Asmens duomenų saugumo pažeidimas (ADSP) apima bet kokį netyčinį ar neteisėtą asmens duomenų praradimą, sunaikinimą, pakeitimą, atskleidimą ar be leidimo gautą prieigą. Tai gali atsitikti dėl įvairių priežasčių: nuo netinkamų IT saugumo praktikų, žmogiškų klaidų iki kibernetinių atakų. Pavyzdžiui, įsilaužėlis užšifruoja duomenų bazes arba sukeičia skirtingų asmenų duomenis.
Taip pat ADSP gali būti, jei net ir netyčia suteikiate prieigą paslaugų teikėjui prie informacijos, kurios jis neturi teisės gauti. Pavyzdžiui, jei tiesioginės rinkodaros paslaugų teikėjui suteikiame prieigą prie klientų, kurie davę tiesioginės rinkodaros sutikimus el. paštų pasiūlymams siųsti, tačiau kartu paslaugų teikėjas netyčia gauna prieigą ir prie buhalterinių duomenų, įskaitant darbuotojų atlyginimus.
Žmogiškosios klaidos - pagrindinė ADSP priežastis
Valstybinės duomenų apsaugos inspekcijos (VDAI) skelbiama statistika už 2025 metus rodo, kad žmogiškosios klaidos sudaro apie 58 proc. visų ADSP.
Kylanti panika dėl pažeidimo ir kaip ją suvaldyti?
Kai įvyksta ADSP, dažnai kyla panika - kaip tai paveiks įmonės reputaciją, kas bus su klientais ir kokios gali būti finansinės pasekmės. Tačiau svarbu racionaliai įvertinti situaciją ir atsiminti, kad greita ir sisteminga reakcija gali sumažinti žalos mastą.
Karštasis krizės valdymo etapas susideda iš keturių pagrindinių žingsnių: vidinis pranešimas atsakingam asmeniui, užkardymas, analizė ir, kai reikia, pranešimai institucijoms bei su pažeidimu susijusiems asmenims.
Darbuotojų vaidmuo ir atsakomybė
Darbuotojai patys neturėtų spręsti, ar tai ADSP, vertinti jo pobūdžio - tą reikėtų labai aiškiai jiems paaiškinti mokymų metu. Kilus bet kokiam įtarimui, darbuotojai turėtų nedelsiant pranešti atsakingam asmeniui. Jei ima panika ir nežinoma, kam reikia pranešti, o vidinių taisyklių skaityti nėra kada, visada pasiteisina praktika pranešti IT departamentui ar žmogui, kuris rūpinasi IT dalimi.
Būna, kad vidinėse tvarkose būna nurodyta, kad darbuotojai, pastebėję ADSP, turi pranešti atsakingam asmeniui per 8 darbo valandas. Tai yra žalinga praktika, nes per tą laiką verslas gali sugriūti.
Nedelsiant reaguoti ir užkardyti pažeidimą
Atsakingas asmuo, gavęs informacijos apie ADSP, privalo nedelsiant pažeidimą užkardyti. Pavyzdžiui, jei tai nutekėjimas, atjungti duomenų bazę nuo tinklo, jei laiškas, išsiųstas netinkamam adresatui, pamėginti atšauti laišką (kai kurie funkcionalumai tai leidžia padaryti), o jei tai neįmanoma, išsiųsti prašymą nedelsiant gautą laišką ištrinti.
Analizuoti pažeidimo tipą ir mastą
Užkardžius pažeidimą, reikėtų nedelsiant nustatyti pažeidimo tipą ir jo mastą. Ar tai buvo žmogiška klaida, ar kibernetinė ataka? Kiek žmonių ir duomenų palietė? Kokia galima žala? Kuo greičiau išsiaiškinsite situaciją, tuo lengviau bus ją suvaldyti.
Kada pranešti apie ADSP Valstybinei duomenų apsaugos inspekcijai?
Jei ADSP gali kelti pavojų fiziniams asmenims, apie ADSP reikia pranešti VDAI ne vėliau kaip per 72 valandas nuo sužinojimo momento, o jei kyla didelis pavojus, tuomet privaloma nepagrįstai nedelsiant pranešti ir patiems asmenims, kurių duomenys pažeisti.
