Pastaruoju metu Valstybinė duomenų apsaugos inspekcija (toliau – VDAI) gauna organizacijų pranešimus, kad „juodajame internete“ buvo paviešinti jų vartotojų asmens duomenys (prisijungimo prie informacinių sistemų vardai, slaptažodžiai).
KOKIŲ PRIEMONIŲ DĖL TOKIOS SITUACIJOS REIKĖTŲ IMTIS DUOMENŲ VALDYTOJAMS?
Gavusi informaciją apie galimai nutekintus prisijungimo vardus, slaptažodžius, organizacija (duomenų valdytojas) turėtų atlikti pirminį tyrimą ir nustatyti, ar įvyko duomenų valdytojo tvarkomų asmens duomenų konfidencialumo, vientisumo ar prieinamumo pažeidimas, t. y. ar buvo pažeisti organizacijos informacinėse sistemose tvarkomi asmens duomenys (ar buvo pažeistos saugumo priemonės, ar neįgalioti asmenys gavo prieigą prie asmens duomenų ir pan.). Kitaip tariant, ar yra duomenų, leidžiančių daryti prielaidą, kad įvyko asmens duomenų saugumo pažeidimas (toliau – ADSP).
JEI JŪSŲ TVARKOMI ASMENS DUOMENYS NEBUVO PASIEKTI NEĮGALIOTŲ ASMENŲ:
Įvertinkite duomenų subjektams kylančias rizikas ir imkitės veiksmų joms valdyti bei užkirsti kelią galimoms neigiamoms pasekmėms (blokuokite vartotojų paskyras, kurių prisijungimo duomenys sutapo su nutekintais duomenimis, sugeneruokite naujus laikinus slaptažodžius ir išsiųskite paveiktiems duomenų subjektams, aktyvuokite dviejų faktorių autentifikaciją ir pan.).
Praneškite vartotojams, kokių veiksmų jie patys galėtų imtis šioje situacijoje.
Nesant ADSP požymių, duomenų valdytojui nekyla pareiga teikti pranešimo VDAI pagal BDAR 33 straipsnį.
JEI JŪSŲ TVARKOMI ASMENS DUOMENYS BUVO PASIEKTI NEĮGALIOTŲ ASMENŲ:
Atlikite išsamų tyrimą, kad galėtumėte nustatyti pažeidimo mastą ir įvertinti galimas pasekmes duomenų subjektams.
Imkitės neatidėliotinų priemonių ir praneškite duomenų subjektams: tuo atveju, jei kyla ar gali kilti didelis pavojus fizinių asmenų teisėms ir laisvėms (nustatyti neteisėti prisijungimai prie vartotojų paskyrų arba nėra galimybės vienareikšmiai nustatyti, kad tokių prisijungimų nebuvo; nustatyti neteisėti veiksmai paskyrose ir pan.), privaloma imtis neatidėliotinų priemonių ADSP pasekmėms sumažinti ir informuoti duomenų subjektus pagal BDAR 34 straipsnį.
Praneškite VDAI: apie tokį pažeidimą privaloma pranešti VDAI per 72 valandas nuo tada, kai sužinoma apie ADSP.
VDAI atkreipia dėmesį, kad duomenų valdytojai turėtų skirti pakankamą dėmesį slaptažodžių sudarymui ir valdymui: užtikrinkite, kad vartotojų slaptažodžiai būtų saugūs, sudėtingi ir sudaryti bent iš 12 simbolių (raidžių, skaičių, bent vienos didžiosios raidės ir specialaus simbolio) bei periodiškai keičiami. Įdiekite papildomas saugumo priemones, pavyzdžiui, papildomą autentifikaciją ar saugumo įspėjimus.
Daugiau patarimų apie slaptažodžius ČIA ir ČIA.
KOKIŲ ATSARGUMO PRIEMONIŲ REIKĖTŲ IMTIS ŽMONĖMS (DUOMENŲ SUBJEKTAMS)?
Dėl bendro atsargumo VDAI pataria panašiais atvejais žmonėms imtis šių atsargumo priemonių:
Pasikeiskite slaptažodžius: pasikeiskite slaptažodį į naują ir unikalų. Jei naudojote tą patį slaptažodį ir kitose sistemose, taip pat keiskite ir juos.
Stiprinkite slaptažodžius: užtikrinkite, kad jūsų slaptažodžiai būtų saugūs ir sudėtingi. Jie turėtų būti sudaryti bent iš 12 simbolių: raidžių, skaičių, bent vienos didžiosios raidės ir specialaus simbolio.
Nesaugokite savo slaptažodžių naršyklėse: naršyklės gali turėti spragų ir pažeidžiamumų, kurie gali būti išnaudojami kenkėjiškoms programoms gauti slaptažodžius iš naršyklės saugyklos.
Atidžiai stebėkite susijusius pranešimus: sekite naujienas arba pranešimus iš paslaugų teikėjo, VDAI ar Nacionalinio kibernetinio saugumo centro.
Susilaikykite nuo dalijimosi asmenine informacija: būkite atsargūs dalydamiesi asmenine informacija internete arba su trečiosiomis šalimis, ypač jei gavote įtartinų pranešimų.
Praneškite apie įtartinus veiksmus: jei pastebite kokius nors įtartinus veiksmus savo paskyroje arba susijusiose sistemose, nedelsdami praneškite paslaugų teikėjui.
Naudokite antivirusinę programinę įrangą: įdiekite ir reguliariai atnaujinkite antivirusinę programinę įrangą savo įrenginiuose, kad būtumėte apsaugoti nuo kenkėjiškų programų.