Prisijungimo vardas:   Slaptažodis:         Prisiminti mane  

IŠŠŪKIAI, UŽTIKRINANT DUOMENŲ APSAUGĄ IR KIBERNETINĮ SAUGUMĄ


VMI atstovės pranešimai:


Trumpai LAR atstovų įspūdžiai:

VMI renginį ir pasveikinimo žodį tarė VMI viršininkė Edita JANUŠIENĖ, kuri informavo, kad VMI saugo 45 terabaitus mokesčių mokėtojų informacijos - bus prašoma ir daugiau, tačiau bus ir tebėra saugoma saugiai.   

Valstybinės duomenų apsaugos inspekcijos direktoriaus pavaduotoja Rita VAITKEVIČIENĖ pažymėjo, kad skundų iš fizinių asmenų dėl ju VMI saugomų duomenų iki šiol nebuvo gauta. Atstovė pažymėjo, kad pagal Tarnautojų įstatymą pareigą, taip pat ir atsakomybę, neplatinti duomenų prisiima ne tik institucija, bet ir patys tarnautojai. Inspekcijos nuomone, VMI turi teisę gauti visą reikiamą informaciją, tačiau būtina įstatymuose aiškiai numatyti, kad duomenys apie sveikatą, rasę, kilmę ir pan. nebūtų pateikiami, net ir VMI (tokios praktikos laikomasi ir JAV). Inspekcijos atstovė taip pat akcentavo, kad būtina tinkamai įvertinti, kokie duomenys reikalingi, kokiam tikslui bus naudojami ir nerinkti perteklinių duomenų, dėl kurių saugumo vėliau kyla rizika. Inspekcijos atstovė užsiminė, kad darbo užmokesčio žiniaraščiai galėtų būti be pavardžių, o jautriausias duomuo yra asmens kodas, nes vardas ir pavardė gali dubliuotis, pavardė (kartais ir vardas) tam tikrais atvejais keičiama, be to, ir asmenų gimimo datos nėra unikalios. Tačiau Inspekcija nesiūlo ir neketina teikti pasiūlymų dėl konkrečių duomenų apsaugos priemonių ir kaip pasiruošti reglamento įgyvendinimui, kadangi pokyčių daug, todėl neįmanoma visko numatyti ir verslas turi prisitaikyti greičiau nei valstybinės institucijos.   

VMI Vidaus saugumo skyriaus Informacinių sistemų saugos kontrolės poskyrio patarėja Jūratė KARPAVIČIENĖ išsamiai informavo, kaip VMI ruošėsi BDAR, ką pavyko padaryti ir ko nepavyko, kokias klaidas nustatė ir kokią patirtį įgijo. VMI atstovė užsiminė, kad visą tai įgyvendinant buvo suformuota Lietuvos duomenų apsaugos pareigūnų asociacija, kuri (galbūt) dalinsis patirtimi apie procesą.    

Oracle atstovas viešajam sektoriui Gytis NEMANIS pripažino, kad VMI skiriamas dėmesys šiai sričiai yra ypatingas palyginti su kitomis institucijomis, kurios atsilieka ir vargu ar spės iki 2018 m. gegužės 25 d. Taip pat atstovas trumpai apžvelgė procesą: kaip viskas prasidėjo, su kokiomis problemomis teko susidurti (ypač politiniame lygyje). Be to, atstovas drąsai pripažino, kad  šiuo klausimu valstybės institucijos turi gerokai daugiau resursų nei smulkusis verslas, nėra jokių konkrečių kontrolinių sąrašų. Tačiau, jeigu Ūkio ministerija prisidėtų, galima būtų inicijuoti visus susijusius procesus. Be to, atstovas užsiminė, kad siekiant apsaugoti tikruosius duomenis, galima būtų, pavyzdžiui, dirbant su testinėmis aplinkomis gauti sumiksuotus duomenis, tai yra vardą ir pavardę susieti su kito asmens kodu ir taip tokie duomenys tampa netikrais.    

NRD CS vyresnysis saugos konsultantas Romualdas LEČICKIS perspėjo, kad vyksta technologijų karas ir tik laiko klausimas, kada kas nors įsilauš į bet kurios institucijos / verslo vieneto duomenis. Ir vienintelis klausimas: kaip išgyventi tokį periodą, nes išgyvenęs taps stipresniu. Arba neišgyvens. Atstovas atkreipė VMI dėmesį į I-MAS ir pasiūlė pasirūpinti tokiais atvejais, nes labai tikėtina, kad informacija nutekės. Atstovas taip pat pateikė kelis praktinius patarimus: griežtas auditavimas, netolerancija pažeidimams, kuo mažiau duomenų judėjimo, apsaugos kameros, darbuotojų atsparumo ugdymas kritinėms situacijoms. Taip pat buvo atstovas rekomendavo peržiūrėti trumpus Valstybės saugumo departamento parengtus filmus https://www.vsd.lt/gresmes/susipazink-su-verbavimu/   

VĮ „Infostruktūra“ Saugumo skyriaus vadovas Mindaugas MATULIONIS pažymėjo, kad duomenų perdavimas tarp valstybinių institucijų (daugumos) yra apsaugotas (nors kasmet patiriama 34 mln. atakų), t. y. saugiame perimetre. Tačiau 20 proc. valstybinių institucijų (ne VMI) yra už šio perimetro, įskaitant Seimo tinklalapį. Iš esmės visos atakos yra nukreiptos į valstybę, nes tik taip pasiekiamas pagrindinis tikslas - žinomumas. Atstovas taip pat atkreipė dėmesį, kad privatus verslas tokių resursų neturi. Sprendimas - kiekvieną dieną laužtis į savo sistemą ir ieškoti spragų. Nesaugiausi duomenų perdavimo būdai - naudojant USB atmintinę (draudžiama kaip ir bankuose) ir prisijungiant iš mobilios vietos. Šiandien technika gali užtikrinti tik 20 proc. saugumo, žmogus - 80 proc.   

Dėmesio!

Visuotinis LAR narių susirinkimas gruodžio 14 d. LITEXPO

 
 
Copyright © 2009 LIETUVOS AUDITORIŲ RŪMAI.
Visos teisės saugomos.