Kai valstybė valdoma „tulpių paštu“, bet ne įstatymais
In­ves­ti­ci­jos į nau­jų tech­no­lo­gi­jų sek­to­rių bu­vo lai­ko­mos ri­zi­kin­go­mis dėl tei­si­nio ne­aiš­ku­mo su­si­ju­sio su nau­do­ja­mų duo­me­nų pri­va­tu­mo ir sau­gu­mo rei­ka­la­vi­mais. Šian­dien to­kio tei­si­nio ne­aiš­ku­mo yra ma­žiau, ge­gu­žės mė­ne­sį ES pra­dė­jo veik­ti du svar­būs tei­si­niai do­ku­men­tai – duo­me­nų ap­sau­gos di­rek­ty­va (GDPR) ir tink­lų ki­ber­ne­ti­nio sau­gu­mo di­rek­ty­va (NIS). Jau da­bar jos abi ver­ti­na­mos kaip kei­čian­čios pa­sau­lio tech­no­lo­gi­nių įmo­nių vers­lo mo­de­lius.

Bet ne Lietuvoje – kol kas direktyvos dėl tinklų kibernetinio saugumo ir direktyvos dėl duomenų apsaugos į nacionalinę teisę nėra perkeltos. Įdomiausia, kad Lietuvos vyriausybės atstovai pritarė šių dokumentų priėmimui ES Tarybose Briuselyje. Laiko pasiruošti jų įdiegimui buvo pakankamai – beveik 2 metai. Visai neaišku, kodėl nei Vyriausybė nei Seimas nei Prezidentūra tuo nesirūpino.

Dabar prasideda įdomiausia dalis – technologijų bendrovių, socialinių tinklų renkamų asmens duomenų ir kibernetinio saugumo atitikimo ES standartams vertinimas. Kaip atrodo problemų susikaupė daug, nusimato dideli teisminiai procesai tarp vartotojų atstovų ir garsių bendrovių, kurie gali turėti esminės įtakos žinomų technologijos įmonių veiklos rezultatams.

Lietuva berods turi galimybę tapti ir šių diskusijų objektu, mat vieno iš politinių partijų lyderio sūnus vadovauja Google Lietuva padaliniui. Google žinoma bendrovė, kurios veikla yra Europos Komisijos analizuojama dėl asmens duomenų rinkimo ir jų panaudojimo. Ir Lietuva turėtų sau atsakyti į eilę klausimų: Ar Google Lietuva surinkti duomenys gali būti panaudoti rinkimų metu prieš oponentus, sudarant jų elgsenos modelius kaip tai darė Cambridge Analytica bendrovė JAV prezidento rinkimų metu? Kaip tą reikėtų sustabdyti? Ar tokie giminystės ryšiai turi būti deklaruojami? Gal tokių ryšių yra daugiau? Ar Lietuvos paieškos, o ir kitos populiarios svetainės renka duomenys apie lankytojus ir jos naudoja komerciniais tikslais?

Neatmestina versija, kad Lietuvoje buvo delsiama su įstatymų priėmimu sąmoningai. Juk abi direktyvos pakankamai radikaliai turi pakeisti rinkos prisitaikymo prie skaitmeninės ekonomikos procesą, pajudinti įsitvirtinusias senas verslo struktūras. Valdžios lygmenyje asmens privatumo taisyklių irgi nebuvo paisoma, o duomenų apsaugos direktyva numato didžiules baudas už asmens privatumo pažeidimą. Ar valstybinė duomenų apsaugos tarnyba, kaip liudija įvairių pažymų naudojimo skandalai, iki šiol nelabai galėjusi užtikrinti piliečių duomenų apsaugą nuo valstybės institucijų savivalės, yra pasiruošusi įgyvendinti daug griežtesnes priemones?

