VDAI pristatė 2022 m. I pusmečio pranešimų apie asmens duomenų saugumo pažeidimus apžvalgą
Šių metų liepos 13 d. Valstybinė duomenų apsaugos inspekcija (toliau - VDAI), remdamasi Bendrojo duomenų apsaugos reglamento (toliau - BDAR) nustatytais reikalavimais, pristatė šių 2022 m. I pusmečio pranešimų apie asmens duomenų saugumo pažeidimus Lietuvoje apžvalgą. Duomenų apsaugos pareigūnas Allaw atkreipia dėmesį į pagrindinius apžvalgos aspektus ir į tai, ko gali pasimokyti duomenų valdytojai.
Kasmet VDAI sulaukia vis daugiau pranešimų apie duomenų saugumo pažeidimus
Iš viso per pirmą šių metų pusmetį VDAI jau yra pranešta apie 137 pažeidimus, lyginant su praėjusiais metais pranešimų skaičius išaugęs, 2021 m. per pirmą pusmetį buvo pateikta 117 pranešimų (palyginimui per visus 2019 metus VDAI yra gavusi 175 pranešimus, per 2020 metus - 181 pranešimą).
Pirmą šių metų pusmetį daugiausiai pranešimų pateikė viešasis sektorius (šio sektoriaus pateikti pranešimai sudaro 65% visų pranešimų). Išsamesnį grafiką rasite žemiau:
Oops, it seems that you need to place a table or a macro generating a table within the Chart from Table macro.
Probably, there is no data in the Values column. Please, select the column with data values for chart generation.
Please select the column with labels and the column with data values for chart generation.
Logarithmic charts can not contain zero values.
| Organizacijos sektorius | Pažeidimų dalis procentais |
|---|---|
| Viešieji juridiniai asmenys | 65 |
| Privatūs juridiniai asmenys | 31 |
| ER paslaugų ar tinklų tiekėjas | 3 |
| Fiziniai asmenys | 1 |
Tačiau, kaip ne kartą yra pažymėjusi VDAI, tai nereiškia, kad asmens duomenų saugumo pažeidimus daugiausia patiria viešajam sektoriui priklausančios organizacijos. Kaip savo praktikoje pastebi VDAI, didesnį pranešimų apie pažeidimus skaičių gali lemti tokios aplinkybės, kaip griežtesni teisės aktų reikalavimai ir (ar) jų laikymasis, pavyzdžiui, finansų sektorius operatyviai praneša apie asmens duomenų saugumo pažeidimus dėl gana griežtų sektorinių reikalavimų, o valstybės ir savivaldybių ar teisėsaugos institucijos yra įpratusios griežčiau laikytis nustatytų reikalavimų. Kita vertus viešojo sektoriaus įstaigoms yra privaloma skirti DAP, todėl situacijos, įvykstančios duomenų saugumo kontekste, gali būti vertinamos kvalifikuočiau ir atitinkamai pažeidimai identifikuojami greičiau. Atkreiptinas dėmesys, kad, vadovaujantis VDAI rekomendacijomis, tais atvejais, kai, įvertinus riziką, abejojama, ar ji yra ir ar reikia pranešti apie pažeidimą VDAI, rekomenduotina pranešti.
Dažniausia pažeidimų priežastimi vis dar išlieka žmogiškoji klaida. Į šią priežastį dėmesį turi atkreipti visi duomenų valdytojai ir skirti pakankamą dėmesį periodinių darbuotojų apmokymų bei instruktažų asmens duomenų tvarkymo ir apsaugos srityje organizavimui.
