Problema, kurios beveik niekas nemato
Advokatas gauna jautrų dokumentą iš savo kliento. Gydytojas aptaria diagnozę su kolega. Psichologas derina su psichiatru paciento gydymą. Mokesčių konsultantas siunčia deklaracijos duomenis. Visi tai daro žinutėmis. Ir beveik niekas nesusimąstė, kur tos žinutės atsiduria.
Atsakymas daugeliu atvejų: serveryje, kurio jie nekontroliuoja, šalyje, kurios teisės aktų jie nežino, valdomame įmonės, kurios verslo modelis yra būtent duomenų kaupimas. Žinutė gali būti šifruota persiuntimo metu, bet kai pasiekia serverį, tai jau yra kopija, saugoma trečiosios šalies infrastruktūroje.
Ką sako įstatymas
Europos BDAR yra aiškus: kas tvarko trečiųjų asmenų duomenis, yra atsakingas už jų apsaugą tinkamomis techninėmis priemonėmis. Geros valios nepakanka. Nepakanka, kad programėlė tvirtintų, jog šifruoja. Jei tavo kliento duomenys yra serveryje, kuris neatitinka Europos teisės aktų, tu esi atsakingas.
Ir tai ne tik BDAR. Profesinė paslaptis — reglamentuota advokatams, gydytojams, psichologams, auditoriams ir daugeliui kitų — reikalauja, kad komunikacija su klientu būtų konfidenciali. Ne konfidenciali "kiek įmanoma". Tikrai konfidenciali. Jei kanalas, kurį naudoji, negali to techniškai garantuoti, prisiimi riziką, kurios neturėtum prisiimti.
Ko reikia profesionalui?
Ko reikia profesionalui, tvarkančiam jautrią informaciją, yra stebėtinai paprasta. Kanalo, kuriame žinutės keliauja tiesiai iš jo įrenginio į gavėjo, nepraeinant per jokį tarpinį serverį. Kur neliktų jokios kopijos jokiame debesyje. Kur nereikėtų duoti asmeninio telefono numerio. Ir kur infrastruktūra visiškai atitiktų Europos teisės aktus.
Nereikia sudėtingos programėlės. Nereikia mokymų. Nereikia keisti darbo būdo. Reikia tiksliai to, ką jau naudoja — momentinių žinučių — bet su technine garantija, kad informacija nepalieka dviejų pokalbyje dalyvaujančių žmonių įrenginių.
Skirtumas tarp šifravimo ir nesaugojimo
Užšifruoti žinutę ir laikyti ją serveryje — tai lyg įdėti dokumentą į seifą ir palikti jį nepažįstamojo namuose. Seifas geras, taip. Bet dokumentas vis tiek yra kito žmogaus namuose. Ir tas žmogus gali gauti teismo nutartį, patirti kibernetinę ataką arba tiesiog pakeisti savo paslaugų sąlygas.
Alternatyva — kad dokumentas niekada neišeitų iš tavo kabineto. Kad keliautų tiesiai nuo tavo stalo prie kliento stalo, nepraeinant per jokį tarpininką. Tai daro tiesioginė komunikacija tarp įrenginių: pašalina tarpininką. Ne todėl, kad tarpininkas yra blogas. O todėl, kad jis nereikalingas. O kas nereikalinga, saugumo srityje visada yra rizika.
Atsakomybės klausimas
Galų gale, klausimas, kurį turėtų sau užduoti kiekvienas profesionalas: jei rytoj nutekės pokalbis su mano klientu, ar galiu įrodyti, kad naudojau techniškai saugų kanalą? Ar galiu įrodyti, kad duomenys niekada nepaliko mūsų įrenginių? Ar galiu įrodyti, kad nesiklioviau kitos žemyno įmonės gera valia?
Įrankis, kurį renkiesi bendrauti su savo klientais, daug pasako apie tai, kaip vertini jų pasitikėjimą. Ir yra įrankių, sukurtų būtent tam: kad pasitikėjimas priklausytų ne nuo pažadų, o nuo architektūros.