Norvegijos vartotojų teisių gynimo tarnybos atlikto tyrimo ataskaitoje “Pritaikytoji apgaudinėjimui” išsamiai atskleidžiami interneto didžiųjų įmonių “Facebook” ir “Google” manipuliavimo vartotojų pasitikėjimu būdai. Ataskaitos pavadinimas – ironiška nuoroda į Bendrojo duomenų apsaugos reglamento 25 straipsnį, kuriame duomenų valdytojai ar tvarkytojai įpareigojami užtikrinti “Pritaikytąją duomenų apsaugą” .
Trečiosios šalys gali skaityti Gmail vartotojų elektroninio pašto laiškus
Prisimenant plačiai nuskambėjusį Cambridge Analytica skandalą, dėl kurio Facebook įkūrėjas turėjo aiškintis Amerikos ir Europos atsakingoms institucijoms, pranešama apie trečiųjų šalių atstovų galimą prieigą prie “Google” kompanijos teikiamos Gmail elektroninio pašto tarnybos tvarkomų vartotojų asmens duomenų. Pasak dienraščio “The wall street journal” ir kitų interneto šaltinių šimtai trečiųjų šalių programuotojų turėjo prieigos galimybę prie Gmail tvarkomų elektroninio pašto laiškų. Reklamos, rinkodaros ir kitais tikslais buvo skaitoma tūkstančiai privačių Gmail vartotojų laiškų.
Paaiškėjus šiems faktams, “Google” kompanija skubėdama nuraminti vartotojus pranešė, kad jiems suteikta galimybė privatumo nuostatose atsisakyti duotų sutikimų trečiosioms šalims naudoti asmens duomenis.
Tačiau tai reiškia, kad vykdant privatų verslo susirašinėjimą reikėtų vengti tokio tipo elektroninio pašto tarnybų, nes ir toliau gali būti didžiųjų interneto kompanijų vykdomi “beveik teisėti” vartotojų asmens duomenų saugumo pažeidimai.
Privatumo aktyvistas prieš Google, Facebook, Instagram ir WhatsApp
Privatumo (asmens duomenų apsaugos) aktyvistas austras Max Schrems kreipėsi į kelias Europos Sąjungos narių valstybių duomenų apsaugos priežiūros institucijas su prašymu apginti vartotojų privatumą, kurį pažeidžia tokie interneto gigantai kaip Google, Facebook, Instagram ir WhatsApp. Žmogaus teisių aktyvistas vadovaudamasis Bendrojo duomenų apsaugos reglamento nuostatomis pateikti Skundą priežiūros institucijoms, atkreipė visuomenės dėmesį į didžiųjų Interneto kompanijų nesąžiningą veiklą, kai vartotojas norėdamas pasinaudoti šių įmonių paslaugomis priverstas duoti sutikimą naudoti jo asmens duomenis. Vartotojas bandantis apsaugoti savo privatumą, šių įmonių sudėtingose privatumo nuostatose dažnai neranda galimybės sumažinti agresyvų veržimasi į jo privatų gyvenimą arba dažniausia priverčiamas sutikti su perteklinių privačių duomenų rinkimu.
Daugiau informacijos galite rasti Naujienų agentūros Reuters straipsnyje apie “priverstinį sutikimą”.
Dėl aplaidžios duomenų tvarkymo įrangos priežiūros galite būti nubausti
Bendrasis duomenų apsaugos reglamentas 32 straipsnyje duomenų valdytojus ir tvarkytojus įpareigoja, kad tvarkant asmens duomenis būtų užtikrintas pavojų atitinkančio lygio saugumas, įskaitant:
- “reguliarų techninių ir organizacinių priemonių, kuriomis užtikrinamas duomenų tvarkymo saugumas, tikrinimo, vertinimo ir veiksmingumo vertinimo procesą.”
