Darbuotojams dažnai trūksta žinių apie duomenų apsaugą ir privatumą, ypač apie duomenų laikymo ir apdorojimo reikalavimus ir taisykles, kuriuos nusako bendrasis duomenų apsaugos reglamentas (angl. General Data Protection Regulation (GDPR)) ir ES ir JAV duomenų apsaugos įstatymai (angl. EU-U.S. Privacy Shield regulations).
Ką Jūsų organizacijos darbuotojai supranta apie saugumą, duomenų apsaugą ir privatumą bei sutikimą? Kompanijos MediaPro, įsikūrusios Bothel (Vašingtone) mieste ataskaita parodė, kad darbuotojai apie duomenų apsaugą žino nepakakankamai. Atkreipiant dėmesį į tai, kad šiuo metu duomenų apsauga tampa vis labiau svarstoma tema, ir artėjant Europos Sąjungos bendrasis duomenų apsaugos reglamento (angl. GDPR) spaudimui, jūsų kompanijos darbuotojų nežinojimas, kaip laikyti ir apdoroti duomenis, gali sukelti rimtų nemalonumų.
Bet tai nėra vienareikšmiškai blogos naujienos. Iš esmės JAV esantys darbuotojai puikiai identifikuoja jautrius ir privačius dokumentus, ir supranta, kurie iš duomenų turi būti sunaikinti, o kurie atitinkamai saugomi. Vis dėlto, jie patiria sunkumų su privatumo reguliavimu (ypač bendruoju duomenų apsaugos reglamentu (angl. GDPR) bei ES ir JAV duomenų apsaugos įstatymais), naudodami jautrius duomenis tiek asmeniniame, tiek profesiniame gyvenime.
Praėjusių metų spalį, įmonė MediaPro, besispecializuojanti saugumo ir privatumo supratimo ir sutikimo mokymuose, apklausė 1007 JAV gyventojus apie geriausias duomenų apsaugos praktikas ir taisykles. MediaPro paklausė dalyvių, ką jie darytų 5 atvejais, galimais įvykti bet kurioje JAV korporacijoje. Gautus rezultatus MediaPro paskelbė 2018 metų privatumo stebėjimų pranešime (angl. 2018 Eye on Privacy Report).
„Pastaroji apklausa atskleidė stebėtinai žemą duomenų apsaugos ir privatumo supratimo lygį (panašūs rezultatai buvo skelbti ir 2017 metų privatumo ir duomenų apsaugos būklės pranešime). Todėl 2018 m. įmonės privalo imtis griežtesnių priemonių.“ – teigė Steve Conrad, MediaPro vadovaujantis direktorius. „2018 metų privatumo stebėjimų pranešimas (angl. 2018 Eye on Privacy Report) atskleidė, kad įmonės turėtų dėti daugiau pastangų apmokydamos savo darbuotojus, kaip tvarkyti jautrius duomenis. Metas baigti žaidimą su ugnimi kalbant apie duomenų apsaugą – kol dar nėra per vėlu.“
Toliau straipsnyje atskleisime, kokie buvo darbuotojų atsakymai MediaPro apklausoje, patarsime, kokiais būdais užtikrinti, kad jūsų tiesioginiai vartotojai (angl. end users) žinotų, kaip darbo vietoje tinkamai reaguoti į duomenų apsaugos problemas ir jas spręsti.
Nacionalinis ir pasaulinis duomenų apsaugos reglamentavimas
Asmenys, atsakingi už informacijos srauto valdymą ir įmonės technologizavimą (angl. CIO; Chief Information Officer) turėtų rūpintis, kad darbuotojai susipažintų su nacionaliniais ir pasauliniais duomenų apsaugos reguliavimo principais.
Respondentai daugiausiai žinojo apie sveikatos draudimo portatyvumo ir atskaitomybės įstatymą (angl. Health Insurance Portability and Accountability Act (HIPAA)), kuris reguliuoja JAV gyventojų sveikatos duomenų apsaugą. Pranešimas atskleidė, kad pastarasis įstatymas buvo „visiškai naujas“ 21 procentui respondentų. 34 procentai žinojo pagrindus, bet nelaikė savęs ekspertais, ir 18 procentų sakė, kad jie „žino daug“. Žinojimo lygį nulėmė industrija, kuriai atstovavo respondentas. Sveikatos priežiūros industrijos respondentai buvo labiau susipažinę su sveikato draudimo portatyvumo ir atskaitomybės įstatymo (angl. HIPAA) nuostatomis: 54 procentai iš jų pasakė, kad jie yra nemažai nagrinėję šią temą.
Bet kalbant apie bendrąjį duomenų apsaugos reglamentą (angl. GDPR), kuris ES bus pradėtas vykdyti gegužės 25 dieną – situacija labai skiriasi. 59 procentai respondentų teigė, kad bendrasis duomenų apsaugos reglamentas jiems yra visiškai naujas dalykas. 24 procentai girdėjo apie šias nuostatas, bet pripažino, kad turi pasidomėti giliau, 13 procentų sakė, kad žino svarbiausius dalykus ir 4 procentai laikė save ekspertais.
