Bilietai.lt atvejis nėra standartinis, prie duomenų galimai buvo prieita ne nulaužus tam tikrą apsaugos sistemą, bet paprasčiausiai ją apėjus – tai tarsi skylė tvoroje, per kurią galima įlysti ir pasiimti tai, ko nori. Šiuo atveju savo tapatybės neatskleidęs asmuo galėjo tiesiog pasinaudoti šia spraga ir gauti prieigą prie informacijos apie esamus klientus, jų sutikimus, bilietus, dovanų kuponus ir pan.
Pranešime taip pat buvo skelbiama, kad Bilietai.lt apie esamą spragą galimai buvo informuoti. Jei tai tiesa – situacija tampa dar sudėtingesnė, nes tai parodytų, jog nors įmonė apie situaciją ir žinojo, niekas nesiėmė tokios spragos užtaisyti. Turint tokius duomenis kaip ką žmogus pirko ir už kiek – galima būtų ne tik pasinaudoti bilietais, bet tam tikrai atvejais sugalvoti ir piktesnių planų, todėl labai svarbu užtikrinti, kad tokios situacijos apskritai neįvyktų.
Šiuo atveju daugiau galimybių piktnaudžiauti kelia nepanaudoti dovanų kuponai – už juos būtų galima nusipirkti tai, ką nori ir tai padaryti labai lengva, tereikia unikalaus kupono kodo. Su bilietais gali būti kiek sudėtingiau, ypač, jei jie vardiniai, bet praktikoje tokių būna gan retai.
Dėl to jei kalbėtume apie konkretų renginį, išsiaiškinti, ar bilietą parodęs žmogus iš tikrųjų yra tas, kuris jį ir pirko yra praktiškai neįmanoma, ypač, jei tai didelis renginys. Todėl tikrai gali pasitaikyti tokių situacijų, kuomet žmogus, turintis prieigą prie bilieto, paprasčiausiai ateina pirmas, o tikrajam pirkėjui pasakoma, kad, deja, bilietas jau yra panaudotas. O įrodyti kas ir kaip įvyko – gali būti labai sudėtinga.
Viena iš išeičių tokioje situacijoje galėtų būti naujų unikalių kodų bilietams sugeneravimas. Tai leistų nutekintus bilietus paversti negaliojančiais, bet, žinoma, yra ir daugiau niuansų, kuriuos būtų labai svarbu įsivertinti prieš atliekant tokį veiksmą. Pavyzdžiui, tikrai yra tokių žmonių, kurie bilietus atsispausdina ir daugiau elektroninio pašto netikrina, neseka technologijų ar duomenų apsaugos naujienų ir nežino, kas įvyko.
Geriausias būdas apsisaugoti yra visuomet tai padaryti iš anksto ir pasistengti užtikrinti, kad tokios situacijos neįvyktų. Žinoma, būtina turėti ir aiškų veiksmų planą jei, vis dėlto, duomenų apsaugos incidentas įvyktų.
Taisyklės ir baudos
Svarbiausias ir kertinis įstatymas, kuriame nustatyti duomenų apsaugos standartai ir kuris yra taikomas ne tik Lietuvoje, bet ir visoje Europoje – tai Bendrasis duomenų apsaugos reglamentas (BDAR). Čia aprašytų standartų turi laikytis kiekvienas verslas ar subjektas, tvarkantis asmens duomenis. Žinoma, šie standartai yra gana platūs ir jokių konkrečių priemonių, kurias turėtų taikyti įmonės – nenustato. Visos įmonės gali verstis labai skirtingomis veiklomis ir vienose renkami asmens duomenys bus itin jautrūs, kitose – ne.
Kitaip sakant, nors standartai ir egzistuoja, vis dėlto kiekvienas verslas turi pats užtikrinti, kad jų renkami duomenis būtų saugomi tinkamai. Tai labai priklauso nuo pačio verslo brandos bei suvokimo, kokias technologijas ir kokius sutikimus taikyti konkretiems atvejams, taip pat, kokių priemonių ir metodų reikia imtis tam, kad saugumas būtų užtikrintas. Labai svarbu turėti ir supratimą organizacijos viduje, kad duomenų apsauga yra labai svarbi verslo dalis, mat dažniausia problema, kuri lemia tokius duomenų nutekinimo įvykius – tai žmogiškoji klaida.
Valstybinė duomenų apsaugos inspekcija (VDAI) gavusi skundus ar informaciją apie galimai nutekintus duomenis gali pradėti tyrimą, kurio metu bus tikrinami konkrečios įmonės vidiniai procesai, taip pat tai, kaip yra aprašytos jų apsaugos priemonės ir panašūs dalykai. Jei tokių patikrinimų metu yra nustatomi pažeidimai – skiriamos baudos.
BDAR nustatyta, kad baudos už duomenų apsaugos pažeidimus siekia iki 4 proc. metinės įmonės apyvartos, maksimali bauda – 20 mln. Eur. Lietuvoje didžiausia bauda, kurią yra gavęs verslas už duomenų apsaugos pažeidimus – apie 100 tūkst. Eur.
Tad sumos tikrai nėra mažos ir tai rodo, kad duomenų apsaugos nė viena įmonė ignoruoti neturėtų. Duomenų apsaugos svarba nuolat auga, todėl tvarkyti procesus reikia, o žinant apie tam tikras saugumo spragas, jas taip pat svarbu sutvarkyti ir užtikrinti, kad situacija nesikartotų.
