Didelė smalsumo kaina: kodėl Italija skyrė „Intesa Sanpaolo“ 31,8 mln. eurų baudą
31,8 mln. eurų bauda retai būna vienos klaidos pasekmė. Dažniausiai tai yra sisteminių įtrūkimų, kurie galiausiai neatlaikė reguliavimo spaudimo, kulminacija. Pirmadienį Italijos duomenų apsaugos institucija „Garante“ pasiuntė aiškią žinią finansų sektoriui, skirdama šią didžiulę baudą didžiausiam šalies bankui „Intesa Sanpaolo“. Ši byla, susijusi su neteisėta prieiga prie maždaug 3 500 klientų duomenų dvejų metų laikotarpiu, yra rimtas priminimas, kad duomenys nėra tik įmonės turtas; tai yra atsakomybė, reikalaujanti nuolatinės ir kruopščios apsaugos.
Kaip skaitmeninis detektyvas, leidžiantis dienas analizuodamas privatumo politikas ir audito žurnalus, mačiau daug organizacijų, kurios su duomenimis elgiasi kaip su auksu – kažkuo, ką reikia kaupti ir blizginti. Tačiau reguliavimo kontekste duomenys dažniau primena uraną. Jie yra neįtikėtinai galingi ir vertingi, kai tvarkomi teisingai, tačiau be patikimų izoliavimo priemonių ir griežtos stebėsenos jie tampa toksišku turtu, kuris gali nutekėti ir sukelti ekologinę katastrofą įmonės reputacijai.
Duomenų saugumo pažeidimo anatomija
Incidentas, dėl kurio buvo skirta ši bauda, nebuvo sudėtingas išorinis įsilaužimas ar išpirkos reikalaujančios programinės įrangos ataka iš tolimo serverio. Įdomu tai, kad grėsmė kilo iš vidaus. Įtariama, kad daugiau nei dvejus metus darbuotojas turėjo prieigą prie tūkstančių asmenų, įskaitant aukšto rango politikus ir privačius asmenis, banko sąskaitų ir asmeninės informacijos.
Atitikties požiūriu problema buvo ne tik piktavališki darbuotojo veiksmai, bet ir banko nesugebėjimas pastebėti dėsningumo. Kai prieiga prie 3 500 įrašų suteikiama be aiškaus verslo pagrindimo, tai rodo detalios stebėsenos trūkumą. Duomenų apsaugos pasaulyje kalbame apie „duomenų valdytoją“ – tai organizacija, kuri nusprendžia, kodėl ir kaip naudojama jūsų asmeninė informacija. Kaip duomenų valdytojas, „Intesa Sanpaolo“ turėjo įstatyminę pareigą užtikrinti, kad tik tinkami žmonės turėtų „raktą“ nuo tos informacijos, o dar svarbiau – kad kiekvieną kartą pasukus tą raktą būtų užfiksuotas ir išanalizuotas skaitmeninis pėdsakas.
Atskaitomybė už „supuvusio obuolio“ ribų
Mano patirtis tiriant bankų duomenų saugumo pažeidimus rodo, kad įmonės dažnai bando pateikti šiuos incidentus kaip vieno „supuvusio obuolio“ rezultatą. Tačiau reguliuotojai, tokie kaip „Garante“, retai priima tokią versiją. Jie žiūri į namo pamatus. Jei vienas darbuotojas dvejus metus gali naršyti po tūkstančius failų nesukeldamas pavojaus signalo, pamatai yra netvirti.
Pagal bendrąją Bendrojo duomenų apsaugos reglamento (BDAR) sistemą, „Atskaitomybės“ principas yra svarbiausias. Tai reiškia, kad nepakanka būti atitinkantiems reikalavimus tik pavadinime; įmonė turi sugebėti įrodyti, kad veikia proaktyviai. De facto buvo nustatyta, kad banko vidaus kontrolės priemonės neatitinka reikalavimų, nes jomis nepavyko realiuoju laiku aptikti anomalios elgsenos. Kitaip tariant, banko durys buvo užrakintos, tačiau apsaugos kamerų niekas netikrino.
Privatumas pagal projektą kaip gyvas principas
Kai gaunu straipsnį ar pranešimą apie pažeidimą, pirmiausia žiūriu, ar iš tikrųjų buvo įgyvendintas „privatumas pagal projektą“ (angl. Privacy by Design). Tai nėra tik techninis varnelės pažymėjimas; tai filosofija, kai privatumas įtraukiamas į produktą nuo pat pirmos kodo eilutės.
Šiuo atveju privatumą sauganti sistema būtų naudojusi automatinius įspėjimus. Pavyzdžiui, jei darbuotojas, kurio darbas nereikalauja aukšto lygio leidimo, staiga pradeda ieškoti viešųjų pareigūnų pavardžių, sistema turėtų automatiškai pažymėti tokią veiklą. Tai yra skirtumas tarp reaktyvios organizacijos ir pažangios, atsparios organizacijos. Galiausiai „Garante“ bauda atspindi sisteminį nesėkmės pobūdį. Bauda yra proporcinga ne tik nukentėjusių asmenų skaičiui, bet ir tam, kiek laiko ši spraga išliko atvira.
