Komentarai

A. Šekštelo. ALERT! Kibernetinis saugumas arbitraže

Vykstant technologinei revoliucijai, visuomenė ir verslas jau, galima sakyti, persikėlė į elektroninę erdvę: debesija, elektroniniai parašai, komunikacija el. paštų, duomenų siuntimas per didelės apimties duomenų persiuntimo paslaugas teikiančias aplikacijas (pvz., wetransfer.com, dropbox.com), elektroninės platformos dokumentams siųsti ir byloms nagrinėti. Ir čia tik maža dalis elektroninių duomenų naudojimo. Jeigu manote, kad kibernetinis saugumas yra neaktualus, pagalvokite, kas galėtų nutikti Jums, jeigu pašalinis asmuo gautų prieigą prie Jūsų elektroninio pašto?

Tačiau lazda turi du galus. Esant tokiam dideliam duomenų pasiekiamumui, atsiranda rizika tokius duomenis arba pilnai ar iš dalies prarasti, arba padaryti lengvu grobiu tiems, kam tokia informacija yra reikalinga. Ypatingai tai aktualu, kai informacija yra konfidenciali.

Vienas iš komercinio arbitražo principų yra konfidencialumas. Jis taikomas ne tik pačiam arbitražo bylos sprendimui, bet ir byloje surinktiems įrodymams, net ir pačiam bylos nagrinėjimo faktui. Kibernetinis saugumas (angl. Cybersecurity) šiame straipsnyje suprantamas kaip priemonės, nukreiptos išlaikyti skaitmeninės informacijos konfidencialumą, integralumą ir prieinamumą. Tai tik vienas duomenų saugumo aspektų. Todėl nenuostabu, kad kibernetinis saugumas sulaukia vis daugiau dėmesio ir arbitražo visuomenėje.

Antai, Tarptautinė Taryba Komerciniam Arbitražui (angl. International Council for Commercial Arbitration, toliau – ICCA) parengė protokolą „Kibernetinis saugumas Tarptautiniame Arbitraže“ (toliau – Protokolas), kuris padėtų arbitražo proceso dalyviams įvertinti duomenų apsaugos poreikį.

Protokolas turi du pagrindinius tikslus. Pirma – pateikti gaires pagristoms informacijos saugumo priemonėms nustatyti. Antra – padidinti informacijos saugumo arbitraže žinomumą.

Protokolas nėra privalomas arbitraže. Juo galima remtis tik tuomet, kai šalys ir arbitražo teismas susitaria dėl Protokolo taikymo. Protokolas numato keturiolika principų, kurie pirmiausia skirti arbitražo proceso dalyviams, t. y. šalims, arbitražo teismui ir arbitražą administruojančioms institucijoms. Todėl Protokolas pripažįsta, kad bet kuris asmuo, kuris turi prieigą prie arbitražo bylos medžiagos, turi imtis pagrįstų informacijos saugumo priemonių.

Protokolo 7 principas ir A priedas numato pagrindines tokio saugumo priemones:

