duomenų apsaugos, nors iš esmės tokie patys reikalavimai galiojo ir iki BDAR priėmimo.

„Matyt, lemiamą įtaką daro daug griežtesnė atsakomybė už pažeidimus. Išaiškėjantys pavieniai duomenų vagysčių ar panašūs atvejai sukelia didelį rezonansą visuomenėje ir žiniasklaidoje, realius verslo nuostolius ar atbaido klientus. Visgi turbūt didesnė dalis įmonių tiesiog pasirengė dokumentų paketą ir padėjo jį į stalčių, kad esant reikalui bent ką nors parodytų priežiūros institucijoms – Valstybinei duomenų apsaugos inspekcijai ar kitoms. Turbūt dalis įmonių, ypač mažųjų, išvis nesuka sau galvos dėl BDAR ir mano, kad šis reglamentas joms netaikomas, kol neprasideda patikrinimai, nekyla ginčų su klientais ar darbuotojais“, – spėjo Lietuvos advokatūros IT komiteto pirmininkė, advokatė Monika Misiūnienė.

Anot pašnekovės, tiek privačiame, tiek valstybiniame sektoriuje matoma sąmoningumo, išprusimo šioje srityje ir vidinės kultūros stoka, parengtų dokumentų nuostatų netaikymas ar minimalus taikymas praktikoje. Taikymą praktikoje palengvina duomenų tvarkymo automatizavimo priemonės, tačiau jos reikalauja nemažų investicijų, todėl tai irgi veikia kaip tam tikras atbaidymo veiksnys.

„Dauguma įmonių teisingą duomenų tvarkymą ir tinkamą jų apsaugą laiko podukros vietoje, panašiai kaip su darbų sauga – yra parengti reikalingi dokumentai, bet jie padėti į stalčių, formaliai darbuotojai su jais supažindinti, bet iš tiesų duomenų tvarkymo procesai nekontroliuojami, auditai neatliekami, procedūros neatnaujinamos, paskirti atsakingi asmenys nevykdo realios procesų priežiūros“, – sakė Lietuvos advokatūros IT komiteto narys, advokato padėjėjas Algirdas Tomas Parulis.

Remdamasis BDAR, duomenų valdytojas nustato duomenų tvarkymo tikslus ir priemones, todėl privalo nustatyti ir tokių duomenų tvarkymo ir saugojimo terminus. Valstybės įstaigoms privaloma Bendrųjų dokumentų saugojimo terminų rodyklė, patvirtinta Lietuvos vyriausiojo archyvaro. Privačioms įmonėms ši rodyklė yra rekomendacinė, jos pagrindu kiekviena įmonė turėtų išleisti savo dokumentacijos saugojimo tvarką, kurioje turėtų būti numatyti visi įmonėje tvarkomų dokumentų saugojimo terminai. Tokiame dokumente įmonės gali apsibrėžti ir asmens duomenų saugojimo terminus.

„Jeigu ko nors nerandame Bendrųjų dokumentų saugojimo terminų rodyklėje ar dokumentacijos saugojimo tvarkoje, tačiau žinome, kad tam tikrus asmens duomenis tvarkome, saugojimo terminai vis tiek turi būti apibrėžti vidiniuose institucijos ar įmonės dokumentuose. Reikėtų pasitarti su teisininku, koks turėtų būti protingas saugojimo terminas. Taip pat galimas variantas konsultuotis su Duomenų apsaugos inspekcija, archyvaro įstaiga tiek raštu, tiek žodžiu. Dažnu atveju galima ir nuobaudų skyrimo praktikos analizė, mokantis iš kitų klaidų ar patirties“, – patarė M. Misiūnienė.

Be jau minėtų kibernetinių rizikų, įsigaliojus BDAR įmonės gali sulaukti sankcijų už nenustatytą ir perteklinį duomenų laikmenų neišvalymą, duomenų nesunaikinimą, praleidus atitinkamą sunaikinimo momentą. Tokios įmonės taip pat rizikuoja prarasti tam tikrus duomenis, kurių saugojimo terminas turi būti kitoks, nei nustatyta techniniame sprendime.