„Naftos išsiliejimo“ grandininė reakcija
Tokio masto duomenų saugumo pažeidimas yra tarsi naftos išsiliejimas švariame uoste. Net ir užkimšus nuotėkį, liekanos išlieka. 3 500 nukentėjusių klientų šis pažeidimas yra įkyrus jų privataus gyvenimo pažeidimas. Bankui 31,8 mln. eurų (36,4 mln. JAV dolerių) bauda yra tik ledkalnio viršūnė. Tikroji kaina slypi pasitikėjimo praradime ir galimame ekstrateritoriniame tikrinime, jei kuris nors iš tų klientų gyvena ne Italijoje.
Nepaisant finansinio smūgio, bankas dabar susiduria su milžiniška užduotimi – audituoti visą savo vidaus kultūrą. Jie turi pereiti nuo neskaidrios pasitikėjimo sistemos prie skaidrios tikrinimo sistemos. Reguliavimo kontekste „mes pasitikime savo darbuotojais“ nebėra galiojanti saugumo strategija.
Pamokos šiuolaikinei įmonei
Ko kitos įmonės gali pasimokyti iš šios 31,8 mln. eurų pamokos? Nesvarbu, ar esate tarptautinis bankas, ar augantis technologijų startuolis, skaitmeninės higienos principai išlieka tokie patys.
| Strategija | Veiksmas | Kodėl tai svarbu |
|---|---|---|
| Mažiausios privilegijos | Apribokite prieigą prie duomenų iki absoliutaus minimumo, reikalingo konkrečiai funkcijai. | Sumažina „poveikio spindulį“, jei paskyra būtų pažeista. |
| Automatinė stebėsena | Įdiekite dirbtiniu intelektu pagrįstus įspėjimus apie neįprastus duomenų prieigos dėsningumus. | Užfiksuoja vidines grėsmes, kol jos dar neišsiplėtė. |
| Duomenų kiekio mažinimas | Ištrinkite arba pseudonimizuokite duomenis, kurie nebėra būtini. | Negalite prarasti to, ko neturite. |
| Reguliarūs auditai | Atlikite „skaitmeninio detektyvo“ darbą su savo prieigos žurnalais. | Užtikrina, kad politikos laikomasi praktikoje, o ne tik popieriuje. |
Žingsnis į priekį: jūsų privatumo kontrolinis sąrašas
Kaip skaitytojas ir vartotojas, jūs nesate bejėgis. Nors negalite kontroliuoti, kaip bankas saugo savo serverius, galite naudotis savo teisėmis ir užtikrinti, kad su jūsų duomenimis būtų elgiamasi atsargiai.
- Paprašykite prieigos ataskaitos: Pagal BDAR turite teisę paprašyti įmonės pateikti duomenų, kuriuos ji turi apie jus, kopiją ir informaciją apie tai, kas prie jų prisijungė.
- Stebėkite savo išrašus: Vidinio šnipinėjimo atvejais pirmieji požymiai dažnai būna subtilūs. Stebėkite bet kokius neteisėtus savo profilio ar nustatymų pakeitimus.
- Reikalaukite skaidrumo: Jei įmonė, kurios paslaugomis naudojatės, patiria duomenų saugumo pažeidimą, paprašykite konkrečios informacijos. Nesitenkinkite atsakymu „mes rimtai žiūrime į jūsų privatumą“. Paklauskite, kokios konkrečios techninės priemonės nesuveikė ir kaip jos buvo sutvarkytos.
Galiausiai privatumas yra pagrindinė žmogaus teisė, o ne prabanga ar atitikties kliūtis. Naršydami po šią sudėtingą reguliavimo mozaiką, prisiminkite, kad geriausias būdas apsaugoti informaciją – elgtis su ja su pagarba, kurios ji nusipelno, kol reguliuotojas dar nepasibeldė į duris.
Šaltiniai:
- General Data Protection Regulation (GDPR), Article 5 (Principles relating to processing of personal data).
- General Data Protection Regulation (GDPR), Article 32 (Security of processing).
- Italian Data Protection Authority (Garante per la protezione dei dati personali) Enforcement Guidelines.
- European Data Protection Board (EDPB) Guidelines on Administrative Fines.
Atsakomybės apribojimas: šis straipsnis yra informacinio ir žurnalistinio pobūdžio. Jame stebimos reguliavimo tendencijos ir naujienos, siekiant pateikti bendrų įžvalgų, ir jis nėra oficiali teisinė ar finansinė konsultacija. Dėl konkrečių teisinių klausimų kreipkitės į kvalifikuotą duomenų apsaugos specialistą.
Iki pasimatymo kitoje pusėje.
Pašto ir debesies saugojimo sprendimas suteikia galingiausias saugaus keitimosi duomenimis priemones, užtikrinančias jūsų duomenų saugumą ir privatumą.
/ Sukurti nemokamą paskyrą
