Datu drošība Latvijā: Noplūdes riskam ir pakļauts ikviens. Vai un kā var sevi pasargāt? 7
Pēdējā laikā aizvien biežāk dzirdam par datu noplūdi Latvijā (Lursoft, Hausmaster, CityBee) un datu drošību. Personas datu un privātuma temats atgriežas mūsu dienaskārtībā atkal un atkal – caur dažādām sabiedrības vajadzībām, procesiem un aktualitātēm.
Pēdējā Rīga TV24 raidījumā “Nacionālo interešu klubs” tika diskutēts un skaidrots par datu noplūdi un drošību Latvijā kopā ar ekspertiem Jekaterinu Macuku (Datu valsts inspekcijas direktore), Daigu Kiopu (Lursoft valdes locekle), Elīnu Girni (datu tehnoloģiju uzņēmuma SQUALIO vadošā juriste), kā arī Vari Teivānu (Cert.lv vadītāja vietnieks).
DATU NOPLŪDE – PERSONĪGS APDRAUDĒJUMS IKVIENAM CILVĒKAM
Jau sākotnēji cilvēkiem attieksme pret saviem datiem nav pietiekami nopietna, uzticoties apšaubāmiem portāliem, publicējot personīgu informāciju internetā un nesekojot līdzi tam, kas notiek ar viņu datiem, norāda Macuka.
Cilvēkam šķiet, kam gan varētu interesēt mani dati, piemēram, CityBee gadījumā, jo “es taču nāku no mazas valsts”.
Vai Hausmaster gadījumā, kur pieejama informācija par cilvēka dzīvesvietu vai īpašumu, rēķiniem par patērēto elektrību vai ūdeni – pietiekami personisko datu, lai noskaidrotu, kas es esmu. “Jebkuru noplūdušu datu informācijas detaļas, tās savienojot, jau ir nozagta identitāte,” uzsver Girne.
“Lielākā problēma ir tā, ka cilvēki nejūt personisku apdraudējumu – kāda starpība, ka mani atrod internetā, kāda starpība, ka manu vārdu izmantos. Iespējams, pat, ja cilvēkam pasaka, ka viņa dati ir noplūduši, arī kredītkartes dati un kontu iztīrīs, cilvēks teiks – nu ko darīt, ja tā notika. Tā ir zema pašapziņa un nevēlēšanās sevi pasargāt, jo mēs vēsturiski tā neesam raduši un neesam mācīti”.
Dažkārt ikdienā mēs pazaudējam sajūtu par to, ka tas, ko ikdienā darām ir ārkārtīgi svarīgi – nopīkstinām karti, nosaucam savu personas kodu un tml.
Joprojām novērojama tendence, ka cilvēkus uztrauc viņu personisko fotogrāfiju publicēšana sociālajos tīklos, kamēr, pildot savus amata pienākumus, netiek domāts par uzņēmuma datu drošības risinājumiem.
Sabiedrībā nav pietiekama izpratne par to, kas ir dati un datu privātums – kā prettiesiski var tikt izmantoti dati, kas varētu būt tie dati, par kuriem ir jāuztraucas.
“Gan uzņēmējiem, gan valsts sektoram ļoti bieži pašiem īsti nav skaidrs, kas būs tie sensitīvie dati vai deanonimizācijas principi, kas attiecas uz atvērtiem datiem. Lielāka apjoma datu apstrādē var ļoti daudz ko uzzināt, savienojot datus ar citām publiskām kopām,” norāda Teivāns, minot piemēru.
“Kādā ciemā dzīvo Ainas tante. Mēs aizejam pie viena cilvēka, pie otra un trešā un apvaicājamies par Ainas tanti. Tādējādi jau veidojas Ainas tantes profils”.
Datu mūsu vidē ir daudz, neviens nav pasargāts, un noplūdes riskam ir pakļauts ikviens.
Vispārīgās datu aizsardzības regulas ieviešana pacēla datu nozīmīgumu jaunā līmenī, kas ļāva mums paskatīties uz datiem no cita skatupunkta.
Macuka atzīst, ka “Daudziem uzņēmējiem tā bija “sarkanā lampiņa”, pateicoties lielākiem sodiem. Savukārt cilvēki sāka apzināties, ka, ieejot digitālā pasaulē, ir savi riski. Mēs šobrīd esam ceļa vidusposmā, kur sākam apzināties datu nozīmi un to, ka dati ir vērtība”.
KAMĒR NESODA, NEKO NEDARĪŠU
Diemžēl joprojām daudzi uzņēmumi izvēlas pieeju: “kamēr Datu valsts inspekcija mani nesodīs, neko nedarīšu,” norāda Datu valsts inspekcijas direktore.
“Attiecīgi šāda pieeja rada gan datu noplūdes, gan citas sekas”.
Datu valsts inspekcijas mērķis ir juridisku un fizisku personu izglītošana un izpratnes veicināšana par datu apstrādi atbilstoši normatīvajiem aktiem, proti, lai katra cilvēka dati būtu pasargāti un netiktu izmantoti pretēji tiesiskiem mērķiem.
“Mūsu mājaslapā pieejama informācija, kā labāk rīkoties – rekomendācijas un vadlīnijas. Problēma ir tāda, ka jau sākotnēji uzņēmēji nerīkojas atbilstoši”.
Savukārt Girne norāda, ka “Manuprāt trūkst pietiekami saprotamu skaidrojumu un redzamas informācijas. Protams, var iet Datu valsts inspekcijas mājaslapā un lasīt, taču mūsu klientu pieredze liecina, ka neviens šos skaidrojumus nelasa un rīkojas pēc savas sirds labākās pārliecības. Tā rezultātā veidojas daudz dažādu risinājumu, piegājienu, strīdu, kur nav pat vienas atbildes”.
