A költségek növelésével egy ideig lehet növelni az adat(informatikai) biztonságot, de a teljes megfeleléshez közeledve már ésszerűtlen költségnövekedéssel is csak minimális biztonsági szint növekedést lehet elérni. A száz százalékos adatvédelem elérése pedig nem lehetséges.
Viszont a GDPR rendelet május 25.-től történő alkalmazása elég komoly felelősséget ró minden cégre. Nem, a hatóság valószínűleg nem fog kopogtatni május 26.-án ellenőrzési szándékkal, de mi van, ha a jelzett dátum után szivárognak ki tőlünk adatok? Ha ez a dátum után veszítik el a kollégák az USB-t, ha ekkor megy rossz helyre a mail, vagy lopják el a telefonunkat?
Akkor már lesz hatósági vizsgálat, a sokat emlegetett húsz millió EUR-s büntetéssel fenyegetve.
Itt olvashatja a témában a Piac & Profit összes cikkét!
Adatleltár
Akkor mit lehet tenni? Az elmélet itt is egyszerű: elfogadható méretűre szükséges csökkenteni a kockázatot.
Ezzel indul az a folyamat, amit a gyakorlatban a legtöbben nem végeznek el és ennek a hiánynak/felelőtlenségnek az egyenes következménye a sok adatszivárgás, hackelés.
Első lépésként általában érdemes egy adatleltárt, esetleg adatvagyon felmérést végezni. Ha nem tudjuk pontosan hol vannak adatok a cégben, akkor hogyan fogjuk őket védeni? Ráadásul ez GDPR előírás is.
(30. cikk, „Az adatkezelési tevékenységek nyilvántartása”: „Minden adatkezelő … a felelősségébe tartozóan végzett adatkezelési tevékenységekről nyilvántartást vezet.” A cikk a nyilvántartás tartalmát is meghatározza.)Az adatleltározás teljeskörű, cégszintű összefogást igényel, hiszen senki sem látja át a teljes képet, egy személyben senki sincs tisztában minden egyes munkafolyamattal. Az adatleltárhoz már igénybe lehet venni szoftveres segítséget is (GTB Technologies, Forcepoint, TrustArc, stb.) de a személyes részvételt itt sem lehet kihagyni. Azt ugyanis, hogy az adott szervezetben mi minősül személyes adatnak, hogy a szoftverek mit keressenek a céges hálózatban, először definiálni kell, majd ezt a definíciót a teszt-futtatások ismeretében kell finomítani, majd tovább finomítani.
Ha már tudjuk, hogy milyen adatokkal rendelkezünk és ezeket hol kezeljük, hol tároljuk, és hova továbbítjuk („data in use, data at rest, data in motion”), akkor érdemes elvégezni egy adatklasszifikációt, azaz minősíteni a kezelt adatokat. Ezt is az üzleti felhasználók tudják legjobban megtenni, esetleg már különböző biztonsági szintekbe történő sorolással.
Ha ez is rendelkezésünkre áll, akkor lehet elvégezni a kockázatelemzést. Ez is nevesítve szerepel a GDPR rendelet 32. cikkében: „Az adatkezelő és az adatfeldolgozó … az adatkezelés jellege, hatóköre, körülményei és céljai, valamint a … változó valószínűségű és súlyosságú kockázat figyelembevételével megfelelő technikai és szervezési intézkedéseket hajt végre annak érdekében, hogy a kockázat mértékének megfelelő szintű adatbiztonságot garantálja.”
A kockázatelemzés lehet cégszintű, ami túlmutat a számítógépes rendszereken vagy csak informatikai, vagy akár csak adatkezelési. Ennek a munkának a lényege az, hogy a különböző informatikai, adatkezelési folyamatokat meg kell vizsgálni, felmérni azt, hogy milyen kockázatoknak vannak kitéve, milyen incidens történhet, ennek milyenek a bekövetkezési valószínűségei és ezek milyen károkkal járnak. Az egyik legfontosabb következmény, hogy a kockázatelemzés birtokában a cég vezetése hozzon döntést a kockázatcsökkentő lépésekről és az elfogadható maradványkockázatokról.
