Viešojoje erdvėje pasirodė informacija apie galimą Lietuvoje veikiančios elektroninės parduotuvės „Imperija.lt“ klientų duomenų nutekėjimą. Apie incidentą pranešė žiniasklaida, tačiau jo mastas ir aplinkybės vis dar tikslinamos. Vis dėlto tokios situacijos dar kartą primena – net ir galimas duomenų saugumo pažeidimas gali turėti rimtų pasekmių tiek vartotojams, tiek verslui.
Advokato, advokatų bendrijos „LawCorpus“ vadovaujančiojo partnerio Roko Venslausko teigimu, tokios situacijos atskleidžia sistemines spragas – nuo netinkamo tiekėjų vertinimo iki ydingo požiūrio į atsakomybę. Pasak teisininko, tokio masto įvykiai aiškiai parodo, jog kibernetinis saugumas jau seniai nebėra vien technologijų klausimas.
Proaktyvumo stoka: didžiausia klaida dar prieš incidentą
Remiantis viešai skelbta informacija, galimai galėjo būti pasiekti tokie duomenys kaip klientų vardai, kontaktiniai duomenys, pristatymo adresai, užsakymų istorija ar informacija apie mokėjimo būdus. Tačiau, pasak R. Venslausko, net ir tokiais atvejais vien informuoti klientus apie incidentą nepakanka.
„Jeigu iki incidento rizikos nebuvo tinkamai vertinamos ir valdomos, klientų informavimas tampa tik pasekmių administravimu, o ne problemos sprendimu“, – pabrėžia advokatas.
Bendrasis duomenų apsaugos reglamentas (BDAR) įpareigoja įmones ne tik turėti saugumo priemones, bet ir gebėti įrodyti, kad jos parinktos pagal realią riziką, nuolat peržiūrimos ir faktiškai veikia. Kitaip tariant, saugumas negali būti tik „popierinis“.
Didelė dalis klaidų, anot R. Venslausko, atsiranda dar iki pačios atakos. Tarp dažniausių spragų – per plačios prieigos prie duomenų, kelių veiksnių autentifikavimo netaikymas, neprižiūrimi sistemų žurnalai ir nepakankamas darbuotojų pasirengimas.
„Vadovai turi suprasti, kad atsakomybė už saugumą procesą bei Kibernetinio saugumo įstatymo ir TIS2 direktyvos reikalavimų įgyvendinimą tenka jiems, o ne IT specialistams. Tai yra strateginis, o ne techninis klausimas“, – akcentuoja jis.
Pavojingiausia – ne pavieniai duomenys, o jų kombinacija
Advokatu teigimu, nors dažnai kalbama apie pavienių duomenų nutekėjimą, reali grėsmė kyla tada, kai nuteka jų visuma. Vardas, telefono numeris ir pirkimo istorija kartu suteikia sukčiams itin vertingą kontekstą.
„Kai piktavalis žino, kur žmogus pirko ir kaip vyko jo pirkimas, apgaulė tampa daug įtikinamesnė. Tokiu atveju sukuriamos personalizuotos sukčiavimo schemos – apie neva vėluojantį siuntinį ar nepavykusį mokėjimą“, – aiškina R. Venslauskas.
Tokie atvejai rodo, kad duomenų apsauga negali būti vertinama fragmentiškai – svarbus bendras vaizdas ir duomenų tarpusavio ryšys.
Ne mažiau svarbi rizika slypi tiekėjų grandinėje. Elektroninės parduotuvės neišvengiamai bendradarbiauja su kurjeriais, mokėjimų ar IT paslaugų teikėjais, tačiau tai nereiškia, kad atsakomybė už duomenų saugumą perduodama kartu.
„Duomenų valdytojas lieka atsakingas už visą grandinę. Vien sutarties su tiekėju nepakanka – būtina aiškiai apibrėžti atsakomybes, turėti audito galimybes ir įsitikinti, kad saugumo priemonės realiai veikia“, – sako ekspertas.
Tarptautinė praktika tai tik patvirtina – net ir didelės įmonės, tokios kaip „Adidas“ ar „Marks & Spencer“, yra susidūrusios su duomenų nutekėjimais per partnerių sistemas.
Krizės valdymas: greitis, aiškumas ir atsakomybė
R. Venslausko teigimu, įvykus duomenų saugumo incidentui, laikas tampa kritiniu veiksniu. Įmonė turi nedelsiant stabdyti pažeidimą, išsaugoti įrodymus ir nustatyti jo mastą. Pagal BDAR reikalavimus, apie incidentą per 72 valandas turi būti pranešta Valstybinei duomenų apsaugos apsaugos inspekcijai, o esant didesnei rizikai – ir patiems klientams.
Teismų praktika rodo, kad net ir vien baimė dėl galimo duomenų panaudojimo gali būti laikoma žala. Pavyzdžiui, Lietuvos teismai jau yra priteisę neturtinę žalą asmenims po „CityBee“ duomenų nutekėjimo, pripažįstant, kad asmenų patirtas nerimas dėl galimo duomenų panaudojimo yra pagrindas atlyginti neturtinę žalą.
Pasak R. Venslausko, šiose situacijose itin svarbi komunikacija: „Reputaciją griauna ne tik pats incidentas, bet ir įspūdis, kad įmonė nesupranta, kas įvyko ir ką daryti toliau. Todėl komunikacija turi būti greita, aiški ir pagrįsta veiksmais.“
Jis taip pat primena, kad vartotojai, sužinoję apie galimą duomenų nutekėjimą, turėtų nedelsiant imtis veiksmų – keisti slaptažodžius, stebėti savo finansines operacijas ir kritiškai vertinti gaunamus pranešimus.
Savo ruožtu įmonių vadovams ekspertas rekomenduoja atkreipti dėmesį, kad kibernetinis saugumas šiandien yra ne tik technologijų, bet ir atsakomybės, procesų bei verslo kultūros klausimas. Ir kuo anksčiau tai suprantama, tuo mažesnė tikimybė, kad incidentas taps ne tik technine, bet ir reputacine krize.
