PRAMOGOS
SUSIJĘ STRAIPSNIAI
Aktualijos2021 m. Kovo 9 d. 10:25

Kibernetinė ataka įmonėje: ką daryti?

Vilnius

Freepik.com nuotr.

Budintis BudėtojasŠaltinis: Etaplius.lt


167548

Kibernetinės atakos pastaruoju metu drebina ne vieną įmonę. Joms įvykus, svarbu greitai reaguoti ir imtis atitinkamų priemonių. Deja, patyrusios kibernetinę ataką, ne visos įmonės žino, kaip elgtis. 

Kibernetinė sauga šiais laikais turėtų tapti kiekvienos įmonės prioritetu. Visgi atlikta apklausa parodė, kad 74 proc. Lietuvos smulkiojo ir vidutinio verslo įmonių jaučiasi nepasiruošusios arba nežino, ar yra pasiruošusios atremti kibernetines atakas.

Nacionalinio visuomenės sveikatos centro ir „Citybee“ atvejai įrodė, kad nuo kibernetinės atakos neapsaugotas niekas, o pasekmės – skaudžios: nuo veiklos sutrikdymo iki duomenų nutekėjimo ir grėsmės klientų privatumui.

Siekiant suvaldyti asmens duomenų saugumo pažeidimus, svarbu iš anksto numatyti būsimus veiksmus. Kiekviena įmonė, įstaiga ir organizacija turi įgyvendinti vidaus procedūras, pagal kurias būtų galima nustatyti ir pašalinti pažeidimą. Taip bus lengviau užtikrinti veiksmingą planavimą ir organizacijoje nustatyti funkcinę atsakomybę už pažeidimų valdymą bei nuspręsti, ar dėl incidento reikia imtis tolesnių veiksmų, o jei taip – kaip tai daryti.

Kokių veiksmų imtis, patyrus kibernetinę ataką, pataria verslo advokatų kontoros „Motieka ir Audzevičius“ vyresnioji teisininkė, intelektinės nuosavybės, technologijų ir duomenų apsaugos ekspertė Raminta Stravinskaitė:

– Yra keletas praktinių veiksmų, kurių turėtų imtis bendrovės visais atvejais:

  • Informacija apie visus su saugumu susijusius įvykius turėtų būti perduodama atsakingam asmeniui (-ims), kuriam (-iems) yra pavesta reaguoti į incidentus, kad nustatytų, ar buvo padarytas pažeidimas, ir įvertinti pavojų. 
  • Paskui turėtų būti įvertintas pavojus, kuris kyla dėl pažeidimo (tikimybė, kad pavojaus nėra, kad pavojus yra arba kad kyla didelis pavojus), ir apie vertinimo rezultatus turi būti informuoti atitinkami organizacijos padaliniai. 
  • Prireikus apie tai turėtų būti pranešama priežiūros institucijai ir galbūt informuojami asmenys, kuriuos paveikia pažeidimas. 
  • Tuo pačiu metu bendrovė turėtų imtis veiksmų, kad pažeidimas būtų sustabdytas ir būtų pašalinti jo padariniai. 
  • Išaiškinus pažeidimą, jis turėtų būti dokumentuojamas. 

Apie kibernetinę ataką būtina tiesiogiai informuoti duomenų subjektus, kuriems ji gali turėti neigiamą poveikį, nebent tam reikėtų neproporcingų pastangų (tokiu atveju skelbti viešą pranešimą, taikyti panašią efektyvią priemonę). Galima informuoti specialiais pranešimais, bet jų nereikėtų siųsti kartu su kita reguliariai siunčiama informacija. Atskiras pranešimas turi padėti užtikrinti, kad informacija apie pažeidimą būtų aiški ir skaidri, t. y. el. pašto pranešimai, SMS, tiesioginės žinutės, tinka reklamjuostės, pašto pranešimai, gerai matomi skelbimai spausdintoje žiniasklaidoje. Vien tik pranešimo spaudai paskelbimas arba pranešimo pateikimas įmonės tinklaraštyje nėra veiksminga asmens informavimo priemonė. 

Nukentėjusiems asmenims privaloma pateikti pažeidimo pobūdžio aprašymą; duomenų apsaugos pareigūno ar kito kontaktinio asmens vardą, pavardę (pavadinimą), kontaktinius duomenis; tikėtinų pažeidimo pasekmių aprašymą; priemonių, kurių ėmėsi arba pasiūlė imtis bendrovė, kad pažeidimas būtų pašalintas, įskaitant, priemones galimoms neigiamoms pažeidimo pasekmėms sumažinti, aprašymą.

Klaidinga manyti, kad, įvykus asmens duomenų saugumo incidentui, bendrovei neišvengiamai kyla teisinė atsakomybė. Jei asmens duomenis tvarkė tokiu būdu, kad būtų užtikrintas tinkamas jų saugumas, įskaitant apsaugą nuo duomenų tvarkymo be leidimo arba neteisėto duomenų tvarkymo, taip pat nuo netyčinio praradimo, sunaikinimo ar sugadinimo, bijoti nėra dėl ko.

Remiamas turinys