Kategorija: Kibernetinis saugumas

Kibernetinis saugumas – tai visuma teisinių, informacijos sklaidos, organizacinių ir techninių priemonių, skirtų kibernetiniams incidentams išvengti, aptikti, analizuoti ir reaguoti į juos elektroninių ryšių tinkluose bei informacinėse sistemose

Paskelbta

Dėl aplaidžios duomenų tvarkymo įrangos priežiūros galite būti nubausti

Bendrasis duomenų apsaugos reglamentas 32 straipsnyje duomenų valdytojus ir tvarkytojus įpareigoja, kad tvarkant asmens duomenis būtų užtikrintas pavojų atitinkančio lygio saugumas, įskaitant:

  • “reguliarų techninių ir organizacinių priemonių, kuriomis užtikrinamas duomenų tvarkymo saugumas, tikrinimo, vertinimo ir veiksmingumo vertinimo procesą.”

Reguliariai nevykdant įrodymais pagrįsto  įrangos pažeidžiamumo tvarkymo ir dėl to įvykus duomenų saugumo pažeidimui duomenų valdytojui bus skiriama BDAR 83 straipsnyje numatyta nuobauda, kurios dydis pasak 83 straipsnio 4 dalies gali būti iki 10 mln. eurų.

Duomenų tvarkymą atliekant programinės ir kompiuterinės įrangos pagalba susiduriame su elementariu įrangos atnaujinimo, kibernetinio saugumo  spragų paieškos ir testavimo klausimais. Daugumai įmonių tai papildomas galvos skausmas skiriant resursus bei ieškant kompetentingų bei kvalifikuotų kibernetinio saugumo specialistų, kurie užtikrintų tinkamą įrangos kibernetinio saugumo valdymą bei duomenų apsaugą.

Jungtinės karalystės asmens duomenų apsaugos priežiūros institucija ICO pateikia pavyzdį dėl modernių kompiuterinių sistemų kibernetinio saugumo spragų “Meltdown” ir “Spectre”, pažeidžiamumo valdymo užtikrinant asmens duomenų saugumą.  Nurodomos pasekmes duomenų valdytojui jeigu bus pažeistas duomenų konfidencialumas išnaudojant šis įrangos pažeidžiamumą. Pabrėžiama, kad  įmonės turi nedelsdamos suvaldyti šių spragų, kurios palietė modernias kompiuterines sistemas, keliamą pavojų duomenims, taikydami kelių lygių saugumo sprendimus, atnaujinimų diegimo, pažeidžiamumo aptikimo, tikrinimo, vertinimo ir veiksmingumo vertinimo priemones.

Paskelbta

Duomenų apsaugos pareigūnas turi tinkamai įvertinti duomenų tvarkymui kylantį pavojų

Bendrajame duomenų apsaugos reglamente 39 straipsnyje nurodoma, kad “Duomenų apsaugos pareigūnas, vykdydamas savo užduotis, tinkamai įvertina su duomenų tvarkymo operacijomis susijusį pavojų, atsižvelgdamas į duomenų tvarkymo pobūdį, aprėptį, kontekstą ir tikslus.” Tinkamai vertinti tokio pobūdžio informaciją ekspertinių teisės žinių nepakanka, o kreipiantis į informacinių technologijų ekspertinių žinių turinčius darbuotojus dažnai gali kilti interesų konfliktas, apibūdintas Direktyvos 95/46/EB 29 straipsnio darbo grupės parengtose gairėse Reglamento (ES) 2016/679 duomenų apsaugos pareigūno tema.

Vertindamas įmonės asmens duomenų tvarkymui kylantį pavojų Pareigūnas visų pirma turi skirti dėmesį labiausiai pažeidžiamoms informacinėms sistemoms ir turėti pakankamą kvalifikaciją tinkamai vertinti pavojų. Pavyzdžiui turinio valdymo sistema WordPress yra viena iš populiariausių nemokamų interneto svetainių turinio valdymo programinių įrangų pasaulyje.  Jos populiarumas sąlygoja didelį kibernetinių įsilaužėlių dėmesį saugumo spragų paieškai ir pažeidžiamumo išnaudojimui.  2017 metų sausį nustatyta kritinė WordPress saugumo spraga leidžianti neteisėtai redaguoti svetainių turinį ar užkrėsti svetainę piktybine programine įranga, o naujausia 2018 metų vasarį aptikta Wordpress TVS saugumo spraga WordPress CVE-2018-6389 Denial of Service Vulnerability suteikia piktavaliams  galimybę sutrikdyti svetainės veiklą net naujausiose WordPress versijose. Nacionalinio standartų ir technologijų instituto (NIST) Informacinių technologijų laboratorija nurodo aukštą pažeidžiamumo išnaudojimo ir pavojingumo lygį (CVSS Severity (version 3.0) – 7,5), todėl rekomenduojama kuo skubiau atnaujinti TVS programinę įrangą.

Tinkamas kibernetinių grėsmių asmens duomenims įvertinimas, kompensuojamų  ir incidentų valdymo veiklos priemonių rekomendavimas padės laiku užkirsti kelią neteisėtai prieigai prie asmens duomenų.

Paskelbta

Kibernetinis saugumas

Nustatant įmonėje informacijos saugumo sistemos spragas bei rizikas informacijos konfidencialumui, pasiekiamumui ir vientisumui, užtikrinama sėkminga įmonės veikla. Įmonės veiklai persikeliant į skaitmeninę erdvę, kibernetinis saugumas dažnai tampa vienas iš pagrindinių įmonės saugumo užtikrinimo prioritetų. Kitos saugios įmonės veiklos užtikrinimo sritys dažnai  užmirštamos, todėl pavyzdžiui fizinės saugos spragos ar personalo neinformuotumas apie taikomas saugos priemones sumažina taikomų kibernetinio saugumo priemonių efektyvumą. Administracijai vertinant investuojamų išteklių ekonominį efektą dažnai belieka stebėtis, kodėl skiriamos lėšos  kibernetinio saugumo užtikrinimui neduoda tinkamų rezultatų.

Kryptingas, individualizuotas konkrečiai įmonei bei pastovus tarptautinių saugumo valdymo standartų, pavyzdžiui ISO 27032, NIST ir pan. diegimas,  administracijos supratingumas suteikia daugiau šansų apsisaugoti nuo vidinių ir išorinių saugumo grėsmių įmonės veiklai.

Kvalifikuoto informacijos ar kibernetinio saugumo specialisto samdymas atsiperka iš esmės sumažindamas nepatenkintų darbuotojų ar hakerių neteisėtų veiksmų, techninių incidentų kilimo riziką, neatitiktį Bendrajam duomenų apsaugos reglamentui.