Šajā rakstā Daniils Vladimirovs, Nordexo, Capitax PRO partneris, skaidto, kāpēc IT drošība ir svarīga ikvienam grāmatvedim un finanšu nozares speciālistam: kā pasargāt sevi un savus klientus?
IT drošība sadarbībā ar klientu
Kādēļ grāmatvedim būtu svarīga IT drošība? Kam būtu jāpievērš īpaša uzmanība, organizējot savu darbu?
Daniils Vladimirovs: Strādājot ar klientu datiem, it īpaši, grāmatvedībā, ir būtiski pasargāt savus un savu klientu datus. Svarīgi arī nodrošināt aizsargātu informācijas apmaiņu ar klientiem. Pēc mūsu veiktās aptaujas 2023. gada decembrī, 43% respondentu (ārpakalpojuma grāmatvežu) nepielieto nekādas speciālās informācijas aizsardzības metodes, tādējādi vairojot datu drošības riskus gan sev, gan saviem klientiem.
Kāpēc būtu jārūpējas par klientu datiem, ja strādā ar klienta sistēmām?
Daniils Vladimirovs: Jautājums par datu aizsardzību ir būtisks vairākos aspektos. Pirmkārt, tā ir grāmatveža reputācija. Ja grāmatvedis izpauž klienta datus vai arī organizē sava darba procesu tā, ka rodas datu noplūdes riski savā vai klienta informācijas sistēmā, beigu beigās praksē tas rezultējas ar nopietnām problēmām. Ikviens uzņēmējs apstiprinātu, ka viņa finanšu informācija ir konfidenciālā. Turklāt vairumā grāmatvedības procesos informācija un dati nav saistīti tikai un vienīgi ar naudu, bet gan iekļauj personas datus – algas, līgumus un citu personas identificējošu informāciju.
IT drošības riski un incidenti
Kādas “nopietnās problēmas” var rasties grāmatvedim, nepiedomājot pie IT drošības?
Daniils Vladimirovs: Vienlaikus ar grāmatvedības ārpakalpojuma licenci mūsdienās ir svarīgi uzturēt arī skaidru metodoloģiju (metodikas jeb politikas) par informācijas drošību un personas datu apstrādi. Tas ir aktuāli kā uzņēmumiem, tā arī pašnodarbinātām personām. Pārkāpumi var rezultēties dažādos veidos – slikta reputācija, tiesvedība ar klientu, ārpakalpojuma licences anulēšana, un arī sods par personas datu apstrādes pārkāpumu.
Kā IT drošības trūkums varētu novest pie soda par personas datiem?
Daniils Vladimirovs: Vienkāršs piemērs: Jūs vēlaties nosūtīt Jūsu klientam algu izmaksu sarakstu saskaņošanai. Noguruma dēļ, kļūdāties un nosūtat citam klientam ar līdzīgu e-pastu. Šajā gadījumā identificējami uzreiz vairāki pārkāpumi: līguma pārkāpums, personas datu izpaušana trešajām personām (personas datu apstrādes incidents), komercnoslēpuma izpaušana u.c. Šajā gadījumā primāri ir zināt savu rīcību, un rīcībai jābūt nekavējoties. Sods par neziņotu personas datu apstrādes incidentu var sasniegt līdz pat 4% no uzņēmuma (vai uzņēmuma grupas) apgrozījuma.
Kāda ir pareizā rīcība IT drošības incidenta laikā?
Daniils Vladimirovs: Iepriekš pieminētajā piemērā būtiski ir mēģināt atsaukt vēstuli, ziņot klientam par notikušo incidentu, vienoties ar klientu par nākamām darbībām, kā arī ziņot Datu valsts inspekcijā (DVI) par notikušo incidentu. DVI šajā gadījumā parasti palīdz izvērtēt situāciju personas datu pārkāpumu laikā, kā arī ieteikt personas datu apstrādes procesa uzlabojumus, nevis uzreiz sodīt. Ja noticis kāds lielāks incidents, piemēram, ir kompromitēta informācija, uzlauztas vai pārņemtas IT sistēmas vai kā citādi notiek neatļautas darbības IT vidē, noteikti jāziņo CERT.LV Informācijas tehnoloģiju drošības incidentu novēršanas institūcijā un Valsts policijā. Svarīgi ir laicīgi informēt visas iesaistītās puses – savus darbiniekus, savus klientus, atbildīgās institūcijas.
IT drošības pamati un zināšanas
Vai pašam grāmatvedim jāzina IT drošības elementi? Vai to vajag, ja darbā ir pieņemts IT speciālists?
Daniils Vladimirovs: Bieži dzirdams izteiciens: “Par šo mums rūpējas IT speciālists”. Es teiktu, ka ar IT speciālistu vien nepietiek. Paši grāmatveži nevis IT speciālisti strādā ar klientiem, savstarpēji komunicē un apmainās ar finanšu informāciju, darbojās grāmatvedības uzskaites sistēmās. Līdz ar to mēs paši esam atbildīgi par savu un savu klientu drošību e-vidē. IT speciālists varētu palīdzēt ieviest kārtību, taču IT drošības zināšanas praksē mums būtu jāspēj pielietot pašiem.
Kādas ir pamata praktiskās IT drošības zināšanas, kas būtu jāzina katram grāmatvedim, finansistam, nodokļu konsultantam?
Daniils Vladimirovs: Pirmkārt, jāspēj pasargāt sevi. Tas iekļauj zināšanas gan par drošu paroļu uzglabāšanu, gan par drošu darbības internetā un e-pastā. Otrkārt, jāspēj pasargāt savus kolēģus un klientus, ieviešot drošu informācijas uzglabāšanu un apmaiņu. Būtiski sastādīt IT drošības dokumentāciju un organizēt darbinieku apmācības. Visbeidzot, jāzina rīcība IT incidentu gadījumā, lai spētu rīkoties ātri. Visas darbības jāvērš, lai mazinu incidenta sekas un nodrošināt turpmāko darbību kārtbībā un bez aizķeršanās.
Ekspertu viedokļi
Vairāk ekspertu skaidrojumus un viedokļus iespējams skatīt, abonējot MANAKABATA.LV platformu. Abonēt