A GDPR IT felkészítést segítő szervezetei vagy a témával foglalkozó online média jellemzően keveset foglalkoznak az edukációval. Ennek hátterében természetesen több tényező is állhat: erőforrás hiány, időhiány vagy esetleg a tudásmonopólium. Azt gondolom, hogy a tudás nem az egy-egy kiragadott IT tanácsban rejlik, hanem a jogi, üzleti és IT terület komplex értelmezésében és egy-egy szervezet működésébe történő implementálásában. Ez a gondolatmenet vezetett oda, hogy néhány alapvetést, a későbbiekben komplex Informatikai biztonsági tippet osszak meg azokkal, akiket foglalkoztat e téma gyakorlati oldala.
Az IT biztonság területén elég széles skálán mozognak a lehetséges alternatívák, a legalapvetőbb megoldásoktól eljuthatunk a legbiztonságosabb eszközökig. Ebben a bejegyzésben olyan lehetőségekre hívom fel a figyelmet, amelyek használata és bevezetése egyszerű, de mégis sokat segíthet a GDPR megfeleléshez vezető úton.
Titkosítás
Egyre többet lehet hallani az úgynevezett titkosítási megoldásokról. Ezek lényege, hogy egy számítógép elindításakor vagy egy külső adathordozó csatlakoztatásakor egy előre beállított kód megadásával válnak elérhetővé a rajta tárolt adatok. Úgy kell elképzelni, mint egy jelszót tulajdonképpen, a különbség az, hogy a kód elvesztése során a tulajdonos sem férhet hozzá az adatokhoz. Utóbbira szerencsére ezen technológiák biztosítják azt a lehetőséget, hogy a titkosítás aktiválásakor egy visszafejtő kulcsot ki lehet nyomtatni, el lehet menteni fájlként (fontos, hogy ne arra az eszközre mentsük, amit titkosítottunk, mivel úgy a kód esetleges elvesztése esetén a visszafejtés nem lehetséges). A titkosítás alkalmazására beépített illetve ingyenesen elérhető szoftverek állnak rendelkezésünkre, ezek a linkre kattintva megtekinthetők:
Windows 7/8/10 operációs rendszer esetén (Bitlocker)
Számítógép zárolása
Érdemes szabályozni, hogy a munkatársak zárják le a számítógépeket, amikor elhagyják munkaállomásaikat, ezzel a jogtalan hozzáféréseket megakadályozhatjuk. Ennek a legegyszerűbb módszere Windows és Mac OS környezetben is a gyorsbillentyűk használata:
Windows: Windows gomb (baloldali CTRL és baloldali ALT között) + L gombok a leírt sorrendben történő lenyomása
Mac OS: Control+Shift+Power
Linux: CTRL + ALT + L
Annak érdekében, hogy az elfelejtett lezárást pótolhassuk, be is lehet állítani, hogy adott inaktivitási idő után (pl.: 3 perc vagy 5 perc) a számítógép automatikusan zárolásra kerüljön.
Ezen kívül a számítógépeket lehet alvó illetve hibernált üzemmódba is tenni. Előző előnye, hogy az alvó üzemmód gyorsabban aktiválódik és gyorsabban „felébred” abból az adott eszköz. Hátránya, hogy az előző pontban felvázolt Bitlocker (de egyéb titkosítási megoldások is) alvó üzemmódban nem aktiválódnak, vagyis egy alvó üzemmódban elhagyott eszközökön tárolt adatokhoz kellő tudással hozzá lehet férni.
A hibernáció hátránya, hogy lassabban aktiválódik, viszont, amikor ebből az állapotból felélesztjük gépünket ismét szükséges a Bitlocker (vagy egyéb titkosítási megoldást) feloldó kulcs megadása.
Mind az alvó, mind pedig a hibernációs állapot tiltható az egyes számítógépeken, elkerülve az ebből fakadó adatvesztési lehetőségeket. Tapasztalatom szerint a hibernáció elég ritkán használt állapot, azonban az alvó üzemmódot gyakorta alkalmazzák a felhasználók, aminek oka, hogy egyes laptopok alapértelmezett beállítása akkumulátorról történő működés esetén, hogy alvó állapotba helyezi a gépet a fedél lecsukásakor.
A Windows 10 egyik 2017-es frissítésével egy nagyon hasznos beépített eszköz vált elérhetővé, Dynamic Lock néven. Ennek lényege, hogyha a számítógépünket párosítjuk a telefonunkkal Bluetooth-on keresztül, akkor beállítható, hogy a telefon hatótávon kívül kerülésével a számítógép automatikusan zárolásra kerül.
