Kas atsako už mūsų duomenų saugumą debesyse ir ką apie tai turėtume žinoti? Teisininko komentaras su realiais duomenų praradimo ir teismų pavyzdžiais ()
Debesyse šiuo metu saugome viską – nuotraukas, asmens bei kreditinių kortelių duomenis, konfidencialius dokumentus, slaptažodžius ir t. t. Praktika rodo, kad net ir patys išmaniausi debesys gali turėti saugumo spragų, o ir vartotojai ne visada tinkamai saugo prisijungimus prie tų duomenų, tad kartais ši informacija nuteka. Kiek mes patys esame atsakingi už galimą žalą ir ką vertėtų žinoti renkantis debesijos paslaugas asmeniniams ar verslo poreikiams?
Prisijunk prie technologijos.lt komandos!
Laisvas grafikas, uždarbis, daug įdomių veiklų. Patirtis nebūtina, reikia tik entuziazmo.
Sudomino? Užpildyk šią anketą!
Žala – nuo duomenų ištrynimo iki jų perpardavimo
Duomenų laikymas debesyse tapo kasdienybe. Šiomis paslaugomis aktyviai naudojasi dauguma pasaulio gyventojų – nuo pavienių vartotojų iki stambių korporacijų. Anot „451“ tyrimo, 2019-aisiais net 90 proc. kompanijų savo duomenis laikė debesyse.
Įprastai tokiose saugyklose laikomi duomenys yra pakankamai saugūs, vis tik išimčių iš taisyklės pasitaiko visame pasaulyje. Štai pernai Amerikoje įvyko vienas didžiausių duomenų nutekėjimų bankų istorijoje. Buvo nutekinta 106 milijonų amerikiečių bei kanadiečių asmens duomenų, sąskaitų numerių, kreditinių kortelių informacijos ir t. t. Kaltininkų toli ieškoti nereikėjo – paaiškėjo, kad tai padarė moteris, anksčiau dirbusi debesijos kompanijoje, kuri ir teikė duomenų laikymo paslaugą bankui. Programinės įrangos inžinierė buvo sučiupta, kai internete užsiminė apie turimus duomenis, o nukentėjusiesiems ekspertai patarė stebėti veiklą sąskaitose ir kilus įtarimams „įšaldyti“ kreditines korteles.
Tai, kokia žala gali nutikti tokiais atvejais, priklauso nuo suinteresuotų asmenų ketinimų ir duomenų pobūdžio. Svarbu suvokti, kad rizika nėra tik aukščiausio lygmens nusikaltimai – ne tik profesionalūs programišiai gali pasisavinti mūsų duomenis, bet ir pavieniai asmenys. Gavus priėjimą prie duomenų, jie gali būti panaudoti neteisėtiems tikslams, paviešinti arba parduoti trečiosioms šalims, ypač jei tai – kontaktai. Pastarieji – labai paklausi prekė. Norint pakenkti konkretiems asmenims ar kompanijoms, duomenys gali būti ir negrįžtamai sunaikinti. Taip pat, turėdami prisijungimą prie duomenų saugyklos, suinteresuoti asmenys gali stebėti ten esančius duomenis, jų pasikeitimus ir tik sulaukę progos jais pasinaudoti. Tokia situacija ypač nemaloni, nes žmonės ar įmonės, kurių veikla yra stebima, paprastai apie tai nieko nežino.
Patartina rinktis didesnį saugumo lygį
Visi mūsų duomenys yra svarbūs, vis tik tam tikri duomenys yra jautresni – tai gali būti konfidencialūs dokumentai, informacija apie sveikatą, slaptažodžiai, kreditinių kortelių duomenys, asmens duomenys ir pan. Todėl ketinant laikyti tokius duomenis debesų saugykloje, svarbu suvokti, kad už tai atsako abi pusės.