Az igen korlátozott erőforrások célzott felhasználása a kockázatelemzés birtokában sokkal hatékonyabb, mint a „találomra”, vagy a szokásjog alapján készített költségvetés. (lásd még Nagy Frigyes kijelentését: „Aki mindent véd, az semmit sem véd”). Nem lehet minden adatunk szigorúan titkos, nem lehet mindent teljes erővel védeni… A belépő szintű kockázatelemezés történhet akár kockás papíron is, de sokkal jobb igénybe venni legalább egy erre a célra készített, összetett Excel céltáblázatot. Több folyamat esetén pedig megfelelő kockázatelemző alkalmazást javasolunk csatasorba állítani.
Csak a fenti munkák elvégzése után lehet hozzáfogni a hiányosságok pótlásához. Minden cég rendelkezik valamilyen működő informatikai rendszerrel, benne biztonsági szoftverekkel-hardverekkel. Az adatleltár és a kockázatok ismeretében viszont már jobban láthatók a hiányok, „lyukak”, amelyeket foltozni kell. Ez mindenhol cég- és munkafolyamat-függő, de van néhány általános kategória, amit az adatvédelem erősítéséhez érdemes figyelembe venni. Ilyen egy komplex GDPR felkészítő készlet , mely egy olyan dokumentum és tréningcsomag, ahol a felkészülési folyamat leírása mellett, szerkeszthető formában találhatók meg a rendelet által megkövetelt legfontosabb szabályzatok, űrlapok, nyilvántartások. Ezek kitérnek olyan területekre, mint a behatolás detektálás és megelőzés, hozzáférés ellenőrzés, titkosítás, adatszivárgás elleni védelem, biztonsági mentések és az ezekhez kapcsolódó nyilvántartások.
Azt nyilván mindenkinek magának kell eldöntenie, hogy az informatikai biztonsági eszközök nagyon széles palettáján található eszközök közül melyeknek a bevezetése az ésszerű a számára. Azzal még érdemes számolni, hogy a nyílt forráskódú termékek esetén az ingyenesség általában a támogatás hiányával párosul, emiatt a kis cégek kivételével fel kell mérni annak a kockázatát is, hogy mit jelent ez a saját szemszögükből. Az is biztos, hogy nincs egyetlen olyan gyártó egyetlen olyan terméke (ún. silver bullet), amely a felkészülést és később a folyamatos védelmet, az elért állapot fenntartását önmagában megoldaná.
További közhelyek „A leggyengébb láncszem az ember.”, „Az adatszivárgások többsége belső emberektől ered.”, „A kirúgott/csalódott alkalmazott bosszúja.” stb. Nyilván a közhelyek nem véletlenül alakulnak ki, általában van valami alapjuk. Az adatvédelem esetében is nyilvánvaló, hogy ha a cég minden szükséges munkát elvégez, és minden szükséges eszközt beszerez-működtet, a felhasználók még mindig komoly kockázatot jelenthetnek. A legjobb spam-szűrő szoftverek mellett is átjutnak kéretlen, esetleg veszélyes e-mail-ek a postaládákba. A kollégáknak az internet használatakor tudomásul kellene vennie (még egy közhely!): „Ha valahol valami ingyenes, ott mi vagyunk az áru.” Ha csak egyetlen felhasználó is rákattint egyetlen rosszindulatú linkre, az egész cég minden erőfeszítését tönkre teheti.
Állandó, megfelelő és aktuális fenyegetésekre kitérő tréningekre van szükség!
Következtetés
A fenti igen rövid és vázlatos folyamatleírásból is látszik, hogy az adatvédelem nem egyszerű feladat, nagyon sok munkával jár. Nem oldható meg sem jogi tevékenységek lefolytatásával, sem pedig csak informatikai eszköz(ök) beszerzésével, hanem nagyon komoly, átfogó és alapos felkészülést igényel. A cég vezetésének teljeskörű támogatása nélkül elkezdeni sem érdemes, de mivel az adatvédelem nem csak GDPR előírás, hanem minden érintett jól felfogott érdeke, így mindenképpen érdemes foglalkozni vele.
Egyáltalán nem lehetetlen küldetés!
Szerző:
Tőzsér Zoltán
(CISA, CSM, MCP)
