BDAR dėl netinkamo asmens duomenų tvarkymo ar pažeidimų numato milijonines baudas iki 20 mln. eurų. Mažesnėms įmonėms baudos sieks nuo 2 iki 4 proc. jų metinės apyvartos. Vis dėlto, kad ir kiek ruošiamasi BDAR įgyvendinimui, svarbiausias faktorius, visų sistemų silpnoji vieta ir programišių taikinys lieka žmogus.
Plačiau BDAR įsigaliojimo niuansus pranešime spaudai komentuoja Viktorija Česonytė, UAB „VORAS Consulting“ socialinės inžinerijos konsultantė.
Užmiršta svarbiausia grandis
Europos Parlamentas sutikimą dėl BDAR įsigaliojimo pasirašė prieš dvejus metus, tad įmonės tam jau ruošėsi. Vis dėlto, vertinant bendrą situaciją, viso pasirengimo metu labiausiai buvo koncentruojamasi į dokumentacijos tvarkymą bei papildomų technologinių sprendimų diegimą. Svarbiausia tai, kad, ruošiantis pokyčiams, užmiršta svarbiausia, jautriausia ir sunkiausiai pakeičiama visų įmonių dalis – su įmonės klientais komunikuojantys darbuotojai.
Nors dauguma įmonių savo darbuotojus laiko svarbia savo veiklos dalimi, įsigaliojus BDAR, jie taps brangiausiu turtu tiesiogine prasme. Visuomenėje vyrauja klaidinga nuomonė, kad duomenys gali nutekėti tik iš serverių – neįvertinamas darbuotojų faktorius. Informacija gali paplisti ir iš jų kompiuterių, telefonų bei pačių darbuotojų.
Pavyzdžiui, įmonės administracijos darbuotoja, kuri atsakinga už klientų registraciją ir prieina prie klientų duomenų bazių, gali lengvai jas nutekinti. Dėl šios priežasties sąvoka darbuotojų lojalumas ir trys galimi scenarijai, galintys paskatinti informacijos nutekėjimą – motyvacijos praradimas, piktavališkas konkurentų kontaktas su darbuotoju ir kitų darbuotojų integravimas į įmonę – įgauna papildomos vertės.
BDAR ruošiasi ir nusikaltėliai
Įsigaliojus reglamentui, įmonės, turinčios duomenų sistemas, atsidurs programišių akiratyje. Jų taikiniu galimai taps medicinos, mažmeninės prekybos įmonės, turizmo, draudimo bei atsiskaitymo paslaugas teikiančios bendrovės, bankai. Vienas svarbiausių būdų neteisėtai praturtėti bus duomenų vagystės ir jų pardavimas bei įmonių šantažas, siekiant joms sugrąžinti pavogtus duomenis. Šį tikslą jie gali bandyti pasiekti gąsdindami gresiančiomis baudomis ir kitomis sankcijomis. Tokioje situacijoje, įvertindamos baudas, įmonėms mažesnės jų pasiūlytos sumos atrodys kaip tinkamesnis variantas.
Taigi gegužės 25 d. įsigaliosiančiam BDAR ruošiasi ne tik įmonės, bet ir nusikaltėliai. Jau dabar gausu istorijų apie tai, kai žmonės iš kalėjimų skambinantiems sukčiams į sąskaitas perveda arba perduoda pinigų. Lygiai tokiu pačiu būdu – apgaudinėjant, manipuliuojant ir spaudžiant – duomenys, kuriais galimai pasinaudos įmonių šantažui, gali būti išvilioti iš bet kurio žmogaus.
Vis dėlto didžiausia problema ne tai, kokių galimybių BDAR įsigaliojimas atveria sukčiams, o nusikaltimų skaičiaus apimtis ir finansinė vertė. Ir čia jau aktualija tampa nebe asmens duomenų saugumas, o įmonės veiklos ir reputacijos saugumas.
Kilus krizių, sėkmingai prieš jas atsilaikys tos bendrovės, kuriose organizaciniai, technologiniai procesai ir krizių valdymas yra suderintas ir patikrintas lauko sąlygomis. Verta pasitikrinti, kaip įdiegti procesai veikia, kaip apdorojamos užklausos ir suvaldomi incidentai. O jei jie sutrikdys įmonės veiklą, ar žinote kiek prireiks laiko atstatyti veiklos tęstinumą ar kiek kainuos reputacijos grąžinimas.