„Pabrėžtina, jog pagal BDAR principus duomenys turi būti tvarkomi tik apibrėžtu tikslu. Tačiau tie patys duomenys gali būti tvarkomi skirtingais apibrėžtais tikslais, ir dėl to gali būti nustatytas nevienodas saugojimo terminas“, – sakė A. T. Parulis.

Tą patį asmens duomenį, pavyzdžiui, vardą ir pavardę, valdytojai gali tvarkyti siekdami kelių tikslų. Šie duomenys gali būti numatyti ir sutikime dėl rinkodaros, kuris pagal esamą praktiką galioja 1–2 metus, ir darbo sutartyje, kuri turi būti saugoma 50 metų, kitose sutartyse, saugomose 10  metų. „Jeigu techniniame sprendime nustatysime šio duomens ištrynimą iš visų valdytojo informacinių sistemų po 2 metų nuo jo įvedimo, kyla rizika, jog tas pats valdytojas pažeis pareigą užtikrinti duomenų teisingumą, tikslumą, atsekamumą, išsaugojimo pareigą pagal kitus galiojančius reikalavimus“, – teigė M. Misiūnienė.

Dėl šios priežasties nustatant techninį sprendimą būtina labai atidžiai įvertinti, ar tinkamai nustatytas duomenų sunaikinimo terminas.

Gera spyna ar duomenų mišrainė?

Nustačius reikalingiausių duomenų saugojimo būdus ir laikotarpius, sumažinama rizika dėl įsilaužimo atveju nutekėsiančios privačių asmenų informacijos. Kibernetinius nusikaltėlius gali dominti visos sistemos, kuriose saugomi jautrūs duomenys, tokie kaip klientų adresai, gimimo datos ar kita asmeninė informacija. Tais atvejais, kai tinkle vertingos informacijos nėra, randama kitų būdų įdarbinti naudojamus prietaisus, pavyzdžiui, prijungti prie botnet tinklo ir savininkui nežinant pasitelkti jį kibernetinėms atakoms vykdyti.

Mažos ir vidutinės įmonės turi mažiau galimybių pasinaudoti techninėmis priemonėmis kibernetiniam saugumui užtikrinti, todėl dažniau tampa atsitiktinių virusų aukomis. O atakos prieš didesnes įmones dažniausiai kruopščiai planuojamos.

„Didelės įmonės turi daugiau finansinių galimybių, tačiau ir jos susiduria su papildomomis problemomis. Vienos sunkiausiai išsprendžiamų kibernetinio saugumo problemų yra žmogiškasis veiksnys, o didelėse įmonėse veiklos procesai yra sudėtingesni ir tikimybė tokioms klaidoms įvykti – didesnė“, – sakė K. Driaunys.

Jis mažoms įmonėms siūlo prioritetą teikti edukacijai, supažindinant personalą su nuolat atsirandančiomis naujomis ir egzistuojančiomis grėsmėmis. Tokiu atveju darbuotojai žinos, kaip reikėtų elgtis tam tikroje situacijoje, kokių priemonių imtis įvykus incidentui ar gavus įtartiną laišką, su kuo pasikonsultuoti kilus įtarimų. „Darbuotojų edukacija neturėtų apsiriboti vien kibernetinio saugumo klausimais, reikėtų išmokti tinkamai išnaudoti organizacijoje jau turimus įrankius. Mokymams rekomenduočiau ieškoti kvalifikuotų specialistų, kurie galėtų imituoti kibernetines atakas ir patikrinti, kaip žmonės elgiasi tokiomis sąlygomis, o po to, remiantis išgyventa patirtimi, formuoti naujus teisingos elgsenos įgūdžius“, – pridūrė K. Driaunys.

Tiek didelėms, tiek mažoms įmonėms galioja tie patys minimalūs kibernetinio saugumo reikalavimai.

Pirmiausia – VPN naudojimas. Tai – virtualus privatus tinklas, kuriame keičiamasi užšifruotais duomenimis. Per jį reikėtų organizuoti visą įmonės komunikaciją. „Taip pat atkreipčiau dėmesį į belaidžio ryšio maršrutizatorius, naudojamas „Wi-Fi“ stoteles ir jų apsaugą. Jos dažnai neapsaugotos dėl nežinojimo, nors paprastai nustatymuose yra tam skirti mechanizmai. NKSC yra išleidęs atmintinę, ką reikėtų atlikti su maršrutizatoriumi, norint apsaugoti savo tinklą“, – sakė R. Rainys.

