Duomenų apsaugos tema pastaraisiais metais tapo išties aktuali. Nuo 2018 m. gegužės Bendrasis duomenų apsaugos reglamentas (BDAR) įpareigojo verslus itin atsakingai tvarkyti asmens duomenis. Tvarkinga ir saugi verslo duomenų bazė tapo ne tik siekiu, bet ir būtinybe. Asmens duomenų apsaugos veikla užsiimančios įmonės „Privacy Partners“ vykdomasis partneris Martynas Bieliūnas dalinasi patarimais, kaip verslai gali apsaugoti savo duomenų bazes.

Duomenų bazės apsaugojimas – nenutrūkstantis procesas

Nagrinėjant duomenų apsaugos temą, svarbu apsibrėžti, kad tai yra nesustojantis procesas. Pašnekovo teigimu, informacijos saugos klausimai yra nuolatinis darbas: „Įmonės informacinės infrastruktūros, sistemų, tarp jų ir duomenų bazių, apsaugoti vieną kartą ir visam laikui neįmanoma. Kinta ir evoliucionuoja saugumo priemonės, taip pat, deja, progresuoja ir kibernetinis nusikalstamumas. Todėl, siekiant apsaugoti įmonės informacinius išteklius, įskaitant ir duomenų bazes, neužtenka vien standartinių saugumo priemonių.“

Kalbėdamas, kokios saugumo priemonės pasiteisina, M. Bieliūnas atkreipia dėmesį, kad verta duomenis laikyti debesijose (angl. cloud). „Duomenų bazės gali būti laikomos ir pačioje įmonėje (angl. on-premises), ir debesų kompiuterijoje. Laikyti duomenų bazes debesijose yra kur kas efektyviau visais požiūriais: užtikrinamas rezervinis duomenų kopijavimas, nuolatinė ir profesionali jų apsauga, be to, galima pasirinkti ir keisti pagal poreikius bei naudojamų serverių pajėgumus (greitaveiką), taip pat duomenų parsiuntimo ir išsiuntimo srautus. Laikant duomenų bazes debesyse, galima užsakyti duomenų analizės, apimant ir kai kuriuos dirbtinio intelekto taikymo metodus, ar kitas paslaugas iš paties paslaugų teikėjo.“

Ekspertas pabrėžia, kad verslai privalo turėti omenyje, jog net ir debesijose saugomi informaciniai resursai gali būti laikomi nesaugiai ir visiems prieinami, todėl visada būtina tinkama procesų valdysena (angl. governance): ar laikote duomenų bazę pas save, ar debesijoje, tiesiog debesijoje už didelę dalį saugumo ir palaikymo klausimų atsako paslaugų teikėjas.

Dažniausiai pasikartojančios klaidos ir rizikos

Įmonės „Privacy Partners“ vykdomasis partneris išskiria dažniausiai pasitaikančias verslų problemas valdant duomenų išteklius: nesutvarkytas rezervinis kopijavimas (angl. backup), per plačios ar retai atnaujinamos prieigos teisės, nėra apsaugų nuo visos duomenų bazės kopijavimo, duomenų bazė su jautriais duomenimis nėra šifruota, nenumatytos apsaugos nuo duomenų praradimo priemonės (angl. data loss prevention), netvarkomi įrašai, kada daromi pakeitimai duomenų bazėje, nėra tinkamų audito ar monitoringo priemonių ir nepakankamos kitos informacinės saugos priemonės. Tai yra konkrečios problemos, kurios gali būti sprendžiamos įsivertinus riziką ir pradėjus taikyti tinkamą proceso valdyseną arba pasitelkus srities profesionalų pagalbą. 

M. Bieliūnas pabrėžia, kad šiuo atveju verslai neturėtų į duomenų apsaugą reaguoti atsainiai – duomenų praradimai gali atnešti didelių nuostolių. „Duomenų bazės yra vienos svarbiausių įmonės informacinių sistemų. Informacijos saugos pažeidimai, susiję su duomenų bazėmis, yra greiti, o nuostoliai dideli ir negrįžtami, pavyzdžiui, asmens duomenų praradimai (angl. personal data leaks). Praradus duomenų bazę, tai tampa trigubu smūgiu įmonei: kyla rizika įmonės reputacijai, valstybės sankcijos už BDAR pažeidimus, jei ten bus asmens duomenų, bei didelės rizikos verslui, tad kai kuriais atvejais verslas nebegali toliau tęsti veiklos“, – teigia ekspertas. 

Patarimai augančiam verslui

Galima pastebėti, kad augantis verslas dažnai susitelkia į duomenų bazės auginimą, o jos apsauga tampa daug vėliau gvildenamu klausimu. Duomenų apsaugos ekspertas M. Bieliūnas augančiam verslui siūlo to neapleisti ir duomenų bazės auginimo procese atkreipti dėmesį į šiuos aspektus. „Prieš pradedant rinkti duomenis svarbu pagalvoti, kada jie bus ištrinti. Tai ypač aktualu asmens duomenų klausimu, renkant perteklinius asmens duomenis be tinkamo sutikimo ar teisinio pagrindo, net jei jie nėra naudojami veikloje ir yra pasenę, gali kelti įmonei riziką tuo atveju, jeigu būtų prarasti“, – dėsto „Privacy Partners“ vykdomasis partneris.

Svarbu struktūruoti ir patį duomenų rinkimo procesą. „Aiškiai apgalvoti procesus, kaip, kada ir kur duomenys bus naudojami, kur jie surenkami, kaip apdorojami ir kam perduodami. Turint aiškų procesą, lengviau matyti vertės kūrimo grandinę ir ją paderinti pagal besikeičiančią rinkos situaciją. Taip pat matoma, kurie duomenys yra iš tiesų reikalingi, o kuriuos galima pašalinti ar nuasmeninti“, – vardija M. Bieliūnas.

Pasak eksperto, svarbus aspektas ir tai, kad saugos neįmanoma užtikrinti vien organizacinėmis ar techninėmis priemonėmis: „Tai turi būti integruota verslo proceso dalis. Labai gerai šią ideologiją Bendrajame duomenų apsaugos reglamente atitinka principas „privatumo užtikrinimas projektuojant“: duomenų bazių ir verslo procesų saugumas turi būti numatytas jau juos kuriant, nes padaryti tai vėliau tampa sudėtinga.“

M. Bieliūnas atkreipia dėmesį, kad automatizavimas šiame procese – sveikintinas žingsnis. „Visi procesai turėtų būti maksimaliai automatizuoti: nuo duomenų surinkimo iki tinkamų klientų išrinkimo, laiškų išsiuntimo ar atsakymų apdorojimo. Viena progresyviausių procesų automatizavimo formų – tai dirbtinio intelekto algoritmų naudojimas analizei bei sprendimų priėmimui“, – apibendrina pašnekovas ir skatina augančius verslus įvertinti šias duomenų apsaugos galimybes.