Nors IT veiklos atkūrimo plano (angl. IT disaster recovery, DR) rengėjai nėra teisininkai, tačiau išmanyti teisinius ir draudiminius klausimus, susijusius su šiuo dokumentu, kaip niekada svarbu – jau nuo šių metų gegužės visoje Europos Sąjungoje įsigalioja Bendrasis duomenų apsaugos reglamentas (angl. General Data Protection Regulation, GDPR). Be to, visapusiškas pasirengimas šio dokumento taikymui pagerina jo kokybę ir gali turėti net finansinės grąžos.

Pradžia – tvarkinga dokumentacija

Nors daugelis organizacijų supranta IT veiklos atkūrimo plano būtinumą, daugeliui šio dokumento rengimas atrodo arba per brangus, arba per daug imlus laikui. Kaip pastebi „Blue Bridge“ IT paslaugų valdymo skyriaus vadovas Mindaugas Maraulas, tiesos šioje įžvalgoje yra – šio dokumento sukūrimas tikrai gali pareikalauti nemažai laiko. Ypatingai, jeigu ruošiamasi kruopščiai.

„Tiesa, palengvinti šio dokumento rengimą gali keli dalykai. Pavyzdžiui, jeigu IT skyrius bus paruošęs IT infrastruktūrą ir turės visą reikiamą jos dokumentaciją, plano rengimas bus daug sklandesnis ir efektyvesnis. Jį rengiant daugiau laiko bus galima skirti strateginiams sprendimams, o ne elementariems darbams, tokiems kaip būtinos dokumentacijos rinkimas“, – pabrėžia pašnekovas.

Be to, turint tvarkingą infrastruktūros dokumentaciją, galima aiškiai pamatyti, iš ko sudarytas konkretus IT ūkis bei ką ir kaip bus siekiama apsaugoti IT nelaimės atveju. Visa ši informacija, kaip ir su IT krizėmis susijusių teisinių normų išmanymas, gali tapti puikiu atspirties tašku rengiant IT veiklos atkūrimo planą.

Svarbūs ne tik oficialūs reikalavimai

Pažintis su esminiais IT teisės aspektais, leidžiančiais aiškiau įsivaizduoti, kokia šio dokumento svarba ir jo neefektyvumo pasekmės – kitas svarbus žingsnis, rengiant IT veiklos atkūrimo planą. Kaip pastebi advokatų kontoros „Sorainen“ ekspertas, advokatas dr. Stasys Drazdauskas, nors teisinės prievolės turėti tokį planą visoms organizacijoms nėra, tačiau po kelių mėnesių įsigaliosiantis Bendrasis duomenų apsaugos reglamentas numato bendro pobūdžio pareigas visoms organizacijoms, tvarkančioms asmens duomenis, užtikrinti savo sistemų atsparumą.

„Pavyzdžiui, naujojo reglamento 32.1.c straipsnyje nurodoma, kad duomenų valdytojai privalo „laiku atkurti sąlygas ir galimybes naudotis asmens duomenimis fizinio ar techninio incidento atveju“, o tai reiškia, kad IT veiklos atkūrimo planas taps aktualus įvairioms organizacijoms“, – pasakoja ekspertas.

Be to, svarbūs ne tik įstatymuose nustatyti reikalavimai – visoms organizacijoms gali tekti atsakyti už IT nelaimės padarytą žalą civiline tvarka, pavyzdžiui, klientams arba partneriams: „Civilinio kodekso 6.248 str. skelbia: „Laikoma, kad asmuo kaltas, jeigu atsižvelgiant į prievolės esmę bei kitas aplinkybes jis nebuvo tiek rūpestingas ir apdairus, kiek atitinkamomis sąlygomis buvo būtina.“ Ištikus IT avarijai, galima būtų interpretuoti šį bendro pobūdžio teiginį, pavyzdžiui, taip, kad jeigu organizacija neturėjo IT veiklos atkūrimo plano ir jos veiklos pobūdžio rizika buvo didelė, plano neturėjimas yra didelis neatsargumas.“

IT teisė svarbi sudarant sutartis su tiekėjais

Teisės klausimas ypatingai svarbus ir sudarant sutartis su IT tiekėju – viena iš svarbiausių šalių rengiant ir sklandžiai įgyvendinant IT veiklos atkūrimo planą. Kaip teigia „Sorainen“ atstovas, pastebimas didėjantis susidomėjimas teisiniais IT nesklandumų aspektais, į juos vis daugiau atsižvelgiama ir sudarant sutartis, susijusias su IT paslaugomis.