Trečias saugumo dėmuo yra pats darbo įrankis – gerai paruoštas kompiuteris. Įsilaužimo rizika padidėja, jei asmuo darbui su įmonės ar organizacijos duomenimis naudoja namų kompiuterį, kurį papildomai savo reikmėms galbūt naudoja ir kiti šeimos nariai. „Stenkitės nesinaudoti svetimu įrenginiu, o jei teko tai padaryti, baigdami darbą atsijunkite nuo autentifikacijos reikalaujančių svetainių, neišsaugokite prisijungimo informacijos, išvalykite interneto istoriją. Grįžę prie savo kompiuterio, pasikeiskite paslaugos, kuria naudojotės svetimame kompiuteryje, slaptažodį. Visus įrenginius privalo saugoti slaptažodis, grafinis užraktas ar kitokia slapta informacija. Taip pat ji privaloma visoms paskyroms. Visur, kur įmanoma, naudokite dviejų faktorių autentifikaciją“, – patarė K. Driaunys.

Abu saugumo ekspertai pabrėžia atsarginių kopijų darymo svarbą, nes vienas labiausiai paplitusių incidentų yra duomenis užkoduojantys, išpirkos reikalaujantys virusai (ransomware). „Tokiu atveju galima išsisukti su minimaliais nuostoliais – perdiegti sistemą ir persikelti duomenis iš atsarginės kopijos. Bet jei jos nėra – nuostoliai gali būti labai dideli. Vien šiais metais buvo šimtai atvejų, tokie išpuoliai ant bangos“, – sakė R. Rainys.

Įmonės skaitmeninei apsaugai skiriamos lėšos labai priklauso nuo jos veiklos. Tokių sričių kaip elektroninės prekybos ar finansų įmonėms reikėtų tuo susirūpinti labiau, nes, DDoS (atsisakymo aptarnauti) atakai išjungus serverius, gali sutrikti esminė įmonės veikla. „Tarp mūsų specialistų sklando nerašyta taisyklė, jog kibernetinės apsaugos priemonėms reikėtų skirti bent 10 proc. viso IT numatyto biudžeto. Bet tai tik pradžia – įvertinus savo įmonės rizikos laipsnį gali prireikti ir daugiau lėšų“, – pabrėžė R. Rainys.

Pašnekovas sutinka, kad tiek iš saugumo, tiek iš teisinės pusės perteklinis duomenų kaupimas nėra gera taktika, nors rinka tarsi sakytų priešingai – duomenų talpyklos pinga, tad jas laikyti tampa mažesne finansine našta.

Tačiau jei duomenis kaupti būtina, kaip medicininių išrašų atveju, yra dvi išeitys. Viena – jau aptartieji saugumo stiprinimo sprendimai. Tačiau geresne taktika R. Rainys laiko duomenų šifravimą. „Tai – daugiau kainuojantis procesas, be to, užšifruoti duomenys užima daugiau vietos. Tačiau jis laikomas geresne strategija – tokie duomenys net ir pavogti būtų beverčiai, nes įsilaužėliams jų iššifruoti būtų neįmanoma“, – sakė saugumo ekspertas.

Pasidaryk pats

BDAR yra taikomas ir privalomas vykdant profesinę veiklą, todėl individualią veiklą vykdantys asmenys pagal BDAR taip pat turi tokias pačias pareigas kaip ir visi kiti valdytojai. Tvarkomų duomenų apimtis bus mažesnė, mažiau tvarkymo tikslų, palyginti su vidutinėmis ar didelėmis įmonėmis, valstybės įstaigomis, tačiau atsakomybė nuo to nesumažėja.

Lietuvos advokatūros IT komiteto specialistai išskiria šiuos žingsnius, kuriuos turi atlikti individualią veiklą vykdantis asmuo:

2021 01 15 06:48
Spausdinti