Programišių padaryti nuostoliai – ir teisinė atsakomybė
Svarbu suprasti, kad kiekvienas verslas gali būti programišių taikiniu ir nuo to nėra apsaugota nė viena įmonė. Tačiau kalbėdami apie kibernetines atakas dažnai mąstome tik apie skaitmeninę apsaugą. Visgi kaupiant jautrius asmeninius duomenis neužtenka užtikrinti apsaugos tik iš techninės pusės.
Europos Sąjungoje galiojantis Bendrasis duomenų apsaugos reglamentas (BDAR) numato duomenų saugojimo reikalavimus ir apima tris sritis – teisinę, techninę ir organizacinę. Kibernetinis saugumas yra susijęs su techninės arba organizacinės dalies pažeidimu ir užima nekvestionuojamą vaidmenį, tačiau ypatingai svarbu suprasti ir dažniau praleidžiamą teisinę dalį.
Duomenų nutekėjimo atveju, asmens duomenų apsaugos inspekcija, vertindama pažeidimo kontekstą, kreipia dėmesį į daugiau aspektų. Pavyzdžiui, nors kibernetiniai saugos reikalavimai nereglamentuojami BDAR tiesiogiai, už jų pažeidimą verslui yra taikoma teisinė atsakomybė.
Bendrovei nesusitvarkius teisinės atitikties, žiūrima į tai, kiek apskritai subjektas ėmėsi priemonių duomenų apsaugos reikalavimams užtikrinti. Tad neužtikrinus teisinės dalies, duomenų nutekėjimo atveju pilna atsakomybė tenka verslui.
Žmogiškasis faktorius – dažna silpnybė
Be to, statistika rodo, kad didžioji dalis duomenų apsaugos pažeidimų kyla būtent dėl žmogiškojo faktoriaus, kai, pavyzdžiui, duomenys yra atskleidžiami neatsižvelgiant ar nežinant to, ką iš tiesų įmonė gali atskleisti, ar tiesiog supainiojus gavėjo elektroninio pašto adresus siunčiant jautrią informaciją.
Įprastai darbuotojas turi būti supažindinamas su taisyklėmis, kokius duomenis ir kam gali atskleisti, arba kuriais atvejais turi kreiptis į atsakingą už duomenų apsaugą asmenį. Nesivadovaujant ar paprasčiausiai neišmanant šių taisyklių, pažeidimai labai tikėtini. Svarbu pažymėti, kad už darbuotojo padarytus BDAR pažeidimus reglamente nustatytos baudos įprastu atveju bus skiriamos verslui.
Į teisinį aspektą dar labiau reikėtų atsižvelgti smulkaus ir vidutinio dydžio įmonėms, tačiau dažnu atveju joms yra sudėtingiau pasirūpinti duomenų apsauga. Tai lemia nedidelis biudžetas teisiniam aptarnavimui ar kompetencijos stoka.
Duomenų apsauga yra nuolatinis procesas
Vienkartinis atitikties BDAR įsidiegimas įmonėje nėra ilgalaikis sprendimas. Atsakingas verslas turėtų nuolat tam skirti dėmesį. Panašiai kaip su darbų sauga – galima į ją žiūrėti kaip į dokumentų segtuvo sudarymą arba kaip į nuolatinį procesą, kuris reikalauja dėmesio.
Net ir susitvarkius visus dokumentus, privalu sekti teisinio reguliavimo pasikeitimus ir imtis dokumentų bei procedūrų atnaujinimo. Taip pat svarbu užtikrinti taisyklių laikymąsi įvykus verslo procesų pokyčiams. Įmonės, nekreipiančios į tai dėmesio, paprasčiausiai gali nebeatitikti BDAR reikalavimų. Todėl nuolatinis duomenų apsaugos pokyčių stebėjimas ir atsinaujinimas yra būtinas, norint išvengti brangių pasekmių.
Vis daugiau įmonių šiuo klausimu kreipiasi į teisininkus arba darbo saugos tarnybas, gauna dokumentų segtuvą, kuris neretai tiesiog nugula į stalčių. Todėl norint, kad šis klausimas netaptų problema, reikia į jį pažvelgti moderniau.
Pasaulinėje rinkoje yra nemažai sprendimų, padedančių stambiems verslams lengviau valdyti BDAR atitikties procesus. Smulkiems verslams jie nėra itin patogūs. Tačiau, kaip dažnai nutinka, mažose rinkose gimsta jų dydžiui pritaikytos idėjos.
Smulkiesiems įperkamą automatizuotą duomenų apsaugos sprendimą sukūrė ir lietuviai. Startuolis „Trustguru“ vietoje įprasto dokumentų, reglamentuojančių, kuo reikia pasirūpinti, paketo, atsakingam už duomenų apsaugą asmeniui nuolat rodo aktyvias užduotis į sistemos sukurtą BDAR gidą.
Nuotoliniu būdu įmonės darbuotojai apmokomi asmens duomenų apsaugos klausimais, sistema leidžia generuoti privalomus asmens duomenų apsaugos dokumentus, tokius kaip asmens duomenų veiklos tvarkymo įrašus, pranešimus asmenims, interneto privatumo politiką ir pan. Sistemos naudotojams nereikia sekti pokyčių reguliavime – apie poreikį atsinaujinti dokumentus sistema informuoja visus naudotojus ir taip sumažina žmogiškojo faktoriaus klaidos tikimybę.