CityBee paskelbė, kad įvyko jos klientų duomenų vagystė, kurios metu buvo pavogti tokie duomenys, kaip klientų vardai, pavardės, asmens kodai, tikėtina, kad buvo atskleista ir dar daugiau duomenų, tokių kaip telefonų numeriai, registracijos metu nurodytas gyvenamosios vietos adresas bei vairuotojo pažymėjimo numeris.
Lietuvoje BDAR (angl. GDPR) istorijoje pirmas tokio masto duomenų nutekėjimas.
Kiekviena įmonė turi dėti pastangas, jog būtų įdiegtos tinkamos techninės ir organizacinės duomenų saugumo priemonės, jog būtų išvengta panašių kibernetinių atakų. Ar šioje situacijoje buvo įgyvendintos pakankamos saugumo priemonės, atsakys Valstybinė duomenų apsaugos inspekcija atlikusi tyrimą.
Informuojama, kad Valstybinė duomenų apsaugos inspekcija pradėjo tyrimą dėl plačiai nuskambėjusio CityBee duomenų saugumo pažeidimo atvejo.
Dėl šio įvykio policija taip pat pradėjo ikiteisminį tyrimą dėl neteisėto elektroninių duomenų perėmimo ir panaudojimo ir neteisėto prisijungimo prie informacinės sistemos, kurio metu bus bandoma nustatyti nusikalstamą veiką padariusius asmenis.
Užsienio šalių praktika rodo, kad už netinkamų saugumo priemonių įdiegimą, kurių metu yra nutekinami asmens duomenys, įmonės įprastai susilaukia didesnių ar mažesnių baudų už BDAR pažeidimą.
Be to, nukentėję asmenys tuo tarpu gali kreiptis į bendrovę dėl žalos atlyginimo. Tai iš esmės gera proga ne vienam ginti savo pažeistas teises, bet pasinaudoti grupės ieškinio institutu.
Vartotojams tuo tarpu reikėtų nepamiršti, kad saugumo priemonių turi imtis ne tik bendrovės, tvarkančios tokius duomenis, bet ir jie patys.
ECOVIS ProventusLaw Duomenų apsaugos, kibernetinio ir IT saugumo, operacinių rizikų komanda parengė tokias pirmines rekomendacijas:
Vartotojams:
– pasikeisti nutekinto el. pašto slaptažodį;
– nenaudoti tų pačių slaptažodžių skirtingiems prisijungimams prie skirtingų sistemų;
– nenaudoti darbinių el. pašto paskyrų asmeninėms paslaugoms;
– naudoti slaptažodžių generatorius (password manager), kad visose svetainėse būtų skirtingi slaptažodžiai;
– šioje situacijoje apsvarstyti galimybę pakeisti asmens dokumentus (siekiant užkirsti kelią pasinaudoti Jūsų asmens duomenimis sukčiavimo tikslais);
– įspėti artimuosius apie galimus sukčiavimo atvejus ir melagingus pranešimus jų atžvilgiu;
Rekomenduojame taip pat neplatinti ir nesidalinti pavogtais asmens duomenimis ar nuorodomis į juos, nes toks elgesys tik prisideda prie padaryto nusikaltimo.
Rekomendacijos verslui:
– naudoti slaptažodžių salt (kriptografinį) metodą, kai į kiekvieną slaptažodį koduojant įterpiami tam tikri simboliai. Tokiu atveju pavogti slaptažodžiu ,,hashai“ būtų beverčiai.
– užtikrinti nuolatinį savo IT sistemų stebėjimą;
– nuolat atlikti IT saugumo testus;
– nuolat tobulinti kibernetinio saugumo sistemas;
– įvertinti, ar tikrai verta saugoti visus duomenis ir kokį protingą laikotarpį pasirinkti;
– užtikrinti sąžiningą komunikaciją su nukentėjusiais duomenų subjektais;
– iš anksto pasiruošti krizininių situacijų valdymui.
Linkime CityBee komandai stiprybes, o kitiems verslams tai yra priminimas, kaip svarbu užsiimti prevencija ir įsitraukti BDAR ir IT saugumo reikalavimų atitikimą, peržiūrejimą ir tobulinimą į kasdienes verslo operacijas, siekiant išvengti tokių kritinių situacijų.
ECOVIS ProventusLaw gali padėti Jums atlikti BDAR auditą, IT / kibernetinio saugumo auditą, kitais operacinių rizikų, duomenų apsaugos klausimais.
Taip pat galime padėti nukentėjusiems asmenims ginti jų pažeistas teises dėl duomenų pažeidimo.