Asmens duomenų saugumo pažeidimai: skaičius ženkliai išaugo

Remiantis Valstybinės duomenų apsaugos inspekcijos (toliau – VDAI) tinklalapyje[1] skelbiama duomenų saugumo pažeidimų apžvalga[2], per metus nuo Bendrojo duomenų apsaugos reglamento 2016/679 (toliau – BDAR) įsigaliojimo VDAI išnagrinėjo 141 pranešimą dėl asmens duomenų saugumo pažeidimą, 54 iš jų – nuo šių metų pradžios. Lyginant su ankstesniais metais (2017 m.  – 7, 2016 m. – 8[3]) šis skaičius ženkliai išaugo. Tiesa, augimą galėjo lemti ne tik padidėjusi kibernetinių incidentų ar kitų duomenų saugos pažeidimų grėsmė, bet ir pasikeitę BDAR reikalavimai. Pagal BDAR nuostatas pareigą pranešti apie duomenų saugumo pažeidimą turi ne tik elektroninių ryšių paslaugų ar tinklų teikėjai, bet ir visi kiti duomenų valdytojai (tiek viešieji, tiek privatūs juridiniai asmenys, taip pat fiziniai asmenys). Ne visos organizacijos dar pakankamai įvertina, koks naudingas gali būti duomenų apsaugos pareigūnas. Kokių pamokų, siekdami, kad būtų sumažinta duomenų saugumo pažeidimų atsiradimo rizika, gali pasimokyti duomenų valdytojai analizuodami minėtą VDAI apžvalgą?

Pamoka Nr.1 – turi būti įgyvendinamas prieigos prie asmens duomenų valdymas

Remiantis VDAI paskelbta duomenų saugumo pažeidimų apžvalga[4] ir vadovaujantis VDAI rekomendacijomis[5] bei skirstant pažeidimus pagal jų tipus:

• patys dažniausi – konfidencialumo praradimo pažeidimai (t.y., tokie pažeidimai, kai be leidimo ar neteisėtai atskleidžiami asmens duomenys arba gaunama prieiga prie jų), tokių per metus nuo BDAR įsigaliojimo užfiksuoti net 103, kas sudaro 73% visų pažeidimų;
• antroje vietoje – vientisumo pažeidimai (kai asmens duomenys pakeičiami be leidimo ar netyčia), tokių – 22 pažeidimai arba 16% visų pažeidimų;
• nedaug atsilieka ir prieinamumo pažeidimai, kai netyčia arba neteisėtai prarandama prieiga prie asmens duomenų arba sunaikinami asmens duomenys, tokių – 16 pažeidimų, kas sudaro 11% visų pažeidimų.

Toks pažeidimų pasiskirstymas rodo, kad duomenų valdytojai skiria nepakankamą dėmesį prieigos prie asmens duomenų valdymo kontrolei, t.y., neužtikrina, kad kiekvienam asmeniui, tvarkančiam asmens duomenis būtų žinoma tik tiek duomenų, kiek būtina jo duomenų tvarkymo ar darbo funkcijoms įgyvendinti. Galimai duomenų valdytojai nepritaiko savo naudojamų IT sistemų prieigai prie asmens duomenų kontroliuoti (pvz., neužtikrinamas unikalus IT sistemos naudoto prisijungimo vardas ir slaptažodis ar nesudaroma galimybė kurti, patvirtinti, peržiūrėti ar panaikinti naudotojų paskyras, nevengiama naudoti bendras naudotojų paskyras ar kt.). Galimai nesirūpinama komercinių paslapčių ir kitos konfidencialios informacijos apsauga. Kitaip tariant, duomenų valdytojai nesivadovauja arba nepakankamai įgyvendinamos BDAR nustatytos ir VDAI rekomenduojamos[6] BDAR organizacinės ir techninės asmens duomenų saugumo priemonės.