Reguliariai nevykdant įrodymais pagrįsto įrangos pažeidžiamumo tvarkymo ir dėl to įvykus duomenų saugumo pažeidimui duomenų valdytojui bus skiriama BDAR 83 straipsnyje numatyta nuobauda, kurios dydis pasak 83 straipsnio 4 dalies gali būti iki 10 mln. eurų.
Duomenų tvarkymą atliekant programinės ir kompiuterinės įrangos pagalba susiduriame su elementariu įrangos atnaujinimo, kibernetinio saugumo spragų paieškos ir testavimo klausimais. Daugumai įmonių tai papildomas galvos skausmas skiriant resursus bei ieškant kompetentingų bei kvalifikuotų kibernetinio saugumo specialistų, kurie užtikrintų tinkamą įrangos kibernetinio saugumo valdymą bei duomenų apsaugą.
Jungtinės karalystės asmens duomenų apsaugos priežiūros institucija ICO pateikia pavyzdį dėl modernių kompiuterinių sistemų kibernetinio saugumo spragų “Meltdown” ir “Spectre”, pažeidžiamumo valdymo užtikrinant asmens duomenų saugumą. Nurodomos pasekmes duomenų valdytojui jeigu bus pažeistas duomenų konfidencialumas išnaudojant šis įrangos pažeidžiamumą. Pabrėžiama, kad įmonės turi nedelsdamos suvaldyti šių spragų, kurios palietė modernias kompiuterines sistemas, keliamą pavojų duomenims, taikydami kelių lygių saugumo sprendimus, atnaujinimų diegimo, pažeidžiamumo aptikimo, tikrinimo, vertinimo ir veiksmingumo vertinimo priemones.
Pagrindiniai darbai siekiant atitikti Reglamento reikalavimus per kelis mėnesius
Iki Bendrojo duomenų apsaugos reglamento (BDAR) taikymo pradžios 2018 m. gegužės mėn. 25 dienos likus vos keliems mėnesiams, didžioji dalis įmonių, kurioms bus taikomi šie reikalavimai dar tik pradeda domėtis teisiniais ar techniniais Reglamento taikymo aspektais.
Garsus visame pasaulyje Europos vedantysis kibernetinio saugumo internetinis dienraštis SC Media UK pateikia sekančią Europos duomenų valdytojų pasirengimo taikyti BDAR statistiką (2018-01-23, url.: https://www.scmagazineuk.com): dagiau kaip 70% Jungtinės karalystės verslo įmonių įsitikinę, kad jos tinkamai vykdo pasirengimą BDAR. Tačiau likusioje Europos dalyje, pavyzdžiui Vokietijoje tik 52%, o Ispanijoje tik 27% verslo įmonių supranta kaip pasirengti atitikti Reglamento reikalavimus ir deda tam pastangas. Duomenų apsaugos sprendimų pasaulinė lyderė kompanija Varonis, 2017 metų rugsėjo – spalio mėnesiais atlikusi JAV ir Europos kompanijų apklausą nustatė, kad 60% Europos ir 50% JAV kompanijų nespės laiku pasirengti ar turės rimtų iššūkių pasirengiant atitikti BDAR reikalavimams.