Tai labai trumpas laiko tarpas, nes per tris dienas reikia susirinkti visą informaciją apie ADSP, įvertinti jo rūšį, nustatyti, kokie duomenys pažeisti. Iš praktikos galiu pasakyti, kad sunkiausia nustatyti ADSP priežastį, nes jų gali būti įvairių: nuo darbuotojo aplaidumo siunčiant laiškus iki prisegtuko iš darbuotojui atsiųsto laiško atidarymo. Tam kartais reikia pasitelkti net ekspertus, kad ateityje būtų panaikintos silpnosios duomenų saugumo vietos. Neišaiškinta ADSP priežastis - tai lyg namuose paliktos atviros durys.
Ar skaudžios ADSP pasekmės?
Jei kalbėti apie baudas, pagal VDAI 2025 metų statistiką Lietuvoje buvo gauti 223 pranešimai apie ADSP. Per šiuos metus VDAI skyrė 5 baudas, kurių bendra suma siekia 27 529 eurus. Vidutiniškai viena bauda tenka 45 pranešimams apie pažeidimus, kas rodo, kad baudos skiriamos gana retai ir vien pranešimas paprastai automatiškai neužtraukia baudos, kaip dažnai baiminamasi.
Tačiau baudos nėra blogiausia, kas gali nutikti, nes gali grėsti ir civiliniai ieškiniai bei reputacinė žala ar net verslo paralyžius.
Kaip įmonės gali pasiruošti ADSP situacijoms?
Asmens duomenų saugumo pažeidimai yra rimtas iššūkis kiekvienai organizacijai, tačiau teisinga ir laiku atlikta reakcija gali sumažinti žalos mastą. Svarbu turėti iš anksto parengtą veiksmų planą, kuris apimtų ne tik krizės valdymą, bet ir savalaikį pranešimų teikimą.
Praktikoje pastebima, kad vienas iš veiksmingiausių būdų - asmens duomenų apsaugos atitikties programos įgyvendinimas. Gera programa yra nuoseklus verslo taikomų priemonių rinkinys, kuris, pirmiausia, skirtas nustatyti rizikas, susijusias su asmens duomenų apsaugos reikalavimų pažeidimais. Taip pat svarbu šviesti bei instruktuoti darbuotojus, kad jie žinotų, kaip elgtis vienoje ar kitoje situacijoje, t. y. suteikti „atspirties taškus“ verslo sprendimų priėmimui.
Suprantama, kad šiuo metu greičiausiai nerasime vienos asmens duomenų apsaugos reikalavimų atitikties programos, kuri tiktų visiems verslams be išimties. Mažos kepyklėlės ir elektroninės parduotuvės, veikiančios keliose skirtingose valstybėse, tvarkomų asmens duomenų apimtis bei taikomi reikalavimai gali smarkiai skirtis. Todėl paprastai atitikties programos įgyvendinimui reikalingi veiksmai bei priemonės priklauso nuo konkretaus verslo specifikos, poreikių bei ateities planų.
1. Nusistatykite, kokia organizacija norite būti
Konkretaus verslo taikoma duomenų apsaugos strategija priklauso nuo įvairių aplinkybių, pavyzdžiui, organizacijos brandos lygio, turimo biudžeto, konkurentų veiksmų bei institucijų vykdomų tyrimų ar priimtų aktualių teismų sprendimų. Veiklą pradedančio „startuolio“ tikslas gali būti suvaldyti tik pagrindines rizikas, kurios gali turėti įtakos jo veiklos tęstinumui, tačiau jo turimų resursų gali nepakakti įdiegti pačius pažangiausius techninius ir organizacinius asmens duomenų valdymo sprendimus. Tuo tarpu tokioms organizacijoms kaip bankai ir draudimo bendrovės, kurių veiklos pagrindą sudaro didelių apimčių asmens duomenų tvarkymas ir vartotojų keliami aukšti saugumo standartai, kiekvienas asmens duomenų apsaugos reikalavimų pažeidimas gali sukelti milžiniškų neigiamų pasekmių.
