Įžvalgos
Lietuva
Tinklaraštis
Advokatų kontora, kuri rūpinasi savo klientais

Aiškus veiksmų planas – vienintelis būdas išvengti klaidų patyrus asmens duomenų pažeidimą ar kibernetinę ataką

Kibernetinės atakos atveju ar nukentėjus asmens duomenų saugumui, sprendimus reikia priimti greitai. Kad būtų išvengta įvairaus pobūdžio klaidų, patartina turėti Kibernetinio saugumo ir duomenų apsaugos incidentų valdymo planą. Apie jo turinį ir kitus duomenų saugumo pažeidimo aspektus kalbamės su Aurelija Rutkauskaite, advokatų kontoros „Triniti Jurex“ partnere.

Kokius aspektus turėtų apimti Kibernetinio saugumo ir duomenų apsaugos incidentų valdymo planas?

Pati tokio plano forma priklauso nuo organizacijos vidinės kultūros ir komunikavimo stiliaus. Tai gali būti tiek išsamios taisyklės, tiek konkrečios vos keliose lapuose išdėstytos instrukcijos. Svarbu ne plano forma, o jo turinys. Šios taisyklės bet kokiu atveju turėtų aptarti, kas yra saugumo pažeidimai ir kas organizacijoje atsakingi už viso plano ar atskirų jo dalių įgyvendinimą.

Manau, kad tai turėtų būti komanda sudaryta iš organizacijos vadovo, už IT, kibernetinį saugumą atsakingo žmogaus ir viešųjų ryšių specialisto, o vadovauti jai turėtų duomenų apsaugos pareigūnas. Jei pažeidimas nebus itin sunkus, duomenų apsaugos pareigūnas susitvarkys vienas, bet svarbu iš anksto numatyta galimybę pasitelkti visus būtinus darbuotojus. Jei organizacijos viduje nėra stipraus žmogaus, kuris galėtų valdyti duomenų saugumo pažeidimus, patarčiau iš anksto susitarti dėl tokių paslaugų teikimo iš išorės.

Kokius dar aspektus turėtų apimtis šis planas?

Jame taip pat būtina numatyti, ką organizacijos viduje darbuotojai, kiti asmenys turi informuoti pastebėję organizacijoje įvykusį ar vykstantį duomenų saugumo pažeidimą ir kokia metodologija organizacija vadovausis vertindama duomenų saugumo pažeidimų keliamą pavoju.

Tai yra svarbu, nes pareiga informuoti apie įvykusį duomenų saugumo pažeidimą priežiūros instituciją – Lietuvoje tai Valstybinė duomenų apsaugos inspekcija, kyla tik tuomet, kai atlikus jo vertinimą nustatoma, kad dėl pažeidimo gali kilti pavojus fizinių asmenų teisėms ir laisvėms. Taigi plane būtina turėti pažeidimų vertinimo gaires.

Šiame plane taip pat reikia numatyti, kaip bus teikiamas pranešimas apie duomenų saugumo pažeidimą priežiūros institucijoms bei nukentėjusiems asmenims, kas bus atsakingas už duomenų saugumo pažeidimo valdymo veiksmų fiksavimą ir dokumentavimą organizacijos viduje. Pravartu numatyti ir tai, kokių veiksmų reikia imtis, kad iš įvykusio bei suvaldyto incidento būtų pasimokyta ir imtąsi priemonių, kad panašaus pobūdžio incidentai nepasikartotų.

Mūsų patirtis rodo, kad tokių pažeidimų atveju labai padeda būtinų atlikti veiksmų eiliškumo schemos ir pažeidimų keliamo pavojaus vertinimo skaičiuoklės (matricos). Tokie įrankiai padeda greičiau susigaudyti, ką ir kaip daryti, kai laikas itin spaudžia.

Į kokius terminus turėtų atsižvelgti organizacija, susidūrusi su duomenų saugumo pažeidimu?

