BDAR karuselė dar tik įsisuka Nuo ES Bendrojo duomenų apsaugos reglamento (BDAR) įsigaliojimo praėjo kiek daugiau nei 130 dienų. Ir, nors dauguma tikėjosi, kad po gegužės 25-osios pasipils pranešimai apie asmens duomenų apsaugos pažeidimus ir įmonėms skiriamas baudas, ilgą laiką buvo tylu. Lyg nieko ir neįvyko. Ar tikrai?
Valstybinė duomenų apsaugos inspekcija 2018 m. pirmo pusmečio ataskaitoje nurodė, kad per šį laikotarpį išnagrinėjo 312 asmenų skundų ir atliko 122 duomenų valdytojų tikrinimus – nuo gegužės 25 d. jau gauta apie 150 skundų.
Per pirmus šešis mėnesius atlikti 122 duomenų valdytojų tikrinimai, po kurių pateikta 20 nurodymų dėl neteisėto asmens duomenų tvarkymo, dėl organizacinių, techninių priemonių, dėl duomenų tvarkymo principų, dėl duomenų teikimo ir dėl duomenų subjektų teisių.
Pasak „ESET Lietuva“ IT inžinieriaus Ramūno Liuberto, tokia situacija nelabai stebina. „Net praėjus keliems mėnesiams po BDAR įsigaliojimo, dar ne visos įmonės Lietuvoje yra pasiruošusios naujoms asmens duomenų apsaugos rekomendacijoms, ką jau kalbėti apie laikotarpį iki jo įsigaliojimo. Kita medalio pusė – tai vartotojai, nesuvokiantys, kad gali pasinaudoti galimybe pranešti Valstybinei duomenų apsaugos inspekcijai apie jų asmens duomenų pažeidimus“, – komentuoja R. Liubertas.
Skiriamos baudos už reglamento neatitikimą
Tuo tarpu Jungtinės Karalystės duomenų apsaugos sargo vaidmenį atliekantis Informacijos komisionierių biuras (ICO) po BDAR įsigaliojimo kas savaitę sulaukia 500 pranešimų telefonu apie asmens duomenų pažeidimus. Ir nors ne visi šie pranešimai pasitvirtina, akivaizdu, kad didesnėje rinkoje fiksuojami kur kas stambesni pažeidimai.
Štai spalio 1 d. ICO paskelbė skirianti 196 000 eurų (175 000 svarų sterlingų) baudą 190 šalyse sveikatos draudimo paslaugas teikiančiai „Bupa“ įmonių grupei už sisteminius duomenų apsaugos pažeidimus saugant savo pacientų asmeninius duomenis.
Išbandykite ESET Endpoint Encryption
Praėjusiais metais „Bupa“ patyrė stambų duomenų nutekėjimą, kai jos darbuotojas nutekino 500 tūkstančių pacientų duomenis ir bandė juos parduoti tamsiajame internete. Organizacijai skirtas baudos dydis apskaičiuotas pagal iki BDAR įsigaliojimo Jungtinėje Karalystėje veikusį duomenų apsaugos teisės aktą „Data Protection Act 1998“.
Apklausa - ar ES pasiruošusi GDPR?
Saugumo sprendimų kūrėjos ESET vykdyta įmonių apklausa atskleidė, kaip verslas Europos Sąjungoje ruošėsi asmens duomenų apsaugos pokyčiams prieš įsigaliojant naujoms BDAR rekomendacijoms.
Apklausa vykdyta nuo 2017 m. lapkričio iki 2018 m. gegužės mėn., joje dalyvavo virš 27 000 įmonių atstovų.
Dauguma įmonių kaupia ir saugo asmens tapatybę identifikuojančius duomenis tiek savo klientų (82,6 proc. apklaustų respondentų), tiek savo darbuotojų (70,2 proc.). Kas penktas apklaustasis patvirtino, kad jų įmonės saugo papildomus duomenis, kaip sveikatos ir biometrinius.
Daugiau nei pusė (56 proc.) įmonių patvirtino, kad iki BDAR įsigaliojimo nebuvo atlikusios audito, 51,4 proc. organizacijų neturėjo dokumentuotų techninių ir organizacinių saugumo priemonių.
Likus pusmečiui iki BDAR įsigaliojimo tik 47 proc. šių respondentų žinojo, kokius pokyčius atneš BDAR. ESET tyrimas taip pat parodė, kokias technines priemones naudoja Europos įmonės, siekiant užkirsti kelią neautorizuotai prieigai prie saugomų asmens duomenų, kad šiais nepasinaudotų kibernetiniai nusikaltėliai.
Dauguma įmonių naudoja programinę įrangą, nustatančią kenksmingas programas ir apsaugančią nuo jų – 90,6 proc. respondentų. Taip pat įmonės pasitiki naršyklės apsaugos programine įranga (87,8 proc.), ugniasiene (83,6 proc.), prieigą ribojančia programine įranga (83,7 proc.) ir slaptažodžiu apsaugotus Wi-Fi tinklus (81,9 proc.).
Duomenų šifravimą, vieną iš pagrindinių BDAR rekomenduojamų naudoti techninių priemonių, naudojo tik kas trečia įmonė.
Dažniausiai duomenų šifravimas buvo pasitelktas šifruoti el. paštą (32,5 proc. respondentų), vietinius failus (31 proc.) ar tinklo bei debesijos sprendimus (30,5 proc.).
„Įdomu tai, kad tik ketvirtadalis apklaustųjų naudoja diskuose kaupiamų duomenų ir USB laikmenų šifravimą.Prarasti įrenginį su neapsaugotais, jautriais asmeniniais duomenimis reiškia ne tik grėsmę įmonės reputacijai ir reikšmingą baudą už asmens duomenų saugumo pažeidimą, bet ir didelę atsakomybę už visus žmones, kurie gali patirti nemalonumų dėl įvykusio incidento“, – pasakoja R. Liubertas.
Pasak saugumo ekspertų, kibernetiniai nusikaltėliai pasisavintus asmens duomenis gali naudoti sukčiavimo kampanijoms ir tikslinėms atakoms, reikalauti išpirkos, kaip nutiko „Grožio chirurgijos“ atveju.