„Galima pastebėti, kad su IT susijusiose sutartyse vis dažniau kalbama apie atsakomybės ribojimą. Ką gi tai reiškia? Pirmiausia, atsakomybė už padarytą žalą priklauso nuo kaltės laipsnio. Skiriamos dvi kaltės rūšys: didelis neatsargumas ir paprastas. Dideliu neatsargumu laikoma situacija, kai atsakingas asmuo ar organizacija nesiima elementariausių saugumo priemonių, pavyzdžiui, IT atkūrimo plano iš viso nėra. Svarbu pažymėti, kad esant dideliam neatsargumui, jokie atsakomybės ribojimai nėra taikomi ir tai – viena iš rimčiausių priežasčių, kodėl visiems, kas dar neturi IT veiklos atkūrimo plano, reikėtų apie jį pagalvoti. Na, o paprastu neatsargumu laikoma situacija, kai nesiimta visų galimų priemonių. Pavyzdžiui, IT atkūrimo planas buvo įgyvendintas, tačiau viena iš jo numatytų priemonių nesuveikė kaip tikėtasi, nes laiku nebuvo atnaujinta informacija apie pasikeitusias sistemas. Tokiu atveju, IT avariją patyrusi organizacija gali tikėtis lengvesnės atsakomybės“, – pasakoja S. Drazdauskas.

IT veiklos atkūrimo planas svarbus ir tuo atveju, jeigu organizacija norėtų prisiteisti žalą už IT avariją iš savo tiekėjo. „Jeigu organizacija tokio plano neturėjo, gali būti laikoma, kad ji prisidėjo prie padarytų nuostolių. Tai reiškia, kad prisiteisti žalą iš IT tiekėjo gali būti sunkiau“, – pažymi pašnekovas bei priduria, kad IT incidentas nebūtų laikomas atsakomybę panaikinančia force majeure aplinkybe: „Svarbu pažymėti, kad reikia ne tik turėti IT veiklos atkūrimo planą, bet ir pasirūpinti jo kokybe. Prieš penkerius metus parengtas ir nuo to laiko nė karto neatnaujintas planas nepalengvins nei atsakomybės už IT avarijos padarinius, nei padės prisiteisti žalos atlyginimą už IT avariją iš kitos organizacijos.“

Nuo kokių IT avarijos padarinių galima apsidrausti?

Galiausiai, pasirengimą IT veiklos plano kūrimui galėtų palengvinti išsamesnė pažintis su draudimu nuo kibernetinių atakų. Pavyzdžiui, tarp rinkoje siūlomų draudimo pasiūlymų, yra galimybė įsigyti kompleksinį draudimo apsaugų paketą, kuris apima įvairius IT avarijų padarinius.

„Dauguma kibernetinio draudimo polisų pirmąja savo dalimi suteikia draudimo apsaugą apsidraudusiojo turtui, t. y. – turimoms piniginėms lėšoms arba galimoms išlaidoms likviduoti žalą padarytą kibernetiniais kanalais. Tarp draudžiamų išlaidų – IT sistemų, atstatymo išlaidos po virusų. Taip pat hacker‘ių, DDOS atakų ar panašių įvykių išlaidos. Galima apsidrausti ir nuo pinigų vagystės per el. laiškų falsifikavimą (angl. SpearPhishing), pinigų reikalavimo užšifravus duomenis (angl. Ransomware), ir t. t.“, – vardija „Colemont“ Nestandartinių rizikų draudimo vadovas Domas Bačius.

