Šių metų vasario pabaigoje nuvilnijęs skandalas, kuomet net kelios didelės kompanijos patyrė programišių atakas, kurių metu buvo nutekinti asmeniniai įmonių paslaugomis besinaudojančių asmenų duomenys, privertė sunerimti ne vieną. Klientai piktinosi, kodėl nėra užtikrinamas jų duomenų saugumas, kompanijos, savo ruožtu, ėmė ieškoti priežasčių ir sprendimų, kad tokie išpuoliai nepasikartotų.

Išankstiniai signalai ir galimos klaidos

Ar įmonės galėjo turėti išankstinių signalų apie galimus įsilaužimus į jų sistemas? Pasak „Sabelijos“ informacinių technologijų specialisto Mariaus, mąstant dėl kokių veiksnių įvyko ši duomenų nutekėjimo istorija, galima spekuliuoti įvairiai, nes saugumo pažeidimo ir duomenų grobstymo atvejai buvo galimai slepiami - savalaikio suinteresuotų šalių informavimo nebuvo. Specialisto nuomone, viena iš galimų priežasčių galėtų būti tai, kad organizacijos faktiškai neskyrė dėmesio įgyvendinti organizacines ir technines saugumo priemones būtina apimtimi bei nesilaikė gerųjų programinės įrangos kūrimo praktikų.

 „Yra eilė organizacinių ir techninių saugumo priemonių bei gerųjų programinės įrangos kūrimo praktikų, kurias organizacijos turėtų taikyti, kad apsaugotų savo klientų informaciją“ – teigia specialistas. Visgi, jei asmens informacijos praradimo ar grobimo faktas jau įvyko, būtina imtis visų priemonių, kad apsaugoti savo klientus: informuoti klientus bei atsakingas institucijas, sudaryti ir vykdyti veiksmų planą, kad būtų užkirstas kelias galimam informacijos praradimui ateityje. „Kad tai nepasikartotų svarbiausia, atsakingai ir rimtai žiūrėti į asmens duomenų saugą bei BDAR (bendrojo duomenų apsaugos reglamento - aut.past.) reikalavimus“ – rekomendacijomis dalinasi specialistas Marius.

Asmens duomenų apsauga – ir pačių vartotojų rankose

Tam, kad apsaugotų savo duomenis, vartotojai, pasak informacinių technologijų žinovo, gali proaktyviai teirautis, kokiais būdais saugomi jų asmens duomenys. „Savo duomenis - banko kortelių ir panašią informaciją,reikėtų patikėti tik toms organizacijoms, kurios turi gerą reputaciją asmens duomenų saugos srityje. Vienas iš bazinių požymių, kuriuos galima stebėti svetainėse net neturint specialių žinių - saugaus protokolo nebuvimas (HTTP vietoje HTTPS). Jei svetainė turi teisinių problemų (ypač viešai matomų), tai signalizuoja, kad asmens duomenys gali būti teikiami rizikingam portalui. Jei duomenys buvo paviešinti, būtina nedelsiant pakeisti visus naudojamus slaptažodžius. Taip pat patikrinti, ar nebuvo iš naudojamų el. pašto adresų ar socialinių tinklų paskyrų išsiųsti apgaulingi laiškai kontaktų sąrašui. Jeigu tai įvyko, būtina informuoti klaidinančią informaciją gavusius kontaktinius asmenis“ – teigia specialistas.

Svarbiausia - prevencija

Svarbu laiku įsivertinti ar kompanijos duomenų apsaugos sistema funkcionuoja tinkamai. Čia organizacijoms gali pagelbėti specialistai, kurie nustatys asmens duomenų apsaugos rizikos lygį bei atitikimą taikomiems reikalavimams. Pasak „Sabelijos“ darbų saugos ir sveikatos specialistės Gabrielės Bandzinaitės, įmonei, susirūpinusiai jos tvarkomų asmens duomenų saugumu, reikalinga įsivertinti duomenų nutekėjimo riziką, atliekant Tvarkomų asmens duomenų saugumo priemonių ir rizikos įvertinimą. Šis žingsnis padėtų nustatyti galimą duomenų nutekėjimo rizikos organizacijoje laipsnį, kuris parodo, koks BDAR reikalavimų (techninių ir organizacinių priemonių) atitikties auditas turi būti atliekamas. Būtent atliktas auditas, pagal BDAR nuostatas, nurodys organizacijos duomenų tvarkyme esančias silpnąsias vietas bei tolimesnius žingsnius, siekiant maksimaliai užtikrinti asmens duomenų apsaugą. Audito rezultatai suformuoja pagrindą veiksmų planui, kurį organizacija turėtų įgyvendinti tam, kad eliminuotų iš asmens duomenų apsaugos kylančias ir su jomis susijusias rizikas. Tiesa, specialistė pabrėžia, jog svarbu nepamiršti, kad dokumentai bei įsidiegtos sistemos ne visada gali apsaugoti nuo žmogiškosios klaidos. Darbdaviui tenkanti atsakomybė už darbuotojų atliekamus veiksmus, tyčia ar dėl neatsargumo nutekinant duomenis, gali skaudžiai atsiliepti organizacijai finansiškai. Siekiant išvengti tokio pobūdžio nusižengimų, yra rekomenduojama vykdyti periodinius mokymus darbuotojams Asmens duomenų saugojimo tema. Svarbu nedelsti ir tinkamu duomenų saugojimu pradėti rūpintis kuo greičiau, kad anksčiau aptarti duomenų nutekėjimo atvejai nepasikartotų.

Parengė: Jovita Lukičiova