Bendrasis Duomenų Apsaugos Reglamentas: visi domisi, bet diegti neskuba
Atrodo, bendrojo duomenų apsaugos reglamento (BDAR) įsigaliojimo belaukiant, apie tai daugiau kalbama viešoje erdvėje, negu ruošiamasi iš tikrųjų. Remiantis „Crowd Research Partners” paskelbta tyrimų ataskaita, tik 40% organizacijų ramiai laukia BDAR įsigaliojimo. Kokia situacija Lietuvoje?
Šį mėnesį įsigalioja BDAR reikalavimai, už kurių nesilaikymą yra žadamos milžiniškos baudos. Atrodo, dalis įmonių tikisi, kad už pažeidimus pirmaisiais reglamento galiojimo metais bus atleista. Apie tai byloja ir „Crowd Research Partners” paskelbta tyrimų ataskaita, kuria remiantis, tik 40% organizacijų tinkamai pasiruošė BDAR. Pagrindinės priežastys – nepakankama patirtis diegiant naujoves bei perdėm optimistiški reikalavimų įgyvendinimui reikalingų pastangų vertinimai. Tai kelia nerimą. Ne paslaptis, kad pasaulyje kasdien vis daugiau organizacijų patiria kibernetinių atakų žalą, kurių metu nutekinami jautrūs klientų duomenys. Turint omenyje milijonines baudas, kurios, pavyzdžiui, smulkioms ir vidutinėms Lietuvos įmonėms garantuotų bankrotą, kyla natūralus klausimas, kaip Lietuva ruošiasi BDAR? Monika Žemgulytė, „Cyber Security Academy“ (CSA) kibernetinio saugumo mokymų projekto vadovė, patvirtina, kad susidomėjimas BDAR vis didėja, tačiau dauguma Lietuvos organizacijų tikrai nespėjo tinkamai pasiruošti šiai naujovei. Remiantis „Cyber Security Academy“ mokymų statistika, didžiausias pasiruošimo intensyvumas pastebimas paskutinius kelis mėnesius. Vien per balandžio mėnesį CSA organizavo net 5 BDAR įsigaliojimo pasiruošimui skirtus mokymus. „ Turint omenyje, kad be ekspertams skirtų praktinių kibernetinio saugumo mokymų vien per balandžio mėnesį CSA organizavo net 5 BDAR įsigaliojimo pasiruošimui skirtus mokymus, – Lietuva tikrai ruošiasi, tačiau globaliai skelbiama statistika baugina. Mūsų mokymų metu, didžiausias akcentas buvo dedamas pasiruošimui BDAR iš IT pusės. Patirtis rodo, kad įmonių pasiruošimas naujovei tapo intensyvesnis šį pavasarį. Artėjant terminui, vis dažniau gauname klausimus, orientuotus į praktinį BDAR taikymą, aktyviai dalinamasi įžvalgomis ir diegimo patirtimi”, - sako Monika Žemgulytė. CSA duomenimis, didžiausio dėmesio BDAR pasiruošimo mokymai sulaukė tarp privataus sektoriaus įmonių, kurios sudarė 65 % visų CSA mokymuose dalyvavusių organizacijų. Kita dalis – valstybinis sektorius, iš kurių 7% - švietimo organizacijos.
Kitokia patirtimi dalinasi Vilma Škarnulytė, UAB „Avedus” generalinė direktorė ir „CyberStation” kibernetinio saugumo laboratorijos įkūrėja: „CyberStation“ laboratorijoje pavasario sesijos temas siejome su BDAR. Nors daugiau nei pusę mūsų klientų sudaro privataus sektoriaus įmonės, 92% visų praktinio kurso klausytojų buvo iš valstybinio sektoriaus. Galbūt tai, kad seminarų metu neapsiribojome vien BDAR tema, ir lėmė didelį valstybinio sektoriaus atstovų susidomėjimą”, - teigė saugumo ekspertė. Manoma, kad BDAR reikalavimų įgyvendinimo pikas prasidės įvykus pirmiesiems precedentams, tai yra, kai už BDAR reikalavimų nesilaikymą bus skirtos baudos arba įspėjimai. „Turint omenyje, kad jau 2018 metais numatyti planiniai duomenų apsaugos patikrinimai, nenustebčiau, kad metų bėgyje sulauksime antrojo BDAR pasiruošimo etapo”, - samprotauja Monika Žemgulytė. Ekspertai neslepia, kad dirbant su jautriais duomenimis, pirmiausia reikia paruošti ir apmokyti darbuotojus. Svarbu sugriauti mitą, kad BDAR įsigaliojimas aktualus tik IT ir kibernetinio saugumo srityse dirbantiems organizacijų specialistams. Anaiptol, BDAR įpareigoja kelti bendrą organizacijos darbuotojų IT saugumo suvokimą. Fiziniai asmenys, dirbantys pagal individualią pažymą arba verslo liudijimą, taipogi turėtų sunerimti. Didžiausias mitas, kad BDAR yra taikomas tik didelėms institucijoms. Mažų mažiausiai, vertėtų susimąstyti apie bazinius BDAR ir IT saugumo mokymus, pasiskaityti apie tai internete arba pasikonsultuoti su ekspertais. Įmonėms taipogi svarbu suprasti, kad BDAR diegimas prilygsta atskiram projektui su ilgos trukmės palaikymu, kai po diegimo turi būti užtikrintas nuolatinis stebėjimas ir atitikimo reikalavimams planiniai vertinimai. Už BDAR reikalavimų diegimą ir priežiūrą atsakingos komandos suformavimas, bendrojo mokymų ir kryptingų veiksmų plano sudarymas – tai tiesiausias kelias link BDAR reikalavimų įgyvendinimo ir laikymosi garanto.
Pagal GDPR nuostatas ir sumažinti kibernetinių atakų riziką būtina IT saugumo tema nuolatos mokyti savo kolegas - tam skitri IT saugumo suvokimo mokymai darbuotojams.