Megér egy pendrive egy hatmilliárdos büntetést?

Már csak alig fél év maradt a türelmi időből, amikor már élesben is alkalmazni kell az uniós adatvédelmi irányelv (GDPR) rendelkezéseit. Sok magyar vállalat azonban még mindig nem halad a felkészüléssel, a kapkodásban pedig olyan területeket is figyelmen kívül hagynak, amelyeken könnyedén segíthetnének.

2017. december 5.

Piac&Profit

Bár a GDPR hivatalosan közel másfél éve érvénybe lépett, a magyar vállalatok megkésve, csak a kétéves felkészülési idő végéhez közeledve reagálnak rá. A PwC Magyarország felméréséből kiderült, hogy szeptemberig megközelítőleg csupán a cégek negyede tartott a megoldások megvalósításánál, másik negyede pedig azonosította már az érintett adatokat, de a vállalatok fele nem tett még érdemi lépéseket. Legtöbben csupán jogi problémaként kezelik az elvárásokat: az esetek több mint 40 százalékában a jogi osztály vezeti a megfelelési projekteket, és csak fele ennyi esetben irányítja dedikált projektszervezet.

Pedig az elvárások, bár jogi szempontból részletesebben meghatározottak, nem biztosíthatók megfelelő IT-biztonsági kontrollok nélkül. A nélkülözhetetlen biztonsági elvárásokon túl kulcsfontosságú a biztonságtudatosság és a megfelelő védelmi, valamint kockázatcsökkentő technikai protokollok működtetése a vállalatoknál. „Alapvető IT biztonsági hiányosságok könnyen alááshatják a megfelelési törekvéseinket, ezt nagyon könnyű alábecsülni” – hívta fel a figyelmet Gyimesi Csaba, a PwC kiberbiztonsági szolgáltatásokért felelős vezető menedzsere.

Az új szabályozások értelmében egy incidens súlyosságát befolyásolja, hogy mekkora kockázatot jelent az érintettek jogainak sérülésére. Így a hiányos kontrollkörnyezet vagy ismeretek kiemelt szerepet játszanak, főként az adatok tárolásánál, kiadásánál vagy átvitelénél.

Gigabírság fenyegeti a hanyag adatkezelőket

Hamarosan itthon is alkalmazni kell az új adatvédelmi szabályokat: a szervezeteknek adatvédelmi felelőst kell kinevezniük, speciális eljárási protokollt kell kidolgozniuk, és 72 órán belül jelenteniük kell az adatvesztéseket. Személyes adat lehet akár egy e-mail cím, IP-cím, de akár GPS koordináta is.

Egy pendrive – hatmilliárdos büntetés

Ebből a szempontból az USB-eszközök még mindig alulértékeltek a vállalatoknál – ez derült ki a Kingston Digital Europe Co LLP Magyarországon és az EMEA-régióban végzett kutatásának eredményeiből. Eszerint a szervezetek mintegy kétharmada nem alkalmaz megfelelő biztonsági intézkedéseket annak érdekében, hogy biztonságosan tárolják az adatokat a pendrive-okon. A hazai vállalatok 34 százaléka, illetve az EMEA-térségben működő cégek fele nem is tervez semmilyen változtatást ezen a téren annak ellenére, hogy a mobil adathordozók megfelelő titkosítása az új európai uniós adatvédelmi rendelet (General Data Protection Regulation – GDPR) előírásai miatt is fontos tényezőnek számít.

Az egyik legfontosabb elem, hogy az adatvédelmi incidenseket 72 órán belül kötelesek jelenteni. Sok szervezet nincs tisztában azzal, hogy még egy pendrive elvesztése is adatvédelmi incidensnek minősül, ha személyes adatokat tartalmaz, és nincs titkosítva. Amennyiben bebizonyosodik a cég felelőssége az adatvesztési incidensben, súlyos büntetést is kiszabhatnak rá, amely a 20 millió eurót, azaz a több mint hatmilliárd forintot is eléri.