Valstybinę duomenų apsaugos inspekciją (jei veiksmas vyksta Lietuvoje) ar kitą už duomenų apsaugą atsakingą instituciją (jei veiksmas vyksta ES, bet už Lietuvos ribų) apie duomenų saugumo pažeidimą būtina informuoti ne vėliau nei per 72 valandas nuo pažeidimo identifikavimo. Taigi, laiko duodama tikrai mažai, todėl veikti reikia operatyviai. Jeigu organizacija mato, kad per 72 valandas nespėja pateikti pilno pranešimo apie incidentą, pranešimą galima teikti dalimis – pirminę informaciją tokiu atveju galima pateikti per 72 valandas, o likusius duomenis galima atsiųsti ir vėliau. Pranešant duomenų priežiūros institucijai, reikia laikytis patvirtintos formos.

Kokias dar institucijas reikia informuoti duomenų saugumo pažeidimo atveju?

Jei jį lėmė ne žmogiškoji klaida, o kibernetinė ataka, apie tokią ataką reikėtų pranešti ir Nacionaliniam kibernetinio saugumo centrui. Policiją apie incidentą informuoti reikia tuomet, jei incidentas yra ar gali būti susijęs su nusikalstama veika.

Kokių pasekmių organizacija gali susilaukti, jeigu įvykus incidentui, ji nesiima jokių veiksmų?

Pranešimo nepateikimas bus laikomas Bendrajame duomenų apsaugos reglamente (BDAR) nustatytų reikalavimų pažeidimu. Vien jau už šį veiksmą gali kilti BDAR numatyta atsakomybė, tad ši pareiga išties svarbi. Gali būti, kad įvertinusi patį incidentą, priežiūros institucija priekaištų organizacijai neturės. Bus laikoma, kad organizacija ėmėsi pakankamai priemonių duomenų saugumui užtikrinti ir organizacijos kaltės dėl incidento nėra, bet nepranešimas apie incidentą vis tiek bus BDAR pažeidimas, už kurį bus taikomos sankcijos.

O jeigu organizacija apie incidentą praneša pavėluotai?

Tikėtina, kad pats pranešimo faktas – nors tai padarius ir pavėluotai – bus laikomas švelninančia aplinkybe, bet BDAR įtvirtinta pareiga dėl pranešimo per 72 valandas vis tiek bus pažeista. Visuomet rekomenduojame per 72 valandas nuo incidento apie jį pateikti bent jau pirminį pranešimą.

Kokių veiksmų reikia imtis, jeigu pavagiami tokie jautrūs duomenys, kaip informacija apie klientų pirkinius, paslaugas, jų sumokėtas sumas?

Tokiu atveju galioja visos anksčiau įvardintos taisyklės. Labai tikėtina, kad minimu atveju papildomai reikės informuoti nukentėjusius duomenų subjektus, nes tokio pobūdžio duomenų nutekėjimas gali sukelti pavojų jų teisėms ir laisvėms. Duomenimis gali būti pasinaudota, jais gali būti manipuliuojama, o tokiais atvejais visuomet privalu informuoti galimai nukentėjusius asmenis.

Griežtos komunikavimo su galimai nukentėjusiais asmenimis formos nėra. Svarbu, kad suprantama kalba būtų atskleistos visos esminės su incidentu susijusios aplinkybės. Taip pat patariame komunikuoti, kokių veiksmų galėtų imtis pats subjektas, kad apsisaugotų nuo galimų neigiamų incidento pasekmių. Jei nutekėjo paskyrų duomenys, reikia pasikeisti slaptažodžius, jeigu buvo prarasti asmens dokumentų numeriai – pasikeisti asmens dokumentus.

There is no strict protocol for communicating with individuals who may have been impacted. It is important to disclose all relevant details of the incident in an understandable manner. It is also recommended to inform the affected individuals of actions they could take to protect themselves from potential negative consequences of the incident, such as changing their passwords if their account data was leaked, or changing their ID documents if their ID numbers were lost.

Kaip reikėtų elgtis, jeigu kibernetinė ataka sutrikdė įmonės veiklą, tačiau duomenys nebuvo prarasti?