Todėl spaudoje publikuojama vis daugiau patarimų ir siūlymų, kaip “paskutinę minutę” spėti pasirengti BDAR taikymui. Apibendrinant ir pasirenkant racionaliausius sprendimus siūlytume:
- Kuo skubiau informuoti vadovybę apie atsakomybę už Reglamento reikalavimų nevykdymą, įvardinti BDAR prioritetine kryptimi ir suplanuoti žmogiškuosius bei finansinius išteklius Reglamento reikalavimų įgyvendinimui;
- Nustatyti BDAR įgyvendinimo projekto komandą, atsižvelgiant į kompetencijas paskirstyti funkcijas, atsakomybes ir laiko rodiklius;
- Apmokyti projekto komandos personalą bei duomenis tvarkančius atsakingus asmenis bent pagrindinių BDAR nuostatų ir reikalavimų;
- Atlikti asmens duomenų tvarkymo auditą ar bent jau inventorizaciją, įvertinti pagal BDAR duomenų tvarkymo teisėtumą, sunaikinti perteklinius asmens duomenis, esant poreikiui duomenis šifruoti ar suteikti pseudonimus;
- Parengti ar atnaujinti privatumo politiką bei privatumo pranešimus jeigu jie taikomi;
- Parengti ar atnaujinti incidentų valdymo, duomenų saugumo pažeidimų tvarkas bei procedūras. Apmokyti personalą;
- Parengti ar atnaujinti duomenų subjekto užklausų duomenų valdytojui dėl asmens duomenų tvarkymo bei kitų BDAR numatytų duomenų subjekto teisių įgyvendinimo tvarkas bei procedūras. Apmokyti personalą;
- Atnaujinti duomenų saugumo technines ir organizacines priemones, ypatingą dėmesį skiriant kibernetiniam saugumui. Didelė dalis duomenų saugumo pažeidimų įvyksta dėl kibernetinio saugumo spragų;
- Parengti ir vykdyti personalo mokymus BDAR klausimais.
Šis projektas turi būti vykdomas nuolatos, projekto grupei reguliariai atsiskaitant vadovybei apie pažangą.
Duomenų apsaugos pareigūnas turi tinkamai įvertinti duomenų tvarkymui kylantį pavojų
Bendrajame duomenų apsaugos reglamente 39 straipsnyje nurodoma, kad “Duomenų apsaugos pareigūnas, vykdydamas savo užduotis, tinkamai įvertina su duomenų tvarkymo operacijomis susijusį pavojų, atsižvelgdamas į duomenų tvarkymo pobūdį, aprėptį, kontekstą ir tikslus.” Tinkamai vertinti tokio pobūdžio informaciją ekspertinių teisės žinių nepakanka, o kreipiantis į informacinių technologijų ekspertinių žinių turinčius darbuotojus dažnai gali kilti interesų konfliktas, apibūdintas Direktyvos 95/46/EB 29 straipsnio darbo grupės parengtose gairėse Reglamento (ES) 2016/679 duomenų apsaugos pareigūno tema.
Vertindamas įmonės asmens duomenų tvarkymui kylantį pavojų Pareigūnas visų pirma turi skirti dėmesį labiausiai pažeidžiamoms informacinėms sistemoms ir turėti pakankamą kvalifikaciją tinkamai vertinti pavojų. Pavyzdžiui turinio valdymo sistema WordPress yra viena iš populiariausių nemokamų interneto svetainių turinio valdymo programinių įrangų pasaulyje. Jos populiarumas sąlygoja didelį kibernetinių įsilaužėlių dėmesį saugumo spragų paieškai ir pažeidžiamumo išnaudojimui. 2017 metų sausį nustatyta kritinė WordPress saugumo spraga leidžianti neteisėtai redaguoti svetainių turinį ar užkrėsti svetainę piktybine programine įranga, o naujausia 2018 metų vasarį aptikta Wordpress TVS saugumo spraga WordPress CVE-2018-6389 Denial of Service Vulnerability suteikia piktavaliams galimybę sutrikdyti svetainės veiklą net naujausiose WordPress versijose. Nacionalinio standartų ir technologijų instituto (NIST) Informacinių technologijų laboratorija nurodo aukštą pažeidžiamumo išnaudojimo ir pavojingumo lygį (CVSS Severity (version 3.0) – 7,5), todėl rekomenduojama kuo skubiau atnaujinti TVS programinę įrangą.
Tinkamas kibernetinių grėsmių asmens duomenims įvertinimas, kompensuojamų ir incidentų valdymo veiklos priemonių rekomendavimas padės laiku užkirsti kelią neteisėtai prieigai prie asmens duomenų.