KIBERNETINIS SAUGUMAS TVARKANT ASMENS DUOMENIS

Kibernetinės atakos ir duomenų vagystės vis dažniau skelbiamos žiniasklaidos antraštėse. Vienas tokių pavyzdžių 2020 m. balandžio mėn. tapusi žinoma tarptautiniu mastu veikiančios „Zoom“ platformos nesėkmė, kuomet pusės milijono vartotojų paskyros buvo pavogtos ir parduodamos juodojo tinklo forumuose. Panašu, jog šis įvykis buvo rezultatas iki tol vykusių smulkių įsilaužimų, kurių metu buvo gauti vartotojų vardai ir slaptažodžiai. Išsamesnės analizės metu buvo nustatyta, jog dalis paskyrų priklausė bankų klientams, dalis universitetų darbuotojams visame pasaulyje. Šis atvejis rodo, jog „Zoom“ laiku nesiėmė tinkamų prevencinių saugumo priemonių.

Automatizuotų sprendimų dėka, įmonių veikla tampa vis labiau priklausoma nuo skaitmeninės informacijos, todėl kyla vis didesnė rizika tapti pažeidžiamiems kibernetinėje erdvėje. Ką tai reiškia? Tai reiškia, kad netinkamai įvertintos ir nesuvaldytos rizikos gali turėti skaudžių pasekmių- prarasta įmonės informacija, suteršta reputacija, o po Bendrojo duomenų apsaugos reglamento įsigaliojimo- ir skaudžios finansinės sankcijos.. Siekdami išsiaiškinti, kiek pasauliui kainuoja kibernetiniai nusikaltimai „Accenture“ ir „Ponemon“ kasmet vykdo „Kibernetinių nusikaltimų vertės“ studiją. Paskutinėmis žiniomis vykdomo tyrimo apimtyje ištirtos 355 įmonės iš 11 šalių ir 16 skirtingų industrijų. Tyrimai rodo, kad lyginant su praeitų metų statistika kibernetinių incidentų skaičius 2019 metais padidėjo vidutiniškai 11 procentų.2018 metais kibernetinis nusikaltimas vienai organizacijai kainavęs 1,4 milijono dolerių po metų gali siekti net 13 milijonų dolerių ribą.

Kibernetinis incidentas - įvykis ar veika kibernetinėje erdvėje, galintys sukelti arba sukeliantys grėsmę arba neigiamą poveikį ryšių ir informacinėmis sistemomis perduodamos ar jose tvarkomos elektroninės informacijos prieinamumui, autentiškumui, vientisumui ir konfidencialumui, galintys trikdyti arba trikdantys ryšių ir informacinių sistemų veikimą, valdymą ir paslaugų jomis teikimą.

Kibernetinio incidento sukelto asmens duomenų pažeidimo poveikis organizacijai gali būti labai didelis (baudos, informacijos praradimas, veiklos sutrikimas, reputacijos ir klientų pasitikėjimo praradimas). Todėl kibernetinis saugumas reikalauja nuolatinio dėmesio, pastangų, lėšų bei atsakingo organizacijos bei darbuotojų požiūrio, nes kibernetinės atakos tampa vis sudėtingesnės, rafinuotesnės.

Nacionalinio kibernetinio saugumo būklės ataskaitos duomenimis 2019  metais užfiksuotas 3241 kibernetinis incidentas, kurių tyrimams atlikti reikėjo tiesioginio specialistų įsitraukimo. Tai net triskart daugiau nei ankstesniu laikotarpiu

Pagrindiniai teisės aktai, reglamentuojantys kibernetinį saugumą ir asmens duomenų apsaugą yra Lietuvos Respublikos kibernetinio saugumo įstatymas, Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymas bei Bendrasis duomenų apsaugos reglamentas (BDAR).

Kibernetinės saugos įstatymas taikomas ūkio subjektams, kurie valdo ir prižiūri valstybės informacinius išteklius, ypatingos svarbos informacinę infrastruktūrą, teikia viešųjų ryšių tinklų ir (arba) viešųjų elektroninių ryšių paslaugas, teikia elektroninės informacijos prieglobos (angl. hosting) paslaugas ir skaitmenines paslaugas.

BDAR taikomas visiems ūkio subjektams, tvarkantiems asmens duomenis. BDAR nustato asmens duomenų tvarkymo, saugumo užtikrinimo reikalavimus, asmens duomenis tvarkančių (ar valdančių) subjektų teises ir pareigas bei duomenų subjektų – fizinių asmenų, kurių duomenys tvarkomi, teises.

Nors Lietuva kibernetinėje saugoje vertinama neblogai vis tik kibernetinio saugumo sąmoningumas dar išlieka daugelio organizacijų problema. Ūkio subjektai, kuriems taikomi Kibernetinės saugos reikalavimai yra apsibrėžę saugos procesus, gaires, tačiau saugos užtikrinimas yra vertinamas tik kaip biurokratinė našta.

Krašto apsaugos ministerijoje dirbantys „Kurk Lietuvai” specialistai 2019 m. vykdė smulkiojo ir vidutinio dydžio verslo subjektų apklausą dėl kibernetinio saugumo. Apklausos ataskaitoje pateiktais duomenimis trys iš keturių smulkiojo ir vidutinio verslo įmonių nėra pasiruošusios arba nežino, jog yra pasiruošusios, atremti kibernetines atakas.   Kartu su Nacionaliniu kibernetinio saugumo centru išleido kibernetinio saugumo vadovą smulkioms ir vidutinėms įmonėms su pateiktomis rekomendacijomis, kaip išmintingai subalansuoti kibernetinio saugumo ir verslo plėtros poreikius.

Nei viena įmonė, nepriklausomai nuo dydžio ar veiklos sektoriaus nėra apsaugota nuo kibernetinių incidentų, todėl reikia imtis priemonių mažinančių šią riziką  ir diegti prevencines priemones saugos efektyvumo didinimui. Priežasčių kibernetiniam incidentui kilti gali būti ne viena – netinkamai parinktos saugumo priemonės, neįvertinta rizika, neapmokyti darbuotojai, kas sąlygoja paprastos žmogiškosios klaidos atsiradimą. Itin dažnu atveju būtent darbuotojų sąmoningumas ar kvalifikacijos trūkumas gali sąlygoti netinkamai užtikrintą organizacijos apsaugą. Todėl bendrovei susiduriant su žmogiškųjų resursų problemomis, tinkamai vadovautis teikiamomis rekomendacijomis ir įgyvendinti teisines prievoles gali padėti kompetentingų specialistų komanda. Kvalifikuoti ekspertai turintys ilgametę patirtį kibernetinio saugumo srityje, gebės objektyviai įvertinti realią situaciją, apmokyti darbuotojus bei parinkti tinkamas priemones, kurios bus maksimaliai orientuotos į kibernetinės saugos užtikrinimą bei rizikų suvaldymą.