Kaip išvengti saugumo pažeidimų?

Kasmet pranešimų apie asmens duomenų saugumo pažeidimus daugėja. Daugiau nei pusė pažeidimų įvyksta dėl žmogiškosios klaidos (dėl žmogaus padaromų veiksmų, kurie pasireiškia neapdairumu, nežinojimu, kad veiksmai gali sukelti pažeidimą). Trečdalis pažeidimų įvyksta dėl kibernetinių incidentų, kadangi įmonės neįvertina galimų rizikų ir neįdiegia tinkamų techninių ir organizacinių priemonių.

Visi supranta, kad visiškai išvengti klaidų niekam nepavyks, tačiau neužtikrinus tinkamo asmens duomenų saugumo lygio, gali kilti rimtos pasekmės: gali blogėti įmonės įvaizdis, mažėti klientų ir tiekėjų pasitikėjimas, būti patirti dideli finansiniai nuostoliai, po įvykusio saugumo incidento arba net veiklos nutrūkimas. Saugių asmens duomenų užtikrinimas yra tiek asmenų, tiek duomenis tvarkančių įmonių pareiga.

Siekiant įvertinti kiekvienos duomenų tvarkymo operacijos keliamą riziką, pirmiausia patartina nustatyti galimą poveikį atitinkamų asmenų teisėms ir laisvėms. Duomenų saugumą sudaro trys pagrindiniai komponentai: duomenų vientisumo, prieinamumo ir konfidencialumo apsauga. Todėl įmonės turėtų įvertinti riziką, susijusią su:

  • neteisėta arba atsitiktinė prieiga prie duomenų – konfidencialumo pažeidimas (pvz., tapatybės vagystė, atskleidus visų įmonės darbuotojų darbo užmokesčio lapelius ar kitą informaciją);
  • neteisėtas arba atsitiktinis duomenų pakeitimas – vientisumo pažeidimas (pvz., klaidingas asmens apkaltinimas, nustatytas pagal klaidingai atliktus įrašų sistemose pakeitimus);
  • duomenų praradimas arba prieigos prie duomenų praradimas – prieinamumo pažeidimas (pvz., nesugebėjimas teikti tolesnių paslaugų klientui dėl kliento istorijos duomenų bazėje praradimo).

Antra, įmonės turėtų nustatyti rizikos šaltinius (t. y. kas arba kokia galėtų būti kiekvieno saugumo incidento priežastis), atsižvelgiant į vidinius ir išorinius žmogiškuosius šaltinius (pvz., IT administratorius, naudotojas, kibernetinis nusikaltėlis, konkurentas) ir vidinius ar išorinius ne su žmonėmis susijusius šaltinius (pvz., vandens žalą, pavojingas medžiagas, netikslinius kompiuterinius virusus).

Šių rizikos šaltinių nustatymas leidžia identifikuoti galimas grėsmes, t. y. kokiomis aplinkybėmis galėtų įvykti saugumo incidentas, pagalbinėms priemonėms (pvz., aparatinei įrangai, programinei įrangai, ryšių kanalams, popieriui ir t. t.). Grėsmės gali pasireikšti:

  • netinkamu naudojimu (pvz., piktnaudžiavimas suteiktomis teisėmis);
  • modifikavimu (pvz., programinės įrangos užvaldymas įdiegiant klaviatūros paspaudimų registravimą ar kitas kenkėjiškas programas);
  • praradimu (pvz., nešiojamojo kompiuterio vagystė, USB rakto pametimas);
  • stebėjimu (pvz., ekrano stebėjimas traukinyje, įrenginių geografinės padėties stebėjimas);
  • būklės blogėjimu (pvz., vandalizmas, natūralus nusidėvėjimas);
  • perkrovimu (pvz., įrenginio perpildymas, paslaugos trikdymo ataka).
  • neprieinamumu (pvz., prieigos netekimas).

Taigi, nustačius rizikos šaltinius bei identifikavus galimas grėsmes, galima ženkliai sumažinti saugumo pažeidimų atsiradimą. Įmonėms tereikia nustatyti esamas ir planuojamas organizacines ir technines priemones kiekvienai rizikai šalinti (pvz., valdyti prieigų kontrolę, užtikrinti atsarginių kopijų darymo reguliarumą, patalpų saugumą, naudoti duomenų pseudonimizavimą ar šifravimą) bei vykdyti nustatytų priemonių stebėseną, atliekant periodinius saugumo auditus, užtikrinant po jų sudarytų veiksmų planų įgyvendinimą.

Šis teisininko komentaras laikytinas bendro pobūdžio konsultacija. Siekiant individualios teisinės konsultacijos konkrečiu atveju turėtumėte kreiptis į advokatų profesinę bendriją „NEWTON LAW“ el. paštu info@newtonlaw.lt arba tel. +370 668 33866

Asta

Kederytė

a.kederyte@newtonlaw.lt +37064789067