Antroji IT draudimo dalis paprastai apima organizacijos atsakomybę kitiems dėl duomenų nutekėjimo ar vagystės. „IT avarija gali paveikti šimtus arba tūkstančius organizacijos klientų arba asmenų, kurių duomenimis organizacija disponavo. Tai reiškia, kad kiekvienas iš nukentėjusiųjų turi teisę reikalauti atlyginti jiems padarytą žalą – ir moralinę, ir patirtus finansinius nuostolius. Būtent nuo tokios situacijos ir galima apsidrausti pasitelkus kibernetinių rizikų draudimą“, – pastebi D. Bačius.

Pašnekovas atkreipia dėmesį, kad IT draudimas neatsilieka ir nuo aktualijų – Bendrojo duomenų apsaugos reglamento įsigaliojimo: „Pagal naująjį reglamentą, organizacijos, iš kurių pavagiami, paviešinami arba kitaip nutekinami jų disponuojami asmens duomenys, privalės informuoti kiekvieną iš nukentėjusiųjų. Kibernetinių rizikų draudimas gali padengti ir su šios pareigos vykdymu susijusias išlaidas.“

Kuo tvarkingesnis IT, tuo palankesnės draudimo sąlygos

Apie draudimą nuo kibernetinių grėsmių pirmiausia turėtų pagalvoti organizacijos, disponuojančios dideliais asmens duomenų kiekiais, pavyzdžiui, finansine, su sveikata ir tapatybe susijusia informacija. Taip pat organizacijos, kurių veikla tiesiogiai susijusi su duomenų bazėse ar kitoje saugykloje laikomų duomenų prieinamumu, konfidencialios informacijos saugojimu arba tvarkymu, rekomenduoja D. Bačius.

„Taip pat draudimas galėtų būti naudingas organizacijoms, apmokančioms daug sąskaitų ir darančioms daug pavedimų, tarp kurių gali įsimaišyti ir falsifikuota sąskaita“, – pastebi pašnekovas.
Ekspertas atkreipia dėmesį, kad nors draustis nuo kibernetinių grėsmių galima ir neatlikus išsamesnės IT ūkio saugumo analizės, tačiau kuo besidraudžianti organizacija geriau apsaugojusi savo IT sistemas, tuo geresnių draudimo sąlygų gali tikėtis. Todėl kruopštus pasirengimas IT veiklos atkūrimo plano kūrimui gali turėti labai apčiuopiamą finansinę naudą.

Daugiau pasiruošimo – mažiau darbo

Apibendrindamas svarbiausius pasirengimo kurti arba atnaujinti IT veiklos atkūrimo planą žingsnius, „Blue Bridge“ IT paslaugų valdymo skyriaus vadovas M. Maraulas primena, kad pasiruošimas turėtų prasidėti organizacijos viduje – atlikus svarbiausios IT infrastruktūros ir su ja susijusios dokumentacijos auditą.

Žengus šį žingsnį, dėmesį neišvengiamai reikėtų atkreipti į kitus IT veiklos atkūrimo planui įtakos turinčius veiksnius – organizacijos įsipareigojimus tiekėjams ir klientams, IT tiekėjo įsipareigojimų apibrėžimą, aktualius teisinius aspektus bei galimybes apsidrausti nuo finansinių nuostolių IT avarijos metu.

Tai trečioji dalis iš straipsnių trilogijos apie IT krizės suvaldymą. Kviečiame skaityti pirmąją dalį Kodėl IT veiklos atkūrimo planą sėkmingai įgyvendina tik kas antras? ir antrąją dalį Kodėl ištikus IT krizei svarbi komunikacija?

---

 

Norite pasikonsultuoti dėl IT veiklos atkūrimo plano jūsų įmonei?

Susisiekime: Mindaugas.Maraulas@www.bluebridge.lt, +370 628 51805

Mindaugas Maraulas – „Blue Bridge“ IT paslaugų valdymo skyriaus vadovas, sukaupęs projektavimo, projektų valdymo ir pardavimų patirtį debesų kompiuterijos sprendimų bei IT paslaugų srityse.