Valstybinė duomenų apsaugos inspekcija (VDAI) neseniai paskelbė sveikatos priežiūros įstaigų stebėsenos rezultatus, kurie dar kartą patvirtino kritinę tendenciją: organizacijose procesai dažnai reglamentuoti tik formaliai, neužtikrinant jų realaus įgyvendinimo. Verslo tęstinumas ir BDAR atitiktis sveikatos sektoriuje šiandien neatsiejami nuo informacinių sistemų atsparumo, o nustatytos spragos rodo sisteminio rizikų valdymo trūkumą.
Rizikų valdymas: nuo popierinių taisyklių prie veikiančios sistemos
VDAI gairėse pabrėžiama, kad viena jautriausių sričių išlieka duomenų prieinamumo ir vientisumo užtikrinimas. Inspektuotose įstaigose dažnai trūksta aiškios struktūros, kaip valdoma atsarginių kopijų (dalinių / pilnų) kūrimo ir atkūrimo politika.
Ekspertiniu vertinimu, tai nėra tik techninis IT klausimas. Tai – organizacinės valdysenos dalis. Remiantis ISO 37301 standartu, atitiktis turi būti nepertraukiamas procesas. Jei įmonė deklaruoja saugumą, tačiau praktiškai neatlieka atsarginių kopijų atkūrimo bandymų, bet koks kibernetinis incidentas tampa ne tik teisine, bet ir veiklos sustabdymo rizika.
Kodėl BDAR auditas turėtų tapti reguliaria diagnostika?
Daugelis organizacijų asmens duomenų apsaugą vertina kaip vienkartinį projektą. Tačiau VDAI rekomendacijos aiškiai indikuoja poreikį nuolatinei kontrolei. BDAR auditas, kurio metu patikrinama, kaip vykdomi BDAR reikalavimai, neturėtų būti atliekamas tik rengiantis patikrinimui – tai įrankis, leidžiantis identifikuoti „atitikties chaosą“ ir paversti jį valdoma sistema.
Sveikatos įstaigoms ir kitoms kritinę infrastruktūrą valdančioms įmonėms rekomenduojama:
- Atlikti giluminę procesų diagnostiką, nustatant, kur saugumo priemonės yra tik „popieriuje“.
- Integruoti rizikų valdymo priemones į kasdienę veiklą, o ne tik į vidines tvarkas.
- Užtikrinti skaidrų įrodymų išsaugojimą apie priimtus saugumo sprendimus.
Pradinei organizacijos BDAR atotrūkio būklei nustatyti pirmiausiai rekomenduojama atlikti preliminarų vertinimą, kad būtų nustatytos „raudonos vėliavos” ir aiškios gairės gilesniam BDAR auditui.
Išorinio pareigūno vaidmuo ir metodinis požiūris
Siekdamos išvengti interesų konfliktų ir užtikrinti aukščiausią kompetenciją, progresyvios organizacijos vis dažniau renkasi valdomas išorinio duomenų apsaugos pareigūno paslaugas. Tai leidžia pasitelkti ekspertus, kurie į atitiktį žvelgia per GRC (valdysenos, rizikų valdymo ir atitikties) prizmę.
Modernus rizikų vertinimas šiandien nebeįsivaizduojamas be skaitmenizacijos. Pavyzdžiui, taikant pažangias metodikas atitikties užtikrinimui, galima ne tik identifikuoti spragas, bet ir prognozuoti galimas rizikas dar prieš joms virstant incidentais. Tai ypač aktualu diegiant dirbtinio intelekto sprendimus ar tvarkant didelius kiekius specialiųjų kategorijų duomenų. Reikalavimų, kuriuos kelia BDAR sveikatos priežiūros sektoriuje, užtikrinimas be sisteminio požiūrio neveikia.
Išvada: prevencija pigesnė už pasekmes
VDAI stebėsenos rezultatai primena, kad baudos ir bylinėjimasis dažniausiai kyla dėl prevencijos trūkumo. Sveikatos priežiūros organizacijos, kurios rizikas vertina kaip galimybę tobulėti ir diegia ISO standartais grįstą valdyseną, ne tik užtikrina BDAR atitiktį, bet ir stiprina savo reputaciją partnerių bei pacientų akyse.
Efektyvi atsarginių kopijų (dalinių / pilnų) kūrimo ir atkūrimo politika bei sistemingas požiūris į duomenų apsaugą šiandien yra būtina higiena bet kuriam tvariam verslui.