VAIRUMS NEINFORMĒ PAR NOPLŪDUŠIEM DATIEM
Normālā procesā obligātā prasība, lai iedzīvotāji uzzinātu par to, ka viņu dati ir noplūduši, sistēmas vadītājam, kura dati noplūduši, ir jāapziņo savi lietotāji.
Šādi rīkojas godprātīgi datu apstrādātāji, jo tikai apzināts lietotājs var sevi aizsargāt. Cert.lv pārstāvis uzteic Lursoft un Hausmaster kā labas prakses piemērus, jo šie uzņēmumi publiski paziņoja un atzina datu noplūdes incidentus.
“Šie ir tie labie gadījumi, kad datu noplūdi nepaslaucīja zem paklāja, kā lielākā daļa to dara”.
KĀ UZŅĒMUMAM PASARGĀT SAVUS DATUS
“Katrs juridiskais uzņēmums arī ir cilvēki,” norāda Girne. “Ja cilvēks spēj padomāt par savu datu drošību, tad parūpēsies arī par uzņēmuma datu drošību. Tāpat kā es pārbaudu, lai manas mājas durvis vienmēr ir aizslēgtas, tieši tāpat es rūpējos par to, kas nonāk manās rokās.”
Neatkarīgi no tā, cik liels vai mazs ir uzņēmums, tā pārvaldības procesiem ir vieni un tie paši izaicinājumi, tādēļ datu tehnoloģiju uzņēmuma SQUALIO pārstāves galvenie ieteikumi, ar ko sākt uzņēmumam, ir šādi:
• Paši IT risinājumi nav tikai tehnisks rīks. To ražotāji ir būvējuši savu preci, primāri domājot par savu biznesa interesi, un savu tiesību aizsardzību, līdz ar ko IT risinājuma galalietotāja galvenais uzdevums ir iepazīties ar šīm ražotāja nostādnēm. Un vistiešākais veids, kā to izdarīt – lasīt ražotāja lietošanas, datu privātuma un konkrēto rīku lietošanas noteikumus. Viņi zina, ko ir apņēmušies, tagad jūsu kārta ir saprast, zem kā parakstāties (liekat ķeksīti).
• Veiciet pārdomātu un kvalitatīvu rīku iegādi – uzņēmums nav izklaides vieta, tā pamatnolūks ir veikt saimniecisko darbību – ražot, radīt, piegādāt un, protams, pelnīt.
Tāpēc digitālajā laikmetā nav pieņemams, ka uzņēmuma IT infrastruktūrā tiek lietota nelegāla programmatūra, novecojuši IT rīki, torentu un spēļu platformas. Diemžēl tādas ainas nākas redzēt itin bieži. Savukārt katrs nepārdomāti lietotais IT rīks ir potenciāls drauds jūsu uzņēmuma datu drošībai.
• Attālinātā darba apstākļi šodien ir mainījuši to, kurš atbild par IT jomā notiekošo – tas ir pats darbinieks, kurš bieži pieņem lēmumu par kādu IT izaicinājumu, gluži vienkārši tā iemesla dēļ, ka IT kolēģa nav blakus.
Nebūs pārspīlēts, ja teiksim, ka faktiski nevienu IT risinājumu nevarēsiet pielāgot jūsu cilvēkprocesiem. Tas attiecīgi summējas lielākā riskā, cilvēks sekoja uzņēmuma noteiktai procedūrai, tomēr datu noplūde notika tik un tā. Risinājums ir pielāgot uzņēmuma cilvēkprocesus un datu apstrādes procesus IT risinājumos pēc noklusējuma iebūvētajiem procesiem.
• Piesaistīt palīdzību – neatkarīgi no tā, vai IT speciālists, jurists, datu drošības speciālists jūsu uzņēmumā ir labākais savā jomā, iespējams, ka viņam tomēr trūkst starpdisciplināru zināšanu un spējas saskatīt savos ikdienas procesos digitalizācijas izaicinājumus.
Nav iespējams visu zināt, bet ir ļoti svarīgi, lai šai komandai veidojas dialogs un ir skaidrs, kādus jautājumus uzdot saviem kolēģiem citās jomās. Lai darbs uzņēmuma procesu pārvaldībā nebūtu paveikts tikai no viena profesionālā aspekta raugoties, bet tajā jau no paša sākuma būtu integrētas citu jomu nianses, apzināti riski un meklēti risinājumi. Un tas ir iespējams, darbojoties kopā.
“Latvijā jāpārstāj formāli pieiet datu drošības jautājumam,” uzsver Girne.
“Pirmo pusgadu vai gadu pēc regulas ieviešanas, iespējams, tā varēja, taču mēs nevaram tā turpināt mūžīgi. Pretējā gadījumā mēs visu laiku dzēsīsim ugunsgrēkus, kāds slēpsies vai visu laiku taisnosies, ka nevēlējās ļaunprātīgi nopludināt datus, vienkārši tā notika, jo kāds kļūdījās”.
Katra riska reāla nevis formāla izvērtēšana kopsakarā ar jūsu uzņēmuma vajadzībām ir solis pretī drošai un pārdomātai IT videi, drošiem datiem un ilgtspējīgai uzņēmuma darbībai.
Pretējai attieksmei var būt dārga cena – ne tikai naudas sods, bet arī partneru un klientu uzticības zaudēšana.