  • saugumo žinios ir atitinkamas švietimas (rizikų, profesinių reikalavimų, industrijų standartų, tokių kaip Tarptautinių prekybos rūmų Kibernetinio saugumo verslui gidą). Pvz., IT specialistas turėtų Jums išaiškinti pagrindinius duomenų saugumo Jūsų įmonėje principus, kad Jūs žinotumėte, ar būtina imtis papildomų saugumo priemonių.
  • Turto valdymui skirtos duomenų saugumo infrastruktūros veikimo išmanymas. Infrastruktūra apima ir asmeninio naudojimo (programinę) įrangą (ruteriai, ugniasienės, (planšetiniai) kompiuteriai, išmanieji telefonai, USB diskai, spausdintuvai, skaneriai, interneto protokolas, garso ir vaizdo įranga, debesijos įranga, aplikacijos, nuotolinės prieigos įranga (angl. remote access tools), pagalbinės paslaugos (angl. back-up services). Pavyzdžiui, arbitras, turintis arbitražo bylos medžiagą savo asmeniniame planšetiniame kompiuteryje, turi žinoti, ar ši informacija saugoma tik jo kompiuteryje, ar serveryje, ar debesijoje, ar naudojama saugi koduojama prieiga prie šių duomenų. Taip pat, būtina nustatyti jautrią informaciją ir ją apsaugoti (pvz., nuasmeninti, arba tokią jautrią informaciją perduoti saugiomis priemonėmis). Kitas, praktinis patarimas – vengti nereikalingų jautrios informacijos popierinių kopijų. Nereikia nė sakyti, kad valytoja, valanti advokatų kontoros kabinetus, galėtų rasti atvirai ant stalo tokios informacijos, kurios net sapne nesapnuotų. Todėl, kitas svarbus principas – tinkamai saugoti konfidencialius dokumentus ir jų kopijas. Tai taikoma ne tik popieriniams, bet ir elektroniniams dokumentams. Elektroniniai dokumentai turėtų būti saugomi pagal „3-2-1 taisyklę“, kuri reiškia, kad iš viso turi būti trys elektroninės kopijos dokumentų, dvi iš jų turi būti saugomos dvejose skirtingose savarankiškose duomenų talpyklose, o viena kopija turi būti saugoma debesijoje. Jei kopijos nebereikalingos – jos turi būti saugiai sunaikintos. Taip pat būtina sumažinti prieigą prie jautrios informacijos kelionių metu (pvz., išjungti nešiojamąjį kompiuterį kertant pasienio patikrinimo punktus oro uostuose; saugoti jautrią informaciją tik kelionėms skirtuose kompiuteriuose (kurie neturi el. pašto, debesijos aplikacijų (arba prieiga prie jų yra saugi), kitaip tariant, kurie yra išvalyti ir izoliuoti nuo bet kokios prieigos iš interneto; konfidencialūs dokumentų aplankai turi būti aiškiai pažymėti, ir kt.).
  • Prieigos prie duomenų kontrolė. Turi būti įvertinta prieigos kontrolės politika, stiprūs prisijungimo slaptažodžiai (kurie turi būti periodiškai keičiami) ar biometrinė kontrolė, papildomos autorizavimo priemonės (pvz., be slaptažodžio, naudoti papildomai atsiųstą kodą), prisijungiančių asmenų kontrolė ir stebėsena.
  • Užkodavimas (angl. – encryption). Tai procesas, kuris naudoja algoritmą informacijai užkoduoti ir tokiu būdu padaryti ją nebeprieinamą pašaliniams asmenims.
  • Komunikacijos saugumas. Svarbu būti kritiškiems prisegtukams (dokumentams, kurie yra siunčiami kartu su el. laišku) ir nuorodoms. Siųstis aplikacijas ar programinę įrangą yra būtina tik iš žinomų ir patikimų šaltinių, o vietoj nuorodos paspaudimo, geriau įvesti teisingą interneto puslapio URL paieškos sistemoje ir tokiu būdu patekti tiesiai į puslapį. Didesniems projektams ar byloms siūloma nesinaudoti el. paštu, o naudoti specialias platformas (pvz., Vilniaus komercinis arbitražo teismas turi tokią specialią platformą ARBIS) arba duomenų keitimosi programas (angl. share-file). Vengti viešos prieigos viešbučiuose, oro uostose, kavinėse ir pan. Viešas WiFi tinklas gali suteikti hakeriams galimybę įsilaužti į patį tinklą, gauti slaptažodžių duomenis ir pan. Geriau naudoti asmeninius prisijungimo per mobilųjį telefoną taškus (angl. hot-spots) arba naudotis VPN (angl. virtual private network) paslaugomis.
  • Fizinė duomenų apsauga. Būtina įvertinti nešiojamų duomenų praradimo riziką (pvz., pamestas arba pavogtas asmeninis kompiuteris ar USB diskas gali būti galvos skausmas ne tik Jums, bet ir Jūsų klientams, kurių duomenys ten buvo). Svarbu naudoti tik patikimus USB raktus ar diskus, nes juose gali būti programinė įranga, galinti automatiškai įsilaužti į Jūsų kompiuterį ar tinklą. Visi kompiuteriai turi būti su slaptažodžiais ar biometrine kontrole (pvz., planšetinio kompiuterio atrakinimas nuskaičius piršto antspaudą). Popieriniai duomenys turi būti saugūs ir neprieinami su šiais dokumentais nedirbantiems asmenims.
  • Operacinis saugumas. Svarbu naudoti profesionalius komercinius produktus, įranga, kokybišką antivirusinę programą, ugniasienes ir jas periodiškai atnaujinti, nesidalinti turima įranga ar prieiga, vykdyti turimų duomenų apsaugos priemonių patikimumo ir efektyvumo stebėseną.

Protokolas numato, kad pasirenkant atitinkamą saugumo priemonę, būtina įvertinti:

  • turimos informacijos prigimtį (ar informacija yra konfidenciali, sudaro profesinę ir (ar) komercinę paslaptį, asmeniniai duomenys ir pan.), bylos pobūdį (industriją, ginčo sumą, ginčo pobūdį, visuomenės susidomėjimą ginču), bei galimas tokios bylos duomenų atskleidimo pasekmes.
  • Informacijos saugumo praktiką, šalių, arbitrų, arbitražo institucijos pajėgumus.
  • Kaštus informacijai apsaugoti.
  • Priemonių, skirtų apsaugoti informaciją, proporcionalumą ginčo dydžio, vertės, jautrumo įvertinimui.
  • Arbitražo proceso efektyvumą.

Protokolas taip pat siūlo adaptuoti saugumo priemones įvertinant skirtingus arbitražo bylos eigos aspektus. Pvz., duomenų perdavimą, saugojimą, naudojimą kelionių, posėdžio metu, po arbitražo bylos pabaigos.

Todėl Protokolas skatina šalis ir arbitrus susitarti dėl duomenų apsaugos priemonių kaip įmanoma ankščiau arba suteikti arbitrams įgaliojimus nustatyti būtinas ir proporcingas duomenų apsaugos priemones bei skirti sankcijas šalims už duomenų apsaugos pažeidimus.

Svarbu pažymėti, kad Protokolas nekeičia taikytinos teisės, arbitražo taisyklių (reglamentų) ir profesinės etikos reikalavimų. Taip pat Protokolas neaptaria atsakomybės už duomenų pažeidimą. Todėl, pirmiausia svarbu arbitražo institucijoms peržiūrėti arbitražo taisykles ir sugriežtinti duomenų apsaugą. O pačioms šalims taip pat būtina numatyti esminius duomenų apsaugos principus konkrečioje byloje, arba duoti nuorodą į Protokolą, bei susitarti dėl atsakomybės už duomenų saugumo taisyklių ar principų pažeidimą.

Pabaigai, trumpas ekskursas į baudžiamąją teisę su retoriniu klausimu. Jeigu ankščiau, baudžiamojoje teisėje „įrodymų Karalienė“ buvo kaltinamojo prisipažinimas, tai dabar „įrodymų Karalienė“ – teisėsaugos institucijų gauta elektroninė komunikacija. Kas gali užtikrinti, kad tokia komunikacija nebus gauta iš tinkamai nepasaugotos arbitražo bylos medžiagos?

Albertas Šekštelo yra advokatų profesinės bendrijos „Motieka & Audzevičius“ vyriausiasis teisininkas

Raktažodžiai
Close
Close