Ekspertai pataria: kaip apsaugoti konfidencialius įmonės duomenis turint nuotolinių darbuotojų

Kibernetinis saugumas kelia didžiulių iššūkių, ypač kai gyvenimas ir toliau aktyviai keliasi į nuotolį. Tai liudija ir pasikartojantys incidentai. Nors, pasak Jungtinių Tautų Tarptautinės telekomunikacijų sąjungos (ITU), Lietuva pagal kibernetinį saugumą tarp pasaulio valstybių pernai užėmė šeštą, o Europoje – ketvirtą vietą, CERT-LT šalyje 2021 m. užfiksavo daugiau kaip 4 tūkst. kibernetinių incidentų, kurie nutinka ne tik dėl augančio programišių dėmesio lietuvių įmonėms, bet ir dėl netinkamo įmonių vidinių saugumo standartų laikymosi.

Asociatyvi Tautvydo Levinsko nuotr.

Kai vis daugiau organizacijų leidžia savo darbuotojams dirbti nuotoliu, ryškėja dar vienas duomenų saugumo plyšys. Organizacijų duomenys paprastai saugomi debesyse, ir komandos, dažnai būnančios netgi skirtinguose pasaulio kraštuose, jais dalijasi. Tad užtikrinti duomenų saugumą ir intelektinės nuosavybės apsaugą daugeliui yra rimtas iššūkis, ypač kai tarp tų duomenų yra ne tik vardai ir pavardės, bet ir įvairūs patentai, planai, vartotojų duomenys, dar neišleistų produktų aprašai ir kt. Visgi įmonės duomenų saugumą įmanoma užtikrinti net ir tada, kai darbuotojų daug ir dalis jų – kitose šalyse ar net kituose žemynuose.

Pagrindinis prioritetas – teisinis duomenų saugumo užtikrinimas

Samdant nuotoliniu būdu dirbančius specialistus, visų pirma reikėtų parengti tinkamas sutartis ir numatyti teisinius saugiklius. Pasak Liinos Laas, nuotolinio įdarbinimo platformos „Deel“ plėtros vadovės Baltijos, Vidurio ir Rytų Europos regione, daugelyje šalių, įskaitant ir Lietuvą, galima registruoti prekių ženklus bei patentus, kurie padeda apsaugoti intelektinę nuosavybę. „Na, o su darbuotojais ir partneriais reikėtų pasirašyti konfidencialumo sutartis (NDA), kurios leidžia aiškiai apibrėžti, kuri informacija yra konfidenciali, o kuria galima dalytis su visais. NDA leidžia apsaugoti tam tikrus duomenis, kurie negali būti apsaugoti pagal autorių teisių ar patentų įstatymus“, – teigia ji.

Andrius Iškauskas, advokatų kontoros „Noor“ partneris ir intelektinės teisės specialistas, patvirtina tokių sutarčių svarbą ir priduria, kad įmonės dažnai daro klaidą manydamos, kad teisės aktai jau automatiškai apsaugo darbdavį ir užtikrina, jog darbuotojai neatskleis jo konfidencialios informacijos: „To maža. Įmonėje turi būti patvirtintas komercinių paslapčių sąrašas, o su darbuotojais patariama sudaryti detalesnes konfidencialumo sutartis. Be to, ir pati įmonė turi sudaryti technines bei organizacines sąlygas darbuotojams saugoti jiems patikėtą jautrią informaciją, net jeigu tie darbuotojai dirba nuotoliu.“

Edukacija ir tinkama sistemų priežiūra turi būti atliekama nuolat

Ilgainiui net ir griežčiausi teisiniai barjerai gali neapsaugoti, jeigu įmonė neturės aiškių taisyklių bei standartų, darbuotojai nebus tinkamai apmokyti jų laikytis, o išmaniuosiuose įrenginiuose naudojama programinė įranga – sena.

L. Laas ir A. Iškauskas pataria kiekvienai įmonei atsiminti šias reikšmingas priemones, kurios padės išvengti kibernetinių incidentų:

1. Reguliariai IT saugumo bendrovių ar specialistų atliekamas vidinis duomenų saugos procesų auditas. Paprastai vykstant tokiems auditams analizuojami veiklos procesai, kurių metu kaupiami, tvarkomi ir saugomi asmens duomenys, identifikuojama duomenų tvarkymo rizika, nustatomi neatitikimai pagal teisės aktus ir, žinoma, pasiūlomi galimi sprendimai.
2. Savarankiškos saugumo patikros. Kiekviena organizacija turi nuolat tikrinti savo virtualias užkardas, antivirusines sistemas, šifravimą, kitas apsaugos priemones ir, jei reikia, jas atnaujinti. Tokiems darbams atlikti paprastai net nereikia saugumo specialistų, tokius darbus gali atlikti IT skyrius.
3. Darbo įranga. Jeigu darbuotojai dirba nuotoliu, rekomenduojama jiems suteikti darbo kompiuterius, kurie bent kartą per 3–6 mėnesius būtų audituojami, atnaujinami ir apsaugomi.
4. Vidinių dokumentų, reguliuojančių informacijos saugą, parengimas ir darbuotojų supažindinimas.
5. Darbuotojų edukavimas apie elementariausias saugumo taisykles. Pavyzdžiui, 2010 m. „Apple“ programinės įrangos inžinierius, tuo metu bandęs dar neišleistą „Apple iPhone 4“, viešumoje dar niekur nematytą įrenginį tiesiog paliko bare. Apie tokias, atrodytų, žmogiškas pasitaikančias situacijas būtina kalbėti ir skatinti nepamiršti elementarių taisyklių. Be to, neretai slapti ir svarbūs duomenys yra nutekinami pokalbiuose su namiškiais ar įsileidžiant pašalinius asmenis į aplinką, kur dirbama.