Yra trys duomenų saugumo pažeidimų tipai:

  • konfidencialumo pažeidimas – tai incidentas, kai netyčia ar neteisėtai atskleidžiami asmens duomenys ar prie jų suteikiama prieiga neįgaliotiems asmenims (pavyzdžiui, duomenų kopija išsiunčiama ne tam adresatui, paviešinami prisijungimo duomenys ir pan.);
  • pasiekiamumo pažeidimas – incidentas, kai netyčia ar neteisėtai prarandama prieiga prie asmens duomenų arba jie sunaikinami (pavyzdžiui, ištrinama duomenų bazė, o atsarginės kopijos nėra, prarandama prieiga prie informacinių sistemų ar pan.);
  • vientisumo pažeidimas – incidentas, kai netyčia ar neteisėtai atliekami asmens duomenų pakeitimai (pavyzdžiui, neteisėtai prie informacinės sistemos prisijungęs asmuo pakeičia tenai saugomą informaciją).

Pavyzdžiui, DDoS ataka ( angl. Distributed Denial-of-Service; paslaugų trikdymo ataka) bus laikoma pasiekiamumo, tam tikrais atvejais – vientisumo pažeidimu. Jei įvertinus incidentą bus nustatyta, kad dėl jo gali kilti pavojus fizinių asmenų teisėms ir laisvėms, o toks pavojus gali kilti ne tik duomenims nutekėjus, bet ir, pavyzdžiui, praradus prieigą prie savo paskyros ar neturint galimybės pasinaudoti paslauga ir pan., bent jau priežiūros instituciją informuoti bus privalu.

Kaip įmonei reikėtų elgtis, jeigu buvo pavogta komercinė informacija – kainoraščiai, sutartys, derybų užrašai ir pan., o asmens duomenys nenukentėjo?

Jei šiuose dokumentuose asmens duomenų nėra, turėsime ne asmens duomenų saugumo, o konfidencialumo pažeidimą. Jei dokumentuose visgi buvo ir asmens duomenų, turėsime abu pažeidimus.

Jeigu nutekėjo vidinė organizacijos informacija, organizacija turi vadovautis savo konfidencialumo valdymo dokumentais.

Jei nutekėjo klientų duomenys (užsakymų istorija, kainos), reikia žiūrėti į konfidencialumo pareigas aprašančias sutarčių su tokiais klientais nuostatas. Dažniausiai tokiose sutartyse bus numatyta, kad apie incidentą privalu nedelsiant informuoti klientą.

Kartais atsigauti nuo kibernetinės atakos prireikia laiko – kelių dienų ar savaitės. Kaip įmonei elgtis, jeigu ji tuo metu negali vykdyti savo įsipareigojimų klientams?

Svarbiausia bus tinkama komunikacija su klientais. Teisine sutarčių su klientais vykdymo prasme kibernetinis incidentas galėtų būti laikoma nenugalima jėga, tačiau šį aspektą kiekvieną kartą reikėtų vertinti atskirai.

Kartais atsigauti nuo kibernetinės atakos prireikia laiko – kelių dienų ar savaitės. Kaip įmonei elgtis, jeigu ji tuo metu negali vykdyti savo įsipareigojimų klientams?

Svarbiausia bus tinkama komunikacija su klientais. Teisine sutarčių su klientais vykdymo prasme kibernetinis incidentas galėtų būti laikoma nenugalima jėga, tačiau šį aspektą kiekvieną kartą reikėtų vertinti atskirai.

Jei incidentas rimtas, informacija apie jį vis tiek, tikėtina, nutekės, visuomenė jį aptarinės, eskaluos ir tyla čia tikrai nebus gera taktika. Organizacijai tokiu atveju svarbu komunikuoti savąją įvykių versiją, priešingu atveju kyla labai didelė rizika prarasti esamų ar potencialių klientų pasitikėjimą.

Ar privalu apie asmens duomenų praradimą informuoti visuomenę?

Privalu informuoti nukentėjusius, tiesiogiai su incidentu susijusius duomenų subjektus. Pareigos informuoti visą visuomenę nėra, tačiau įvykus rimtam incidentui klientui visuomet rekomenduojame informuoti ir visuomenę.

Jei incidentas rimtas, informacija apie jį vis tiek, tikėtina, nutekės, visuomenė jį aptarinės, eskaluos ir tyla čia tikrai nebus gera taktika. Organizacijai tokiu atveju svarbu komunikuoti savąją įvykių versiją, priešingu atveju kyla labai didelė rizika prarasti esamų ar potencialių klientų pasitikėjimą.