|
Ką tik Lietuvoje skirta viena didesnių iki šiol administracinių baudų duomenų apsaugos srityje: Valstybinė duomenų apsaugos inspekcija (VDAI) priėmė sprendimą, kuriuo UAB „InMedica“ skirta 450 tūkst. eurų bauda už nustatytus Bendrojo duomenų apsaugos reglamento (BDAR) pažeidimus.
Iš pirmo žvilgsnio toks sprendimas gali sukelti asociacijų su neseniai plačiai aptartu Registrų centro incidentu. Juolab kad viešojoje erdvėje skelbiama, kad Registrų centrui, iš kurio Nekilnojamojo turto registro ir Juridinių asmenų registro nutekėjo daugiau nei 600 tūkst. įrašų, galėtų būti skirta apie 60 tūkst. eurų bauda (galutinis sprendimas dar nėra priimtas). Natūraliai kyla klausimas – kodėl „InMedica“ skirta gerokai didesnė, 450 tūkst. eurų bauda?
Buvo vertinami du incidentai
Šiuo atveju VDAI „InMedica“ atžvilgiu vertino du atskirus asmens duomenų saugumo incidentus, kurių tyrimai vėliau buvo sujungti į vieną bylą.
Pirmasis incidentas buvo susijęs su tuometine UAB „Kardiolita“, kai, VDAI vertinimu, dėl nepakankamai užtikrintos prieigų kontrolės ir autentifikavimo trečiasis asmuo galėjo prisijungti prie vidinės pacientų informacinės sistemos ir susipažinti su 63 pacientų asmens duomenimis, įskaitant specialių kategorijų (sveikatos) duomenis.
Antrasis incidentas nustatytas UAB „InMedica“ atžvilgiu, kai bendrovė patyrė duomenų šifravimo ir išpirkos reikalaujančios (ransomware) atakos poveikį. VDAI teigimu, jos metu galėjo būti paveiktos keturios informacinės sistemos, kuriose tvarkomi apie 383 tūkst. pacientų ir apie 10 tūkst. darbuotojų asmens duomenys. Anot VDAI, galėjo būti paveikti darbuotojų vardai, pavardės, pareigos, kontaktiniai duomenys, asmens kodai, darbo santykių dokumentai bei kita administracinė informacija, o pacientų atveju – vardai, pavardės, gimimo datos, asmens kodai, kontaktiniai duomenys ir sveikatos duomenys. Vis dėlto, priešingai nei Registrų centro atveju, nėra duomenų, kad šie duomenys būtų buvę peržiūrėti, nukopijuoti ar kitaip neteisėtai panaudoti. Viešai skelbiama, kad sistemų duomenys buvo užšifruoti.
VDAI vertinimu, abiem atvejais nebuvo užtikrintas tinkamas asmens duomenų saugumo lygis. Tarp VDAI nurodytų reikšmingų rizikos veiksnių – prieigų kontrolės ir autentifikavimo trūkumai, įskaitant kelių veiksnių autentifikavimo (MFA) netaikymą tam tikrose sistemose, taip pat, VDAI nuomone, nepakankamai griežtas prisijungimų ir slaptažodžių saugumo užtikrinimas.
BDAR nenurodo konkrečių priemonių
Svarbu pažymėti, kad BDAR nenustato pareigos taikyti konkrečias technologines priemones, įskaitant MFA. Reglamentas įtvirtina pareigą įgyvendinti tinkamas technines ir organizacines priemones, atsižvelgiant į rizikos lygį. Tai reiškia, kad organizacijos pačios privalo įvertinti, kokios priemonės yra proporcingos jų tvarkomų duomenų pobūdžiui ir galimoms grėsmėms.
Praktikoje tai gali apimti įvairias priemones: daugiaveiksnį autentifikavimą, prieigos teisių ribojimą, sesijų valdymą, IP adresų kontrolę ar kitus saugumo mechanizmus. Esminis vertinimo kriterijus yra ne konkrečios priemonės pasirinkimas, o bendras užtikrinamo saugumo lygis.
Įmonėms – iššūkis įsivertinti rizikas
Toks reguliacinis lankstumas turi tiek privalumų, tiek iššūkių. Viena vertus, jis leidžia mažesnėms organizacijoms, tvarkančioms ribotą kiekį asmens duomenų, išvengti neproporcingai sudėtingų ir brangių saugumo sprendimų diegimo. Kita vertus, jis suponuoja didesnę atsakomybę pačioms organizacijoms tinkamai įvertinti rizikas ir pasirinkti adekvačias priemones, o tai praktikoje gali būti sudėtinga užduotis.
Be to, kibernetinių grėsmių pobūdis nuolat kinta, todėl organizacijos turi reguliariai peržiūrėti taikomas priemones ir vertinti jų pakankamumą, atsižvelgdamos į technologinę raidą bei augantį atakų sudėtingumą.
|