Asmenys, atsakingi už informacijos srauto valdymą ir įmonės technologizavimą (angl. CIO; Chief Information Officer) turėtų tuo ypatingai susirūpinti, nes ES suteikė bendrajam duomenų apsaugos reglamentui reikšmingas galias: baudos už nesilaikymą gali siekti 4 procentus nuo jūsų organizacijos metinės pasaulinės apyvartos, arba 27 milijonus dolerių, jei ji yra didesnė.
„Kadangi bendrasis duomenų apsaugos reglamentas dar nėra įsigalėjęs ir turi daug neaiškių dalių, žmonės patiria sunkumų bandydami suvokti, kaip visa tai atrodys realybėje“ – teigia Colleen Huber, MediaPro produkto vadovė. „Tai reikalauja kryžminės funkcinės prieigos (angl. cross-functional approach) – sistemos, kuomet žmonės iš skirtingų sričių dirba kartu kaip komanda. Privalomas platesnio masto supratimas, kokių taisyklių reikia laikytis“.
Tarp apklaustų darbuotojų, daug mažiau išmano ES-JAV duomenų apsaugos įstatymus (angl. EU-U.S. Privacy Shield regulation), kurie yra teisiniai pamatai vykdant transatlantinį duomenų dalijimąsi tarp įmonių ir organizacijų JAV ir ES. 63 procentai respondentų sakė, pastarieji įstatymai jiems yra visiškai nauji, ir tik 23 procentai sakė, kad jie žino svarbiausius dalykus. Respondentai, dirbantys vyriausybinėse įstaigose buvo mažiausiai susižapažinę su šiais įstatymais: 76 procentai sakė, kad tai jiems yra visiškai nauja informacija.
Huber prabrėžia, jog labai svarbu, kad organizacijos išnagrinėtų taisykles savo darbuotojams.
„Jūsų taisyklės, procedūros, žinojimo skatinimas ir mokymų programos turi būti susijusios su tiesioginiais vartotojais.“ – ji teigia. „Jūs turite pateikti šias taisykles visiems suprantama forma. To reikia siekiant užtikrinti, kad asmeninė informacija yra naudojama tinkamai, tvirtai laikantis aukščiausių pasaulinių duomenų apsaugos standartų. Daugeliu atvejų, darbuotojai iš tiesų nežino, kas tai yra.“
Jautrūs ir asmeniniai dokumentai
MediaPro paklausė respondentų atlikti tris veiksmus – paskelbti pranešimą socialinėse medijose, sunaikinti saugioje popieriaus pjaustymo mašinoje, ar saugoti užrakintame stalčiuje – pristatydami dokumentų pavyzdžius ir informaciją, įprastai randamą biuro aplinkoje.
MediaPro apklausa atskleidė, kad respondentai turi bendrą supratimą, kokį veiksmą atlikti priklausomai nuo informacijos. Pavyzdžiui, dauguma respondentų pasirinko arba sunaikinti seno slaptažodio užuominą ir prieš trisdešimčius dirbusio buvusio darbuotojo mokesčių formą popieriaus pjaustymo mašina (75 procentai ir 74 procentai respondentų atitinkamai), arba laikyti juos užrakintame stalčiuje (22 procentai ir 24 procentai, atitinkamai).
„Bendrai, yra puiku matyti, kad žmonės arba užrakintų stalčiuje arba supjaustytų dokumentus saugiai“, – teigia Huber. „Ir tik ta informacija, kurią jie pasirinko paskelbti socialinėje medijoje, buvo dalykai, kuriuos būtų galima skelbti socialinėje medijoje“.
Huber teigimu, kuo daugiau informacijos apie situaciją darbuotojai turi, tuo jie geriau jie priima sprendimą, kaip reikia elgtis su dokumentais ar duomenimis.
„Reikia užtikrinti, kad darbuotojai žinotų visą kontekstą, susijusį su informacija“ – sakė Huber. „Būkite užtikrinti, kad jie supranta, kurie dokumentų tipai atskleidžia jautrią informaciją, ir taip pat suprastų, kokia informacija yra tame dokumente ir kokias pasekmes tiesioginiam vartotojui (angl. end user) sukeltų tos informacijos nutekėjimas.“
Priėjimo suteikimas trečiųjų šalių programoms (angl. applications) išmaniuosiuose įrenginiuose
Kalbant apie leidimų suteikimą trečiųjų šalių programoms, rezultatai stipriai koreliuoja pagal amžių. 55 ir vyresnių metų respondentai teigė, kad jie atsako „niekada“ į programėlių leidimo užklausas 59 procentus atvejų. 35-54 metų amžiaus asmenų grupė atsako „niekada“ 52 procentus atvejų. Ir 18-34 metų amžiaus respondentai teigė, kad atsako „niekada“ 42 procentus atvejų.
Visų amžiaus grupių respondentai labiausiai saugojo savo teksto pranešimus: 68 procentai respondentų sakė, kad jie „niekada“ nesuteikia trečiųjų šalių programoms leidimo skaityti jų teksto pranešimų. Respondentai taip pat saugojo savo kontaktus, naršymo istoriją ir jų SD kortelės turinį (58 procentai, 56 procentai, ir 56 procentai, atitinkamai, sakė, kad jie niekada nesuteiktų leidimo trečiųjų šalių programoms skaityti/modifikuoti ar rinkti informaciją).