2. Įvertinkite esamą padėtį ir individualizuokite atitikties programą
Viena iš dažniausių klaidų diegiant atitikties programą - teisinių reikalavimų įgyvendinimas iki galo neįvertinus su verslu susijusių aplinkybių. Kitaip tariant, atitikties programa turi būti individualizuota. Nustačius organizacijos esamą padėtį bei taikomus asmens duomenų apsaugos įsipareigojimus, reikia įvertinti pažeidimų atsiradimo tikimybę praktikoje. Tai apima daugybės aplinkybių, tokių kaip duomenų rūšis (darbuotojų ar klientų duomenys), kokio jautrumo tai duomenys, kas turi prieigą prie šių duomenų organizacijos viduje ir iš išorės, kokie taikomi saugumo procesai ir priemonės, ar anksčiau buvo pažeidimų. Tai padės nustatyti, koks gali būti galimų pažeidimų poveikio mastas, kokią riziką organizacija galėtų toleruoti ir kokių priemonių reikėtų imtis.
3. Parenkite taisykles, kuriose būtų pateikiami aiškūs nurodymai dėl asmens duomenų tvarkymo organizacijoje
Ne visos rizikos yra valdomos vienoda apimtimi ir tais pačiais būdais. Be to, organizacijos viduje gali būti taikomos ir kitos prevencinės priemonės (pinigų plovimo, konkurencijos teisės, mokesčių ir pan.), kurios gali nesutapti su asmens duomenų apsaugos reikalavimais. Todėl darbuotojams būtina žinoti, kokių taisyklių laikytis konkrečiose situacijose ir kaip nepasimesti tarp skirtingų reikalavimų.
Paskirkite atsakingus asmenis
Dažnai pasitaiko, kad asmens duomenų apsaugos atitikties programų svarbiausi klausimai „pasiklysta“ tarp teisės, personalo, IT ir atitikties departamentų. Kiekviena organizacija atsakomybes gali paskirstyti skirtingai, tačiau svarbu, kad už kiekvieną užduotį atsakingas asmuo turėtų reikiamų žinių ir kompetencijų šiai užduočiai atlikti bei gebėtų suprasti ne tik taikomus teisinius reikalavimus, bet ir verslo poreikius.
Į programos įgyvendinimą įtraukite vadovybę
Tinkama vadovų komunikacija parodo, kad asmens duomenų klausimas organizacijai yra svarbus ir skatina darbuotojų atsakingą požiūrį. Be to, vadovybės palaikymas sukuria sąlygas gauti tinkamus išteklius atitikties programos įgyvendinimui, t. y. reikalingą biudžetą, techninius resursus, personalą ir pan.
Švieskite darbuotojus
Mokymai darbuotojams ir asmens duomenų apsaugos problematikos žinomumo didinimas yra viena iš svarbiausių ir efektyviausių priemonių, padedančių užkirsti žmogiškųjų klaidų grėsmę. Asmens duomenų apsaugos pažeidimai dažnai nutinka ne dėl techninių priemonių ar saugos sistemų trūkumų, o dėl darbuotojų veiksmų, kuriuos lemia paprasčiausias neišmanymas.
Atlikite stebėseną ir kontrolę
Daug skirtingų veiksnių gali lemti pažeidimų atsiradimą. Reguliarūs auditai, įskaitant atsitiktinius bei neplaninius auditus, yra puiki priemonė įvertinti atitikties programos veikimą. Net ir geriausi anksčiau sukurti ir įdiegti procesai, vidinė dokumentacija bus bevertė, jeigu neatitiks dabartinių aktualijų ir reikalavimų.
Nuolat atnaujinkite taikomas asmens duomenų pažeidimo prevencijos priemones ir metodus
Asmens duomenų apsaugos reikalavimų užtikrinimas yra tęstinis procesas.
Paskaita „Kiekvienas turime teisę į asmens duomenų apsaugą“
tags: #meriot #bauda #duomenu #apsaugojimas