Daugėja atvejų, kai asmens duomenys užšifruojami ir prašoma išpirkos (angl. ransomware)
VDAI atkreipia dėmesį, kad Ransomware yra išpirkos reikalaujančio kenkėjiško programinio kodo šeimai priskiriami virusai. Šie virusai nuo kitų skiriasi savo agresyvumu. Užvaldytoje sistemoje jie nesistengia užmaskuoti savo veiklos pėdsakų, svarbiausias jų tikslas yra užšifruoti sistemos savininkui svarbias bylas ar net visą failų sistemą, tikintis, kad savininkas bus pasiryžęs sumokėti išpirką, kad juos atgautų. Ransomware virusai plinta ir kompiuterines sistemas infekuoja dviem pagrindiniais būdais: platinami kartu su šlamštlaiškiais (angl. SPAM) – atidarius prisegtus kenkėjiškus failus; per užkrėstas interneto svetaines (angl. Exploit Kits) – parsiunčiami ir įrašomi išnaudojant programinės ranges spragas.
Atkreiptinas dėmesys, kad ši tendencija pastebima jau nuo praėjusių metų, analogiškoje praėjusių metų apžvalgoje, skirtoje apžvelgti 2021 m. I pusmečio pažeidimus VDAI jau akcentavo išaugusį tokio tipo pažeidimų skaičių.
Įsitikinti, kad periodiškai, ne rečiau kaip kartą per metus, vykdo darbuotojų mokymus, instruktažus asmens duomenų apsaugos srityje,
Įsitikinti, kad yra nustatę tvarkomų asmens duomenų rizikos lygį ir, atsižvelgiant į jį, taiko duomenų saugumo priemones (kaip rekomenduoja VDAI, pvz., įdiegė el. pašto filtravimo mechanizmus, gebančius filtruoti laiškus pagal žinomus grėsmių indikatorius ir specifinius raktažodžius, nenaudoti tų pačių slaptažodžių skirtingoms paskyroms, naudoti kelių faktorių autentifikavimą (el. pašto internetiniai prieigai, VPN prieigai, paskyroms kurios turi prieigą prie kritiškai svarbių sistemų), apriboti išorinio prisijungimo galimybes tokiais protokolais kaip Windows Remote Desktop Protocol, daiktų interneto SSH prievadais ir pan.) bei periodiškai, ne rečiau kaip kartą per metus, jas peržiūri ir, jeigu reikia, atnaujina,
Įsitikinti, kad savo interneto svetainėje skelbia duomenų apsaugos pareigūno ar kito asmens, su kuriuo duomenų subjektai gali susisiekti, kontaktus,
Įsitikinti, kad organizacija yra paskyrusi atsakingą asmenį už duomenų saugumo pažeidimų tyrimą ir pranešimą apie juos priežiūros institucijai, bei priėmusi tai reguliuojančius vidaus teisės aktus (asmens duomenų saugumo pažeidimų nustatymo, tyrimo, valdymo ir pranešimo apie nustatytus pažeidimus tvarkos aprašą bei duomenų saugumo pažeidimų žurnalą ir kitus susijusius priedus).
Įsitikinti, kad organizacijoje yra parengtas, pratestuotas ir vykdomas veiklos tęstinumo planas.
| macro-name | projectdoc-hide-from-anonymous-user-macro |
|---|---|
| atlassian-macro-output-type | INLINE |
DAP-2855 - Getting issue details... STATUS
Nuorodos
- Page: Darbuotojai
- Page: Duomenų apsaugos pareigūnas
- Page: Duomenų valdytojas
- https://vdai.lrv.lt/lt/naujienos/2022-m-i-pusmecio-pranesimu-apie-asmens-duomenu-saugumo-pazeidimus-apzvalga
- https://vdai.lrv.lt/lt/naujienos/pranesimu-apie-asmens-duomenu-saugumo-pazeidimus-adsp-apzvalga-2021-m-i-pusmetis
- https://vdai.lrv.lt/uploads/vdai/documents/files/2021%20m_%20VDAI%20veiklos%20ataskaita.pdf
- Blog: VDAI pristatė 2022 m. I pusmečio pranešimų apie asmens duomenų saugumo pažeidimus apžvalgą