Siekiant sumažinti duomenų saugumo pažeidimų riziką minėtu aspektu, duomenų valdytojams reikalinga užtikrinti, kad prieiga prie asmens duomenų būtų suteikta tik tiems darbuotojams, kuriems ji būtina darbo funkcijoms atlikti bei įgyvendinti technines prieigos valdymo priemones (pvz., suteikti IT sistemos naudotojams prisijungimo vardą ir slaptažodį, užfiksuoti su asmens duomenimis atliekamus tvarkymo veiksmus ir kt.). Įvertinus duomenų valdytojo procesus, turi būti parengta ir įgyvendinama Prieigos prie asmens duomenų valdymo politika ir kiti vidaus teisės aktai. Plačiau apie tai galite skaityti mūsų ankstesnėje publikacijoje čia.

Pamoka Nr.2 – BDAR mokymai darbuotojams turi būti vykdomi periodiškai

VDAI paskelbtoje duomenų saugumo pažeidimų apžvalgoje[7] ypatingą dėmesį skiria pagrindinei duomenų saugumo pažeidimų atsiradimo priežasčiai – žmogiškajai klaidai. Ši priežastis nulėmė kas antrą per paskutinius metus VDAI nagrinėtą duomenų saugumo pažeidimą (71 iš 141). Tokį priežastingumą gali lemti netinkama darbuotojų kompetencija, didelis darbo krūvis ar nepritaikyta darbo aplinka (pvz., netinkamos IT sistemos ar jų apsaugos trūkumai). Nepakanka, kad organizacijoje būtų parengta Duomenų saugos pažeidimų pranešimo tvarkos aprašas ar Reagavimo į asmens duomenų saugumo pažeidimus procedūra. Jau minėta VDAI apžvalga ir rekomendacijomis[8] ne kartą buvo atkreiptas dėmesys į darbuotojų mokymų svarbą, laikant, kad BDAR mokymai yra efektyviausia priemonė, siekiant sumažinti duomenų saugumo pažeidimų atsiradimo riziką. VDAI laikosi nuomonės, kad personalo mokymai apie duomenų apsaugos ir saugumo procedūras (pvz., slaptažodžių naudojimas ir prieiga prie konkrečių IT sistemų) yra svarbūs tinkamam organizacinių ir techninių saugumo priemonių įgyvendinimui ir prevencijai dėl netyčinio duomenų sunaikinimo, praradimo, pakeitimo, atskleidimo be leidimo ar neteisėtos prieigos prie jų. VDAI rekomenduoja, kad BDAR mokymai būtų vykdomi periodiškai, ne rečiau kaip kartą per metus.[9] Minėtų rekomendacijų įgyvendinimas efektyviai prisidėtų, kad asmens duomenų saugumo pažeidimo atsiradimo rizika būtų sumažinta.

Pamoka Nr.3 – turi būti vykdoma nuolatinė taikomų duomenų saugumo priemonių peržiūra ir atnaujinimas

Augant kibernetinių incidentų skaičiui (vadovaujantis VDAI duomenų saugumo pažeidimų apžvalga: 2018 m. 13 iš 87, 2019 m. 14 iš 54 duomenų saugumo pažeidimų buvo kibernetiniai incidentai[10]) ypatingai svarbu užtikrinti, kad taikomos duomenų saugumo priemonės būtų efektyvios bei nuolat atnaujinamos. Nepakanka, Siekiant nustatyti jų efektyvumą rekomenduojama atlikti tvarkomiems asmens duomenims kylančių rizikų vertinimą bei atsižvelgiant į jo rezultatus atitinkamai pasirinkti technines ir organizacines duomenų saugumo priemones. Šias priemones, atsižvelgiant į galimas naujas rizikas ir nustatytų priemonių taikymo efektyvumą, reikalinga periodiškai peržiūrėti ir esant poreikiui atnaujinti. Taip pat ypatingai svarbu skirti dėmesį asmens duomenų atkūrimui po duomenų saugumo pažeidimo, t.y., reguliariai atlikti atsargines kopijas, būti pasirengus įgyvendinti veiklos tęstinumo planus, sekti IT sistemose atliekamus pakeitimus asmens duomenų tvarkymo procese.

Peržiūrėti planus