2021 m. pranešimų apie asmens duomenų saugumo pažeidimus apžvalga

Valstybinė duomenų apsaugos inspekcija („VDAI“) paskelbė 2021 m. pranešimų apie asmens duomenų saugumo pažeidimus apžvalgą.

Asmens duomenų saugumo pažeidimų 2021 m. statistika

gauti 239 pranešimai apie asmens duomenų saugumo pažeidimus;
gauti 9 pranešimai, kurių metu buvo nutekintos duomenų bazės ir jų metu buvo nutekinta 993 570 abonentų arba fizinių asmenų duomenų;
paveiktų fizinių asmenų skaičiai išties įspūdingi – Lietuvoje 3 379 123, iš viso – 11 969 880.
pažeidimų priežastys – 57 % žmogiškoji klaida, likę 43 % – kitos priežastys;
dažniausias pažeidimo tipas – net 79 % iš visų buvo konfidencialumo praradimas (neautorizuota prieiga ar atskleidimas);
kibernetiniai incidentai sudaro mažiau negu pusę įvykusių asmens duomenų saugumo pažeidimų, ženkliai daugiau yra kito incidento tipo;
apie duomenų saugumo pažeidimą buvo stengiamasi informuoti laiku, tačiau visgi 23 % yra tokių, apie kuriuos buvo pranešta vėliau kaip per 72 val.;
didžiąją dalį duomenų valdytojų, pranešusių apie asmens duomenų saugumo pažeidimą sudaro privatūs juridiniai asmenys (išskyrus ER paslaugų ar tinklų teikėjus) ir viešieji juridiniai asmenys (išskyrus ER paslaugų ar tinklų teikėjus).

Duomenų saugos valdymo spragos

nevykdomas kompiuterių tinklų duomenų srautų monitoringas, nevykdomas įsilaužimų aptikimas ir prevencija;
nevaldomas veiklos tęstinumas;
netinkami serverio nustatymai ir taisyklės;
neapsaugoti komunikacijos kanalai, leidžiamas nešifruotų duomenų perdavimas;
pasenusios serverių operacinės sistemos;
nesegmentuoti kompiuteriniai tinklai;
nevykdoma prieigos kontrolė.

Kaip užkirsti kelią asmens duomenų saugumo pažeidimams?

Augant kibernetinių ir kitokių incidentų skaičiui, ypatingai svarbu užtikrinti, kad taikomos duomenų saugumo techninės ir organizacinės priemonės būtų efektyvios bei nuolat atnaujinamos. VDAI savo apžvalgoje nurodo priemones, kurios gali padėti išvengti duomenų saugumo pažeidimų, t. y.:

išorinėms prieigoms prie IT resursų naudoti šifruotą komunikacijos kanalą, t. y. kriptografinius protokolus (, TLS/SSL);
užtikrinti kritinių operacinių sistemos saugos atnaujinimų diegimą reguliariai ir nedelsiant;
įgyvendinti SQL užklausų ir tinklo srauto kontrolę, įdiegiant įsilaužimų aptikimo ir prevencijos įrankius (, IDS (angl. Intrusion Detection System) / IPS (angl. Intrusion Prevention System), tinklo ugniasienę (angl. Network Firewall);
tinkamai sukonfigūruoti išorinėje komunikacijoje dalyvaujančius serverius ir kitą įrangą pagal gerąsias praktikas;
užtikrinti interneto svetainių saugą, pvz., įdiegiant žiniatinklio programų ugniasienę ( Web Application Firewall (WAF));
segmentuoti kompiuterinius tinklus tokiu būdu, kad asmens duomenys, kai tai įmanoma, nebūtu prieinami per išorinius komunikacijos kanalus;
įdiegti prieigos kontrolę pagal organizacijos saugumo politiką, taikant principą „būtina žinoti“;
parengti ir nuolatos testuoti veiklos tęstinumo planą.

Atkreiptinas dėmesys, jog tai nėra baigtinis sąrašas, kiekvienu atveju duomenų valdytojas turi įvertinti atsižvelgti į duomenų tvarkymo pobūdį, aprėptį, kontekstą bei tikslus, taip pat į įvairios tikimybės ir rimtumo pavojus fizinių asmenų teisėms ir laisvėms.

Pranešimas VDAI apie asmens duomenų pažeidimus

Apie pažeidimą turi būti pranešta per 72 val. Tačiau VDAI pateikta apžvalga rodo, kad vis dar nėra iki galo laikomasi pareigos pranešti apie įvykusį asmens duomenų saugumo pažeidimą per 72 val.

Darbuotojų mokymas

Dar viena iš saugumo priemonių yra nuolatinis darbuotojų mokymas, darbdaviai turi užtikrinti nuolatinį darbuotojų mokymą, instruktuoti, kaip elgtis įvykus asmens duomenų saugumo pažeidimui ir kokie yra kiti žingsniai.

VDAI paskelbtą apžvalgą galite rasti čia.

Norėdami gauti daugiau informacijos ar konsultaciją, susijusią su duomenų apsauga, kviečiame konsultuotis su ECOVIS ProventusLaw duomenų apsaugos ekspertais.

Parengė ECOVIS ProventusLaw vyr. teisininkė, sertifikuota duomenų apsaugos ekspertė Milda Šlekytė