Apie duomenų apsaugos naują reglamentą dar bent buvo kalbama, o apie tinklų kibernetinio saugumo direktyvą (sveikatos apsauga, transportas, energija, bankininkystė, skaitmeninės infrastruktūros, vandens tiekimas,e-prekyba, debesijos paslaugos, paieškos svetainės) net kalbų nebūta. Į klausimą kodėl nėra perkelta tinklų kibernetinio saugumo direktyva atsakoma, todėl, kad Lietuvoje ir taip viskas gerai sutvarkyta.

Iš tiesų, Lietuvoje, kaip, beje, ir visur pasaulyje, vyksta didelė kova dėl informacijos srautų. Didžiųjų skaičių ekonomika lemia, kad kas valdo informaciją, tas valdo pasaulį. Lietuvoje buvo nutarta, kad informaciją turėtų valdyti kariškiai – duomenų perdavimo tinklai perimti dėl kilnių tikslų, norint apsaugoti Lietuvą nuo išorės hibridinių grėsmių. Skeptikai sako, kad toks sumanymas atsirado norint pasiekti pažadėtą 2 proc. nuo BVP gynybos finansavimą.

Bet kibernetika dabar įdėta kiekviename žaisle, išmaniųjų sistemų taikymas labai paplito, todėl kibernetinės saugos sistema turi veikti ir buityje – namų valdose, ligoninėse, mokyklose ir kituose visiškai civiliuose objektuose. ES direktyvos tikslas yra pagerinti kibernetinių incidentų valdymą. Gal todėl, kad kariškių dalyvavimas ten nėra numatytas. Juk akivaizdu, kad vien kariškių pajėgumų neužtenka, be to jie turi svarbesnių darbų – saugoti strateginius objektus.

Kibernetinė erdvė sienų neturi ir kitas ES tinklų kibernetinio saugumo direktyvos tikslas yra užtikrinti geresnę koordinaciją ES lygmeniu. Lietuvos paskyrimas viešojo sektoriaus kibernetinės apsaugos koordinavimui nustebino Briuselį savo išradingumu – ES kibernetinio saugumo agentūros taryboje Lietuvai atstovauja, kaip parašyta Ryšių ir reguliavimo tarnybos atstovas, tiesa, oficialiai jis pavaldus Krašto apsaugos ministerijai ir adresas nurodytas šios ministerijos.

Tai, kad Lietuvos jėgos struktūros su valdžios viršūnėlė bando perimti visus informacijos srautus į savo rankas ir vyksta nuolatiniai ginčiai su civiliais operatoriais (telekomunikacijos, bankininkystė, akademinis tinklas) tikrai nedidina Lietuvos kibernetinio saugumo. Kaip tik atrodytų ta nereikalinga sumaištis yra būdas atitolinti Lietuvos parengties kibernetinio saugumo srityje sutvarkymą, atskirti nuo ES sistemos.

ES kibernetinio saugumo direktyvos perkėlimas būtų padėjęs tuos žinybinius ginčius įveikti, bet to Seimas nedaro. Visas technologines naujoves ir grėsmes bandoma valdyti reikalaujant daugiau investicijų. Bet jei tikėti valstybės išlaidų patikrinimo duomenimis, tai informacinių tinklų yra nutiesta daug daugiau negu reikia. Tad skubėti su investicijomis nėra reikalo, pradžioje reikia priimti įstatymus, norint žinoti kas už ką atsakingas.

Jei šiomis dienomis gavote žinutę, kur prašoma patvirtinti pateiktus asmens duomenis, nes įsigalioja naujos taisyklės – irgi neskubėkite tvirtinti. Visų pirma, turite teisę prašyti, kad asmens duomenis bendrovė ištrintų, jei bendravimas su įstaiga ar įmonė nėra tiesiog toliau aktualus. Antra, jau atsirado gudruolių, gavusių asmens duomenis iš trečiųjų asmenų ir dabar nori tai įteisinti, todėl jiems reikia patvirtinimo. O jei besikreipiančios dėl duomenų apsaugos naujų taisyklių patvirtinimo įmonės vardas, kaip pavyzdžiui „tulpių paštas“, nėra žinomas – geriau tiesiog neatsakyti į laišką.

Margarita Starkevičiūtė yra ekonomistė, finansų ekspertė