„Ha azonban titkosított USB-meghajtón tárolták ezeket az információkat, akkor pusztán biztonsági incidensnek minősül a helyzet. Az ilyen jellegű eseteket pedig nem feltétlenül kell jelenteni, amivel komoly hírnévbeli és egyéb veszteségtől kímélhetik meg magukat a cégek, ráadásul az adataikat is nagyobb biztonságban tudhatják” – mutatott rá Kaszál Norbert, a Kingston Technology Magyarországért és Szlovéniáért felelős üzletfejlesztési menedzsere.

Hírlevelek – egy vagy két lépésben?

A kétlépéses hírlevél feliratkozás előnyeként azt emelik ki az e-mail marketing szakemberek, hogy egyértelmű azonosítással segít elkerülni a spam feliratkozókat, minimalizálja az adattisztítási munkát, növeli a feliratkozók elhivatottságát és maximalizálja a konverziót. Hátránya viszont az, hogy kevesebb feliratkozót hoz. Szükséges-e a GDPR alapján a dupla megerősítéses hírlevél feliratkozás? Erről kérdeztük dr. Horváth Katalint, a Sár és Társai Ügyvédi Iroda e-kereskedelemmel foglalkozó partner ügyvédjét.

Titkosítatlan USB-k szinte mindenhol

A probléma széles kört érint, hiszen a Kingston kutatása szerint rendkívül elterjedt az USB-k használata a cégeknél: szinte minden alkalmazott (84 százalék Magyarországon, 92 százalék az EMEA-országokban) és minden vállalat (94 százalék Magyarországon, 92 százalék az EMEA-régióban) használ pendrive-okat. Ráadásul a válaszadók több mint fele (52 százalék Magyarországon, 64 százalék az EMEA-országokban) vállalati és privát adatokat is tárol ugyanazon a USB-kulcson. Bizalmas és érzékeny adatokat hazánkban a válaszadók 25 százaléka, az EMEA-régióban pedig 21 százalékuk tárol pendrive-okon, ami titkosítás nélkül kockázatosnak számít.

Ezeknek az eszközöknek gyakran lába kél: a magyar vállalatok 36 százalékánál és az EMEA-régióban működő vállalatok 44 százalékánál előfordult már, hogy valamilyen módon eltűntek pendrive-ok. Magyarországon az esetek 5 százalékában ellopták a pendrive-okat, míg ez a szám az EMEA-országokban 11 százalék. Az aggasztó trendek ellenére a hazai válaszadók mindössze 11 százaléka alkalmaz hardveralapú titkosítást ezeken az eszközökön, a régióban pedig 6,7 százalék. Ez azt mutatja, hogy az USB-s adatbiztonság terén nincsenek felkészülve a szervezetek a GDPR követelményeire.

A titkosítás a kulcs

Az USB-n tárolt adatok biztonságát illetően a Kingston azt tanácsolja a vállalatoknak, hogy használjanak titkosított pendrive-okat, amelyeket a legmagasabb szintű biztonságot igénylő adatok védelmére terveztek. Az USB-k különféle titkosítási szinteknek megfelelően széles választékban elérhetők, különálló vagy felügyelt megoldásként is.

A megfelelő technológia használata mellett az is elengedhetetlen, hogy megtanítsák az alkalmazottakat a pendrive-ok helyes használatára, mivel a felmérés eredményei azt mutatják, hogy sok vállalatnál hiányosak az ismeretek azok kezelésére vonatkozóan. A szervezeteknek ezenfelül célszerű biztonsági házirendeket bevezetniük a mobil adathordozók alkalmazásánál, mielőtt előfordulhatna valamilyen adatszivárgás.

Véget ér a türelem – milliárdos is lehet a bírság

Az Általános Adatvédelmi Rendelet (GDPR) 2018. május 25-ig biztosít lehetőséget a munkáltatóknak arra, hogy adatkezelésüket megfelelően alakítsák át. A munkáltatók nagyszámú, eltérő jellegű személyes adatot kezelnek, ezért az új szabályozásnak történő megfelelés igen komplex és összetett feladatot ró rájuk – hívták fel a figyelmet a Réti, Antall és Társai PwC Legal szakértői.