Lai arī mūsdienās datu privātuma un drošības jautājumi kļūst aktuālāki un savstarpēji vairāk saistīti nekā jebkad agrāk, saskaņā ar secinājumiem no PwC veiktās 2018. gada pasaules aptaujas par informācijas drošības stāvokli (Global State of Information Security® Survey 2018) daudzi uzņēmumi datu privātuma aizsardzībā nedara visu iespējamo.
Aptaujā ir izmantotas 9 500 biznesa līderu un IT nodaļu vadītāju atbildes no 122 valstīm.
Mazāk nekā puse aptaujāto (49%) saka, ka viņu uzņēmums ierobežo personas datu vākšanu, glabāšanu un piekļuvi līdz tam minimumam, kas nepieciešams, lai sasniegtu to likumīgo mērķi, kuram šie dati ievākti. Tikai 51% aptaujāto ir precīza darbinieku un klientu personas datu vākšanas, nosūtīšanas un glabāšanas vietu uzskaite. Un tikai 53% liek saviem darbiniekiem iziet apmācības par privātuma politiku un praksi.
Attiecībā uz trešajām personām, kuras apstrādā klientu un darbinieku personas datus, mazāk nekā puse aptaujāto (46%) veic atbilstības auditus, lai pārliecinātos par šo trešo personu tehniskajām iespējām personas datus aizsargāt. Un līdzīgs skaits (46%) saka, ka viņu uzņēmums liek šādām trešajām personām ievērot savu privātuma politiku.
Komentē PwCITS valdes loceklis un kiberdrošības līderis Latvijā Ēriks Dobelis: «Datu lietošana inovatīvos veidos paver durvis gan lielākām iespējām, gan lielākiem riskiem. Taču ļoti maz uzņēmumu savā digitālajā pārveidē iestrādā privātuma un kiberrisku pārvaldību. Savukārt izpratne par izplatītākajiem riskiem un zināšanu trūkumu var kalpot kā labs iemesls šādas pārvaldības ietvara izveidošanai.»
Augstākā līmeņa vadītāji atzīst augsto cenu, ko rada nedrošība. PwC 21. Pasaules uzņēmumu vadītāju aptaujā kiberapdraudējumi jau trešo reizi iekļuva piecu lielāko izaugsmes apdraudējumu sarakstā, un 40% uzņēmumu vadītāju teica, ka viņi par to ir ārkārtīgi noraizējušies (pērn 25%).
Taču ir iemesls arī optimismam - 87% pasaules uzņēmumu vadītāju saka, ka viņi investē kiberdrošībā, lai veidotu klientu uzticību. Gandrīz tikpat daudzi (81%) saka, ka viņi veicina caurskatāmību datu lietošanā un glabāšanā. Taču mazāk nekā puse saka, ka šīs darbības viņi veic «lielā mērā.» Pasaules kontekstā lielas bažas rada tas, ka teju trešdaļa Āfrikas uzņēmumu vadītāju un gandrīz ceturtdaļa Ziemeļamerikas uzņēmumu vadītāju (22%) saka, ka datu lietošanā un glabāšanā viņi «nepavisam» nerada caurskatāmību.
Patērētājiem ir relatīvi zema pārliecība, ka uzņēmumi personas datus izmantos atbildīgi. Piemēram, ASV tikai 25% patērētāju saka, ka viņi tic, ka vairums uzņēmumu sensitīvus personas datus apstrādā atbildīgi (PwC 2017. gada ASV patērētāju izpētes sērijas aptauja).
PwC prognozē arī lielāku sabiedrības pieprasījumu uzņēmumiem šifrēt datus, lai nodrošinātu to aizsardzību, kas veicinās attiecīgas investīcijas. 46% aptaujāto finanšu nozarē saka, ka viņi šogad plāno palielināt investīcijas šifrēšanā.
Mazāk nekā trešdaļa (31%) aptaujāto saka, ka uzņēmuma valde tiešā veidā piedalās pašreizējo drošības un privātuma risku pārbaudē. Uzņēmumiem, kuru vērtība pārsniedz 25 miljardus ASV dolāru, šis rādītājs ir tikai nedaudz lielāks (36%).
Skaidro PwC kiberdrošības un privātuma līderis Āzijas un Klusā okeāna reģionā Pols O’Rurks: «Jebkura lieluma uzņēmumam ir jāpalielina savas valdes iesaiste kiberriska un privātuma riska pārvaldības pārraudzībā. Bez atbilstošas risku izpratnes uzņēmuma valde nav gatava pildīt savas pārraudzības funkcijas datu aizsardzības un privātuma jautājumos.»
Šā gada maijā stāsies spēkā ES Vispārīgā datu aizsardzības regula, kura attiecas uz ikvienu ES teritorijā strādājošu uzņēmumu. Daži aptaujātie pasaulē saka, ka viņi esot sākuši gatavoties šai regulai jau 2017. gada pirmajā pusē – gadu pirms atbilstības termiņa. Piemēram, regulas izvērtējumu bija uzsākusi aptuveni trešdaļa aptaujāto (32%), bet Āzijā šis skaitlis bija nedaudz lielāks (37%) nekā citviet.
Šā gada maijā stāsies spēkā arī ES Tīklu un informācijas sistēmu drošības direktīva, kuras mērķis ir palielināt kibernoturību. Uzņēmumiem, kurus dalībvalstis ir identificējušas kā būtisko pakalpojumu (kritiskās infrastruktūras) operatorus, kā arī digitālo pakalpojumu sniedzējiem (meklētājprogrammas, mākoņdatošanas pakalpojumi un tiešsaistes veikali) atbilstoši direktīvai ir jāievēro jaunas prasības attiecībā uz drošību un valsts iestāžu informēšanu par incidentiem. Līdzīgi regulai nopietnas sekas var iestāties arī uzņēmumiem, kas neievēro direktīvas prasības.
Skaidro PwC Legal zvērināta advokāte un datu aizsardzības speciāliste Aija Panke: «Uzņēmumu vadītājiem šī regula un direktīva būtu jāuzskata nevis par slogu, bet par stratēģisku iespēju pielāgot savu uzņēmumu sekmīgai darbībai pasaulē, kurā personas dati ir būtiska ikdienas sastāvdaļa. Turklāt regulāra komunikācija ar regulatoriem dos iespēju uzņēmumiem veiksmīgāk pielāgoties jaunajām prasībām.»