Į ką turėtų atkreipti įmonės, kaupiančios klientų duomenis? Kiek turėtų investuoti į duomenų apsaugą? Kaip turėtų bendrauti viešumoje bendrovė susidūrusi su duomenų nutekinimu? Apie tai Delfi laidoje „Verslo požiūris“ kalbėjosi „Lewben Group“ Teisės paslaugų vadovas Vytautas Vičius, viešųjų ryšių agentūros „Nova Media“ partneris, komunikacijos specialistas Arijus Katauskas ir kibernetinio saugumo ekspertas Marius Pareščius.
Iš teisinės pusės apie asmens duomenų apsaugą kalbėjęs V. Vičius pabrėžė, kad duomenis kaupia ir juos saugoti turi visos įmonės, net ir tos, kurios kartais nepagalvoja turinčios jautrių duomenų.
„Bet kuri įmonė kaupia duomenis ir turi juos apsaugoti: vienos įmonės, pavyzdžiui, gamybinės, turi darbuotojų duomenis, bet nekaupia klientų, o kitos kaupia daugiau duomenų apie klientus: ne tik vardus, pavardes, adresus, bet ir slaptažodžius, atsiskaitymo duomenis“, – pastebėjo jis.
Todėl, pasak diskusijos dalyvio, svarbiausias dalykas, į kurį turi atkreipti dėmesį verslas, – įmonės turi žinoti, kokius duomenis turi, juos tinkamai inventorizuoti, numatyti procedūras ir prieigas.
Kokių veiksmų imtis
„Ką dažnai matome iš savo klientų, kad jie net nežino, kiek duomenų turi, o tuomet padidėja ir klaidos galimybė, kad kažkas gali duomenis netinkamai pamatyti, atskleisti ar paviešinti. Ir tai gali būti ne tik programišiai, kaip matėme paskutiniais atvejais, bet tai gali būti ir įmonės darbuotojai. Lietuvoje gal tokių pavyzdžių dar neturime, bet Didžiojoje Britanijoje, Vokietijoje ir kitose šalyse, tokių pavyzdžių jau yra, kai supykę įmonės darbuotojai turimas duomenų bazes patalpina internete, o tokiu atveju įmonėms gali grėsti atsakomybė“, – įspėjo V. Vičius.
Įmonės turėtų nepamiršti, kad bet kokių asmens duomenų paviešinimas, atskleidimas pagal Bendrąjį duomenų apsaugos reglamentą sukelia atsakomybę. Būtent jis, pasak V. Vičiaus, ir numato, ką turi daryti įmonė, jei nutekinami bendrovės kaupti duomenys.
„Pirmiausiai reikia identifikuoti, kokio tai pobūdžio pažeidimas. Jei tai asmens duomenų nutekėjimas, tai privaloma apie tai pranešti priežiūros institucijai – šiuo atveju Valstybinei duomenų apsaugos inspekcijai, – kokių veiksmų turėtų imtis įmonė, pasakojo laidos dalyvis. – Taip pat reikėtų susirinkti visus įrodymus, kokie įmonei tik galimi ir prieinami, kad ji galėtų priimti sprendimus dėl tolimesnių veiksmų, žiūrėti, kokia žala padaryta. Jei padaryta žala didelė, tai tuomet reikia apie pranešti inspekcijai, kuri atlieka tyrimą, jai teikti duomenis, nes tai gali būti labai svarbu vertinant, ar tai taps sunkinančiomis ar lengvinančiomis aplinkybėmis“.
Apžvelgdamas „CityBee“ atvejį, pašnekovas būtent ir paminėjo, kad iš pradžių buvo galima jausti santūresnę komunikaciją iš bendrovės, nenorą atskleisti informacijos pobūdžio masto, tačiau vėliau vartotojams net buvo sukurta galimybė pasitikrinti, ar jų duomenys buvo nutekėję.
Pagrindinis taikinys – vartotojų duomenys
„Lewben Group“ atstovas komentavo, kad įmonės turėtų rūpintis visais turimais duomenimis, nesvarbu, ar tai klientų asmeneniniai duomenys ar įmonės finansiniai dokumentai. Tiesa, visgi V. Vičius pastebi, kad programišius labiausiai vilioja klientų duomenys.
„Galbūt Lietuvoje girdime mažiau situacijų, kai nutekinami finansiniai ar kiti įmonių duomenys. Pagrindinis programišių tikslas – vartotojų duomenys, kur būtų pasisavinamas ne tik vardas, pavardė, el. paštas, ką galima panaudoti identiteto vagystei, bet ir slaptažodžiai, kortelių duomenys, kuriuos nusikaltėliai galėtų toliau naudoti savo nusikaltimams vykdyti“, – aiškino diskusijos dalyvis.
Specialisto teigimu, įmonės turėtų atsakingai žiūrėti į visus turimus duomenis, tačiau kartais tą ne visas verslas supranta.
„Dirbant su įmonėmis kartais matome, kad ne visi verslai apskritai supranta, kas yra asmens duomenys ir kaip jie gali būti panaudoti, todėl bendra rekomendacija – visus duomenis saugoti vienodai, nes to nepadarius galima turėti didesnę riziką, kad per vieną silpną zoną gali būti patenkama į kitą ir galiausiai kažkurie duomenys gali nutekėti. Todėl svarbu nuosekliai apsaugoti visus duomenis ir nesudaryti jokių prielaidų jiems prarasti“, – patarė pašnekovas.
Pasiteiravus, kas įmonėje turėtų būti atsakingas už duomenų apsaugą, V. Vičius teigė, kad teisiškai atsakingas įmonės vadovas.
„Bet bendrai šiek tiek didesnės įmonės turi arba duomenų apsaugos specialistus, ar teisininkus, ar atitikties pareigūnus. Kartais tuo rūpinasi ir IT specialistai. Vis dėlto vienareikšmiškai įmonėje turi būti paskirtas atsakingas žmogus, nes pastarieji įvykiai rodo, kad vien formalus požiūris į duomenų apsaugą neveikia“, – įžvalgomis dalijosi specialistas.