GDPR: vigyázzunk a nem titkosított pendrive-okkal!

Az adatvesztések problémája nem új keletű, számos hasonló eset fordult már elő világszerte – írja szerdai közleményében az adathordozóiról ismert Kingston Digital. Néhány évvel ezelőtt például több mint 20 ezer diák privát adatai kerültek veszélybe a Boston Public School hálózathoz tartozó 36 iskolában, amikor az iskolakerület azonosítókártyáinak szállítója, a Plastic Card Systems elveszített egy USB-meghajtót. Többek között a diákok nevei, iskolái, életkora, érdemjegyei, azonosítószámai, könyvtári olvasójegy-számai és fényképei is szerepeltek az elveszett adathordozón.

Hét általánosan elterjedt tévhit a GDPR-ról

Számos cégvezető abba a hitbe ringathatja magát, hogy mivel a törvény 250 alkalmazott feletti cégekre vonatkozik, ő nyugodtan hátradőlhet. Ez azonban tévedés. Tulajdonképpen létszámtól függetlenül minden cég kezel személyes adatokat, mivel az alkalmazottai adatai nála vannak, s a legtöbb esetben az ügyfelek adatai úgyszintén. „Minden hírlevelet kiküldő cég, minden munkáltató személyes adatot kezelő jogi személy”, tehát vonatkozik rá a GDPR, mondta dr. Horváth Katalin, a Sár és Társai Ügyvédi Iroda ügyvédje a Piac & Profit GDPR – finisben című konferenciáján.

Fertőzött USB-vel támadhatnak a hackerek

Az iskolai adatvesztések esetében az egyik legnagyobb veszélyforrás a nem megfelelő pendrive-ok használata. A felhasználók jelentős arányban saját részre vásárolt, olcsó, titkosítatlan USB-meghajtókon hordozzák a fájlokat, amelyek kártevőkkel és vírusokkal lehetnek fertőzöttek. Így az egész iskolát veszélybe sodorhatják, hiszen a memóriakulcsok alkalmazása az oktatásban széles körű: nem csupán diákok és tanárok tárolnak információkat rajtuk, hanem más intézeti munkatársak is, például a felvételi folyamat során, az ösztöndíjak kezelésénél, a könyvelésnél, az egészségügyi ellátásban vagy a biztonsági szolgálatnál.

Ám nem a vírusok jelentik a legnagyobb fenyegetést: az adatok biztonsága még nagyobb aggodalomra ad okot. Az elvesztett, ellopott, elkeveredett és ottfelejtett USB-meghajtók száma eléri az évi 20 milliót, ami komoly biztonsági kockázatot jelent, hiszen a kutatások szerint a pendrive-ok megtalálói mindig megnyitják az azon tárolt fájlokat, amennyiben az eszköz nincs titkosítva

Az emberi kíváncsiság diadalmát bizonyítja a Google nemrégiben, két amerikai egyetem kutatóival karöltve végzett kísérlete is, melyben több száz titkosítatlan USB-meghajtót helyeztek el gazdátlanul a University of Illinois at Urbana-Champaign egyetem területén. A megtalálók a 297 pendrive közül 290 darabot (98 százalék) azonnal magukkal vittek a helyszínről, és 135 esetében (45 százalék) meg is nyitották a rajtuk lévő fájlokat. A meghajtókat a megtalálók átlagosan 6,9 órán belül csatlakoztatták számítógéphez – az elsőt a megtalálás után mindössze 6 perccel. A kutatók azt feltételezik, hogy a megtalálók kezdetben önzetlen szándékkal nézték meg a fájlokat annak érdekében, hogy felkutassák a jogos tulajdonost, de aztán már a kíváncsiság vezérelte őket.

Fontos tudni, hogy ha egy USB-meghajtó elveszik vagy ellopják, és a rajta lévő adatok titkosítva vannak, akkor ez a GDPR meghatározásai alapján biztonsági incidensnek számít, és nem pedig személyes adatokkal való visszaélésnek, tehát nem esik olyan szigorú megítélés alá. Az adatvesztés ellen tehát a szabadalmaztatott hardver alapú titkosítási módszer véd a leghatásosabban, mivel kiiktatja a leggyakoribb támadási útvonalakat, vagyis csak az férhet hozzá az eszközön tárolt adatokhoz, aki tudja az előzetesen megadott jelszót. Ezenfelül ez a titkosítási módszer teljes körű kompatibilitást garantál a platformok között, azaz együttműködik bármilyen operációs rendszerrel, USB-porttal rendelkező beágyazott eszközzel és fájltároló rendszerrel.

Iratmegsemmisítőt NEM ír elő a GDPR

Május után komoly büntetésre számíthatnak azok a cégek, amelyek nem megfelelően kezelik a náluk lévő adatokat, ugyanis az új rendelet a magánszemélyeknek sokkal nagyobb betekintést és jogokat ad az adataik kezelésével kapcsolatban.