Prenumeratoriai žino daugiau. Prenumerata vos nuo 1,00 Eur!
Išbandyti

Mindaugas Beniušis: Žinotos, bet neįvertintos rizikos kaina – 1,2 mln. eurų

Prieš dvi savaites Latvijoje priimtas neeilinis sprendimas. Latvijos interneto paslaugų, ryšio, skaitmeninio turinio (kabelinės TV) ir medijos paslaugų teikėjui „Tet“ skirta 1,2 mln. eurų bauda dėl netinkamo asmens duomenų tvarkymo. Teisininkai įsitikinę – šis atvejis puikiai iliustruoja BDAR taikymo principus ir kiek gali kainuoti žinota, bet rimtai neįvertinta rizika.
Mindaugas Beniušis
Mindaugas Beniušis / Asmeninio archyvo nuotr.

Bendrovė „Tet“ nepakankamai užtikrino klientų tapatybės patikrinimą ir nustatymą registruojantis ir kuriant paskyrą skaitmeninio turinio platformoje „Tet+“– nusprendė Latvijos duomenų inspekcija. Paslaugomis naudojęsis klientas sukūrė paskyrą ir tam pasitelkė kito asmens duomenimis.

Atitinkamai, tariamam paskyros savininkui (t.y., asmeniui, kuris iš tikrųjų paslaugos neužsakė), „Tet“ išrašė sąskaitą už „suteiktas“ paslaugas ir pastarajam atsisakius sumokėti, perdavė jo duomenis skolų išieškojimo bendrovei.

Šis atvejis ypatingas, nes Latvijos duomenų inspekcija analizavo „Tet“ atliktą poveikio duomenų apsaugai vertinimą (PDAV) ir nusprendė, kad „Tet“ buvo identifikavusi riziką, jog asmenys gali bandyti sukurti „Tet+“ paskyrą naudodamiesi svetimais duomenimis, tačiau nesiėmė tinkamų priemonių šiai rizikai suvaldyti. „Tet“ pasirinktos priemonės buvo nepakankamos užtikrinti, jog prisijungiantis asmuo naudojasi būtent savo asmens duomenimis paskyrai susikurti.

Latvijos duomenų inspekcijos sprendimas svarbus bent dviem aspektais. Pirma, šis atvejis parodo, jog šiuolaikinėje skaitmeninio turinio paslaugų rinkoje tiesmukiška prisijungimo vardo ir slaptažodžio pora grindžiama autentifikacija tampa nesaugia atgyvena, kurią būtina pakeisti kelių žingsnių autentifikacija (MFA), ypač tais atvejais, kai vartotojai kuria naują paskyrą ar prie paslaugų jungiasi iš nepažįstamo prietaiso.

Antra, sprendimas išryškino poveikio duomenų apsaugai vertinimo proceso reikšmę: vertinimo proceso neatlikimas ir duomenų naudojimo keliamų rizikų neįvertinimas yra BDAR pažeidimas, tačiau rizikos vertinimo metu nustatytos rizikos ignoravimas arba nepagrįstai aukštos rizikos toleravimas yra ne ką mažesnė blogybė.

Atitinkamai, dėl tokio rizikos nesuvaldymo įvykus pažeidimui verslas privalo prisiimti atsakomybę ir jos padarinius pagal BDAR. Sprendimas parodo, jog vertinimo negalima atlikti atmestinai, jo metu būtina atidžiai išanalizuoti kylančias grėsmes, jų tikėtinumą ir atitinkamai, parinkti rizikos laipsniui adekvačias saugos priemones.

Šis sprendimas signalizuoja, jog į BDAR taikymą negalima žiūrėti kaip į formalumą ar popierių susitvarkymą. BDAR reikalauja atsakingo įmonės elgesio visuose etapuose: tiek kokybiškai vertinant rizikas, imantis prevencinių priemonių rizikoms sumažinti ir žinomiems pažeidžiamumas suvaldyti, tiek ir reaguojant į įvykusį pažeidimą ir šalinant jo padarinius.

Pranešti klaidą

Sėkmingai išsiųsta

Dėkojame už praneštą klaidą
Reklama
Netikėtai didelis gyventojų susidomėjimas naujomis, efektyviomis šildymo priemonėmis ir dotacijomis
Reklama
85 proc. gėdijasi nešioti klausos aparatus: sprendimai, kaip įveikti šią stigmą
Reklama
Trys „Spiečiai“ – trys regioninių verslų sėkmės istorijos: verslo plėtrą paskatino bendradarbystės centro programos
Reklama
Beveik trečdalis kauniečių planuoja įsigyti būstą: kas svarbiausia renkantis namus?