Biztonságos adattemetés – ez is a cégek dolga

2014. április 25. péntek - 18:30 / piacesprofit.hu
  •    

A legtöbb kis- és középvállalkozás különböző hosztingcégeknél bérel weboldalának tárhelyet. Arra azonban kevesen gondolnak, vajon mi történik az adatokkal olyankor, amikor fel szeretnék bontani a szerződést.

Kép:Blancco

Milyen egyszerűek is tűnik ma már az irtamegsemmisítés régi, papír alapú módja! Mostanra már nemcsak, hogy a gépeinken lévő számtalan adat megfelelő törléséről kell gondoskodnunk, de arról is, hogy a felhőben tárolt adatokkal mit tesz a szolgáltató.

Rengeteg információt kezelnek weboldalaikon keresztül a magyar vállalkozások. Árlisták, ügyféllisták, feliratkozók e-mail címeinek listája – csak néhány példa az érzékeny adatokra. Mivel azonban senki sem követeli meg, hogy a szerződés megszüntetésekor a webtárhelyet szolgáltató cég valamilyen igazolást mutasson fel arról, hogy törölte az adatokat, ezért a legtöbb esetben a hosztingcég jóindulatára és szokásrendszerére van bízva, hogy mit tesz korábbi ügyfeleinek adataival. (A kis cégeknek egyébként számos területen érdemes a kiszervezés módszerét választaniuk. Csak körültekintően kell partnert választani hozzá.)

A minőségi szolgáltatók természetesen ügyelnek arra, hogy a merevlemezek, szerverek leselejtezése során ne kerüljenek ki ügyféladatok, sok kisebb cég azonban nem foglalkozik az adattörlés kérdésével – emeli ki Kárpáti Zoltán, a 35 ezer weboldalt kezelő Tárhely.Eu ügyvezetője. A szakember tapasztalata szerint az adatvédelem fontossága egyszerűen még nem része a magyar kis- és középvállalatok céges kultúrájának, így az ügyfelek sem kérik számon a törlés lehetőségét.

„Akár átlagosnak is mondható informatikai módszerekkel vissza lehet állítani a virtuális szerverek adatait, ha azokat nem minősített módon, felülírással töröljük” – nyilatkozta Markku Willgren, az adattörléssel foglalkozó Blancco felelős vezetője. Egy professzionális szolgáltató törlési szolgáltatása a 100 százalékos fertőtlenítés mellett a törlések részletes jegyzőkönyvezését és elektronikus hitelesítését is lehetővé teszi.Ez a kkv-k számára azért fontos, mert a tárolt adatok megfelelő kezeléséért azonban elsősorban a tárhelyet bérelő vállalkozások felelnek, így az ő kötelességük az adattörlésről való gondoskodás is, ha hosztingpartnert váltanak.

A jogszabály szerint
Az adatok törlésének kötelezettségét elsődlegesen az Információs önrendelkezési jogról és információszabadságról szóló 2011. évi CXII. tv. (Info. tv.) határozza meg. Eszerint a személyes adatot törölni kell például, ha az adatkezelés célja megszűnt. A törvény értelmező rendelkezései megadják a törlés pontos fogalmát is, mely szerint az adatokat úgy kell felismerhetetlenné tenni, hogy helyreállításuk ne legyen lehetséges. Emellett az adatbiztonságot minden esetben az adatkezelés időpontjához igazodó technikai fejlettséghez mérten kell biztosítani, és több lehetséges megoldás közül a magasabb szintű védelmet nyújtó megoldást kell alkalmazni.
A minősített adattörlés fogalma azt jelenti, hogy az adattörlést olyan módszerekkel végezzük el, melyet külső szervezetek – például a Common Criteria vagy a NATO – tanúsítottak. Ennek során ezek a szervezetek megvizsgálták az adattörlést végző szoftver forráskódját, és úgy találták, hogy az egyrészt 100 százalékban eleget tesz annak, amit ígér – így helyreállíthatatlan módon képes törölni az adatokat az adathordozókról –, másrészt pedig nem tesz mást, mint amit ígér – így például nem szivárogtatja ki a vállalat adatait – írja a ComputerWorld.

Az érzékeny céges adatok szakszerű törlésével egyelőre sajnos csak kevéssé foglalkoznak a cégek. Egy tavalyi felmérés szerint a magyar felhasználók 92 százaléka biztos, hogy megbízhatatlan módszert használ az adatok törlésére. (A “törlés gomb megnyomása önmagában kevés. Az így törölt adatokat is könnyedén ellopják.) A minősített adattörlés nemzetközi szinten is jelentős kérdés, a KPMG 2010-es tanulmánya szerint a helytelenül leselejtezett merevlemezek okozzák az összes adatvesztés 10 százalékát – csaknem annyit, mint a hackerek (12%), és jóval többet, mint a számítógépes vírusok (3%).

Az Európai Unióban ezalatt hamarosan jóval szigorúbbá válhatnak az adatok kezelésére vonatkozó jogszabályok. Az Európai Bizottság még tavaly januárban javasolta, hogy a töröltetésre való jogot (the right to be forgotten) kezeljék alapjogként, így például egy online tranzakció és a vásárló személyes adatait ne őrizhessék meg a cégek mindörökre. A felhő alapú szolgáltatásokat nyújtó vállalatoknak összhangban kell működniük a törvénnyel, ha a feldolgozott adatok EU-állampolgárokat is érintenek, függetlenül attól, hogy a szervereik az EU-ban találhatók-e vagy sem.

A szabályszegésekre szankciókat is kilátásba helyez az új regula, az ügyfeleik személyes adatait kiszivárogtató cégek az éves globális forgalmuk 0,5%-áig, súlyosabb vétség pedig a forgalom 2%-áig terjedő büntetésekkel számolhatnak. Ez leginkább a bankokat, a biztosítótársaságokat és a nagyobb online kereskedőket érintheti.

Feliratkozom a(z) Info & tech téma cikkértesítőjére. A megjelenő új cikkekről tájékoztatást kérek