Ennek aktiválásáról ide kattintva olvashatnak részleteket.
Kétfaktoros azonosítás
Kétlépcsős azonosításnak is nevezik az ilyen típusú autentikációt, mivel két egymástól fizikailag elkülönített eszközt kell használni a belépés során. A legelterjedtebb azonosítási forma a felhasználó név, jelszó megadását kérő módozat. Ez azonban nem garantálja az adatok megfelelő védelmét illetve a hozzáférhetőséggel kapcsolatos elvárásokat. Hiszen csak egy faktorra, azaz egy biztonsági elemre épül, viszonylag könnyen másolható, elleshető stb. A több faktoros, azaz több lépcsős ellenőrzést végző rendszerek esetében a felhasználó által megadott jelszó mellett egy további biztonsági lépcső is beépítésre kerül az azonosítási folyamatba, amely nem másolható. Ilyenkor a központi rendszer nem csak a felhasználó jelszava alapján azonosítja a belépéshez szükséges jogosultságot, hanem egy plusztényező, jellemzően egy mobiltelefonon által generált kód segítségével. Így a biztonság fokozódik, de a felhasználók kényelmi szintje sem csökken jelentősen.
Gyakorlatban ez úgy néz ki például a Google szolgáltatások esetében, hogy bekapcsolhatjuk ezt az azonosítási módot (ide kattintva elérhető egy útmutató). Ezután szükségünk lesz egy alkalmazás letöltésére, amit az útmutató alapján össze tudunk kapcsolni a Google fiókunkkal. Ezután a belépés során a jelszó megadása után a telefonon generált kódot (ami fél percenként változik) is meg kell adnunk, csak így tudunk belépni. A folyamatból jól látszik, hogy a mobiltelefonunk nélkül a jelszó ismeretében nem lehetséges egy fiókhoz hozzáférni. Megtehetjük azt is, hogy a mindennapokban használt számítógépre azt mondjuk a belépés során, hogy ez egy megbízható eszköz, ebben az esetben a második belépési kódot nem fogja kérni minden esetben (a legtöbb szolgáltatás esetében 30 naponta mindenképpen be kell írnunk a második kódot is). A Facebook (és egyébként elég sok egyéb szolgáltatás) esetében is bekapcsolhatjuk az ilyen típusú azonosítást.
Ennek egy ismert formáját a banki szolgáltatásoknál is lehet igényelni, amikor egy úgynevezett token generál ilyen kódot, ugyanerre az analógiára épülve és megóvva a számlatulajdonost az illetéktelen belépéstől.
VPN kapcsolat
A VPN (Virtual Private Network) a „virtuális magánhálózat” eredetileg két hálózat, az Interneten keresztüli összekötésére kidolgozott technika. A VPN teljes hálózatok összekötésére, munkaállomás-hálózat kapcsolat kiépítésére egyaránt alkalmas. Gyakorlati oldalról ez úgy néz ki, hogy a telephelyen kívül úgy tudunk csatlakozni a munkahelyi hálózathoz, hogy a szervezetnél lévő védelmi megoldásokat ugyanúgy kihasználhatjuk, mintha bent ülnénk az íróasztalunknál. Ennek előnye, hogy nem kell tárolnunk az otthoni vagy hazavitt céges gépeken adatokat, hanem a benti szerverre csatlakozva hozzáférünk a megszokott adatokhoz, akár szerkeszthetjük is azokat. Az otthoni vagy nyilvános Wifi hálózatok esetén az adathalászok dolgát nagymértékben megnehezítik a VPN megoldások, enélkül sajnos elég egyszerű dolguk van. A VPN hálózatok egyébiránt mobil eszközökről is működnek, mivel manapság gyakori a mobiltelefonokkal folytatott munkavégzés.
A VPN hálózatokhoz hozzá tartozik, hogy az adatelérés sebessége némileg csökken, de a távoli munkavégzés érdekében ez véleményem szerint feláldozható.
A bejegyzésnek nem célja a reklám, így egy ingyenes megoldást javaslok, amit jómagam is használok nap mint nap, ide kattintva letölthető.
Azt szeretném mindenképpen megjegyezni, hogy egy ilyen hálózat beállítása némileg mélyebb tudást igényel, de szerencsére jól felépített útmutatókkal rendelkeznek a gyártók.
Szerző: Gilincsek Szabolcs Certified GDPR Manager