Bet respondentai jautėsi daugiau ar mažiau komfortiškai suteikdami leidimus rinkti kitą informaciją:
- 68 procentai sakė, kad jie „kartais“ suteikia leidimą trečiųjų šalių programoms sekti tikslią lokaciją per GPS ir/ar tinklo duomenis; 9 procentai sakė, kad jie „visada“ suteikia leidimą.
- 50 procentų sakė, kad jie „kartais“ suteikia leidimą rinkti prietaiso lokaciją net tada, kuomet programa nėra paleista; 7 procentai sakė, kad jie „visada“ suteikia leidimą.
- 48 procentai sakė, kad jie „kartais“ suteikia leidimą pridėti ar modifikuoti kalendoriaus įvykius; 7 procentai sakė, kad jie tai leidžia „visada“.
- 54 procentai sakė, kad jie „kartais“ suteikia leidimą fotografuoti ir įrašinėti video, procentų teigė, kad jie tai leidžia „visada“.
Huber pastebi, kad leidimų suteikimo pasekmių supratimas yra ypatingai svarbus, nes mobiliuosiuose telefonuose visada turima įvarios – asmeninės ir įmonės informacijos.
„Kuomet jie suteikia priėjimą prie tokios informacijos, kaip jų kontaktai, svarbu, kad mokymai, geriausios praktikos, medžiaga su visais galimais išsišakojimais parodytų, kad gali atsitikti, jeigu kažkas nutiktų tam įrenginiui,“ – teigia Huber.
Huber taip pat pataria profiliuoti darbuotojus pagal amžių, ir suteikti jiems mokymus, pritaikytus jų poreikiams.
Specifinių tipų informacijos jautrumas
Paprašius sureitinguoti 8 tipų informaciją pagal jautrumą skalėje nuo 0 iki 5 balų (5 balais žymint jautriausią), respondentai sutiko, kad socialinio draudimo numeriai buvo labiausiai jautri informacija: 89 procentai skyrė 5 balus ir 6 procentai skyrė 4 balus. Kreditinės kortelės informacija buvo taip pat laikoma jautria: 76 procentai skyrė 5 balus ir 19 procentų skyrė 4. Panašiai, 71 procentai respondentai vertino informaciją apie mokesčius – skyrė 5 balus, ir 19 procentų skyrė 5 balus. Mažiausiai jautria informacija respondentai laikė tą, kuri skelbiama socialinėse medijose: 58 procentai sureitingavo socialinės medijos publikacijas 0 arba 1 balu.
Respondentai buvo daug labiau sangviniški kalbant apie kitus informacijos tipus:
- Tik 53 procentai respondentų skyrė 5 balus medicininiams įrašams, o 28 procentai jiems skyrė 4 balus.
- 28 procentai respondentų darbo elektroniniams laiškams skyrė 5, o 39 procentai – 4 balus.
- 10 procentų naršymo istorijai skyrė 5, o 31 procentas – 4 balus.
Pastebėtina, kad finansinio sektoriaus darbuotojai nebuvo linkę priskirti mokesčių informacijos labiau jautria nei kitų industrijų darbuotojai: 57 procentai finansų sektoriaus darbuotojų informacijai apie mokesčius skyrė 5 balus, lyginant su 73 procentais kitų industrijų respondentų.
Pranešimas apie potencialius privatumo incidentus
MediaPro respondentams pristatė 8 įmanomus scenarijus įprastoje darbo aplinkoje ir paklausė jų, ar jie praneštų apie apie privatumo incidentus, kurie galėtų sukelti federacinius, valstybinius, vietinius, ar įmonės taisyklių pažeidimus ryšiumi su jautrios ar asmeninės informacijos naudojimu. Respondentų buvo paklausta, ar jie praneštų, nepraneštų, ar nebūtų tikri, ką daryti.
Apklausa atskleidė, kad bendrai respondentai gebėjo teisingai nuspręsti, kurie scenarijai reikalavo pranešti, o kurie – ne. Pavyzdžiui, 83 procentai respondentų teisingai įvertino, kad jautrios informacijos, padėtos netoli spausdintuvo, radimas būtų atvejis, apie kurį reikia pranešti.
Stebėtina, kad nors 91 procentas respondentų teisingai pažymėjo, kad jie praneštų sužinoję, kad kiber-nusikaltėlis pavogė kelių klientų informaciją (vardus, adresus, gimimo datas), 8 procentai nebuvo tikri, ką darytų, ir 2 procentai teigė, kad apie tai „nepraneštų“.
Pastebėtina, kad suskaidžius atsakymus pagal atstovaujamą industriją, MediaPro nustatė, kad technologijų sektoriaus darbuotojai buvo mažiausiai linkę teisingai identifikuoti praneštinus incidentus. Tik 82 procentai technologijų sektoriaus respondentų atsakė, jog atradus, kad kiber-nusikaltėlis pavogė jautrią kliento informaciją, reikėtų apie tai pranešti.