Pirmiausia, reikėtų turėti omenyje, kad visos debesų saugyklos yra skirtingos. Jos turi atitikti tam tikrus reikalavimus, turėti specialius sertifikatus, kurie suteikia teisę internete saugoti tam tikrą medžiagą. Tad renkantis vertėtų atkreipti dėmesį, jog tam tikros debesijos kompanijos siūlo geriau apsaugotas ar papildomas paslaugas, kurios yra tinkamesnės jautriems duomenims laikyti. Kai kurios iš šių paslaugų prie duomenų leidžia prisijungti tik iš tam tikrų įrenginių, todėl, net ir turint slaptažodžius, duomenys tampa nepasiekiami iš kitų įrenginių. Arba, norint pasiekti laikomus duomenis, gali būti reikalinga papildoma identifikacija. Nors tai ir apsunkina naudojimąsi duomenimis, tačiau užtikrina didesnį saugumo lygį.
Vartotojams vertėtų būti apdairiems
Verta žinoti, jog grėsmę duomenų saugumui dažniau kelia ne debesijos kompanijos, o mes patys – elgdamiesi neapdairiai, nesaugodami savo įrenginių ar visiems prisijungimams naudodami tą patį slaptažodį. Didžiausios saugumo spragos įmonėse – kad prie vieno serverio yra prijungti visi darbuotojai ir tai sukuria daugybę galimų įėjimo taškų įsilaužėliams. Tokiu atveju užtenka „nulaužti“ ar kitaip gauti vieno vartotojo prisijungimą ir tampa pasiekiami visi įmonės debesyje esantys duomenys.
Siekiant, kad į duomenis nebūtų pasikėsinta, kiekvienas vartotojas turėtų saugoti savo prisijungimus bei prietaisus, iš kurių galima prisijungti prie tų duomenų. O įmonėms reikėtų turėti patvirtintas tvarkas, kaip darbuotojai turėtų naudotis savo technika ar prisijungimais, saugoti konfidencialius ar asmens duomenis, taip pat apmokyti darbuotojus tų tvarkų laikytis. Be to, labai svarbu iš anksto žinoti, ką daryti įtarus, kad atsirado saugumo spragą, ir imtis visų reikiamų žingsnių, siekiant sustabdyti duomenų nutekėjimą ar bent jau sumažinti žalą.
Kas atsakys už duomenų saugumą?
Tai, kas atsakingas už galimą žalą, nusprendžia debesijos paslaugos teikimo sutartis. Daugumoje tokių susitarimų nurodoma, kad paslaugos teikėjai įsipareigoja tik laikyti duomenis bei suteikti prieigą prie jų, tačiau ne juos apsaugoti.
Tai, ar duomenų saugyklų kompanijos gali neatsakyti už neapsaugotus klientų duomenis, priklauso nuo šios sutarties bei metodikos. Kol kas ši teritorija teisminėje praktikoje yra nepakankamai ištyrinėta. Europoje tokių žinomų bylų nėra, o štai Amerikoje 2016 metais vyko svarbi byla tarp „Silverpop system inc.“ ir „Leading market technologies inc.“ dėl 100 tūkst. elektroninio pašto adresų nutekėjimo. Jungtinių Amerikos Valstijų Federalinis apygardos apeliacinis teismas pareiškė, kad susitarimas tarp debesijos paslaugų teikėjo ir šias paslaugas įsigijusios kompanijos buvo sudarytas tik dėl suteikiamos prieigos prie duomenų, o ne dėl jų saugaus saugojimo, todėl ieškinys dėl patirtos žalos buvo atmestas.
Žinoma, Europoje duomenų apsaugos sistema griežtesnė ir debesijos paslaugų teikėjas yra laikomas asmens duomenų tvarkytoju, tad tam tikra atsakomybė už duomenų nutekėjimą jam turėtų grėsti. Vis tik, vartotojai, sutikdami su paslaugos sutartimi, suteikia teisę kompanijoms tos atsakomybės atsisakyti, tad vis dar nėra aišku, kaip Europos Sąjungos teismai vertintų tokias situacijas.
Dėl šios priežasties verta suvokti, kad duomenų saugumas priklauso ne tik nuo debesijos kompanijos, bet ir nuo to, kiek mes skiriame tam dėmesio bei lėšų. Todėl turėtume būti atidūs, prieigą prie duomenų saugoti ir patys, žinoti, kaip elgtis įvykus saugumo pažeidimui, o ne tik palikti šią pareigą paslaugų teikėjams.
Paulius Milkevičius, Advokatų profesinės bendrijos „Žabolienė ir partneriai METIDA“ teisininkas