Rugsėjo 7 d. jau trečius metus iš eilės Vilniuje vykusi IT konferencija „ESET Security Day Lietuva 2017“ pritraukė per 250 dalyvių iš privataus ir viešojo sektoriaus. Šiemet duomenų apsaugos ekspertai dalinosi įžvalgomis ir patarimais, kaip pasiruošti esminei asmens duomenų apsaugos reformai – kitais metais įsigaliosiančiam ES Bendrajam duomenų apsaugos reglamentui (BDAR, angl. GDPR).
Pasak duomenų apsaugos ekspertų, pasiruošimą reglamentui atidėliojančios organizacijos turėtų suklusti, nes pereinamojo laikotarpio nebus – jis yra dabar. „Pravartu atminti, kad asmens duomenų apsauga yra nuolatinis procesas, o ne vienkartinis veiksmas“, – teigia dr. Darius Štitilis.
Gerai pradžiai – auditas
Organizacijoms, tvarkančioms asmens duomenis, rekomenduojama jau dabar įvertinti esamą situaciją ir atlikti vidinį IT auditą: kokius asmens duomenis jos kaupia, kur juos saugo, kokias apsaugos priemones ir vidines darbo taisykles taiko, kad šių duomenų apsauga būtų maksimaliai užtikrinta.
„Iš savo patirties galiu sakyti, kad tinkamas auditas gali užtrukti iki dvejų mėnesių, reikalingų priemonių ar pakeitimų įgyvendinimas – antra tiek. Visos organizacijos, nepriklausomai nuo veiklos srities, turėtų apsisaugoti nuo potencialių grėsmių, net jei tokių niekada nepatyrė. Ypač svarbu saugotis ne tik išorinių pavojų, bet ir užkirsti kelią vidinėms grėsmėms: duomenų nutekinimui, kenksmingiems veiksmams dirbant su jautria informacija“, – pataria „Safetica“ atstovas Miloš Blata.
Tuo tarpu, „BSA | The Software Alliance“ atstovas Lietuvoje Andrius Pranckevičius įvardina keturis esminius žingsnius, ruošiantis BDAR laikymuisi: esamos situacijos įvertinimas, saugumo poreikių nustatymas, dokumentų parengimas ir reguliarumo užtikrinimas.
Atskaitomybės principas – ne tik vadovams
Viena iš BDAR atnešamų naujovių asmens duomenų apsaugos srityje yra atskaitomybės principas: organizacijoms suteikiama laisvė pačioms rinktis, kokias priemones naudoti valdant ir tvarkant kaupiamus asmens duomenis, bet atsakomybė išauga – prireikus jos turės pateikti visus įrodymus, kaip organizacijoje yra užtikrinama duomenų apsauga.
Planuojama, kad viešojo sektoriaus organizacijoms sankcijos už saugumo pažeidimus bus taikomos mažesnės nei privačiam sektoriui. Pasak Valstybinės duomenų apsaugos inspekcijos (VDAI) direktoriaus pavaduotojos Dijanos Šinkūnienės, tokį sprendimą diktuoja pats valstybės biudžetas: nėra tikslo skirti didesnes baudas, kai biudžeto lėšos cirkuliuoja iš vienos valstybinės įstaigos į kitą.
Tradiciškai atsakomybė dėl saugumo pažeidimų gula ant organizacijos vadovo pečių, tačiau ir čia gali būti išimčių. „Jei įmonė yra apsirašiusi vidaus tvarką ir yra numačiusi, kad už tam tikrus saugumo pažeidimus yra atsakingas IT saugumo specialistas ar kitas darbuotojas, tokiu atveju, vadovo kaltė mažėja“, – komentuoja dr. D. Štitilis.
Vis dėlto asmens duomenų saugumo pažeidimo atveju sankcijos visų pirma bus skiriamos pačioms įmonėms ir organizacijoms, o ne konkrečiam darbuotojui. Savo ruožtu Andrius Pranckevičius ragina IT specialistus nebūti abejingais ir rūpintis duomenų apsauga, nelaukiant vadovo nurodymo.
ESET Nyderlandai vykdomasis direktorius Dave Maasland pataria organizacijoms pradėti nuo elementarios saugumo higienos: naudoti ilgus ir sudėtingus slaptažodžius. „Šiandien nebepakanka 8 simbolių slaptažodžio – naudokite 16, 25. Kritinėms sistemoms būtinai naudokite dvigubą autentifikaciją“, – pataria D. Maasland.
Turime potencialo būti ekspertais
Ilgametę diplomato patirtį turintis Europos Komisijos atstovybės Lietuvoje vadovas Arnoldas Pranckevičius pastebi, kad saugumas ir gynyba galėtų būti nauja ES vienijanti dimensija po „Brexit“.
„Lyginant pasauliniame kontekste ES investicijos į gynybą atsilieka nuo kitų valstybių – tiek JAV, tiek Rusijos ir Kinijos. Tačiau supratimas apie saugumo svarbą auga, šiandien kaip niekada yra svarbi sinergija tarp ES ir NATO“, – teigia Arnoldas Pranckevičius.
Pasak diplomato, Baltijos regionas yra pažeidžiamas, bet turi didelę ekspertizę – profesionalius saugumo specialistus, sparčiai augančią technologinę pažangą. Tad Lietuva gali tapti viena iš pirmaujančių saugumo eksperčių Europoje.
„Paradoksalu yra tai, kad Vakaruose yra didesnės investicijos ir galimybės, tačiau supratimas apie saugumo svarbą bei potencialias grėsmes yra gerokai mažesnis nei Lietuvoje. Privatumas, užtikrintumas, duomenų apsauga yra svarbūs saugumo komponentai, tad viskas prasideda nuo supratimo. Visos tos naujos asmens duomenų apsaugos taisyklės yra mūsų pačių interesas: apsaugoti save, savo įmones, taip pat ir valstybines paslaptis, iš esmės – auginti mūsų atsparumą“, – sako A. Pranckevičius.
