Hogyan tudhatjuk biztonságban az adatainkat?

2018. május 20. vasárnap - 13:30 / piacesprofit.hu
  •    

A címben feltett kérdésre roppant egyszerű a (hatásvadász) válasz: sehogy. Vagyonokat költhetünk adatvédelmi szoftverekre és hardverekre, de a száz százalékos adatbiztonságot nem tudjuk garantálni. Olyan van, akitől még nem szivárogtak ki adatok, de olyan, akitől soha nem is fog, olyan nincs - vélekedik szakértőnk.

A költségek növelésével egy ideig lehet növelni az adat(informatikai) biztonságot, de a teljes megfeleléshez közeledve már ésszerűtlen költségnövekedéssel is csak minimális biztonsági szint növekedést lehet elérni. A száz százalékos adatvédelem elérése pedig nem lehetséges.

GDPR szótár: 15 fontos alapfogalom, amit jó ha ismersz
Vészesen közeledik az uniós adatvédelmi rendelet hatálybalépésének időpontja. Nem könnyű eligazodni a rendelet előírásai között, ebben nyújthat segítséget az alábbi GDPR szótár, amelyben szakértőnk a legfontosabb alapfogalmakkal ismerteti meg, a teljesség igénye nélkül.

Még egy rossz hír, rögtön az elejére: az adatvédelem nem oldható meg csak jogi vonalon végzett erőfeszítésekkel vagy csak szoftver és hardver vásárlással! Ez sajnos nem csak informatikai eszközök kérdése, hanem koncepcionális, szervezési, hozzáférési-jogosultsági, képzési/oktatási feladat.

Viszont a GDPR rendelet május 25.-től történő alkalmazása elég komoly felelősséget ró minden cégre. Nem, a hatóság valószínűleg nem fog kopogtatni május 26.-án ellenőrzési szándékkal, de mi van, ha a jelzett dátum után szivárognak ki tőlünk adatok? Ha ez a dátum után veszítik el a kollégák az USB-t, ha ekkor megy rossz helyre a mail, vagy lopják el a telefonunkat?

Akkor már lesz hatósági vizsgálat, a sokat emlegetett húsz millió EUR-s büntetéssel fenyegetve.

Itt olvashatja a témában a Piac & Profit összes cikkét!

gdpr9_pixabay

Adatleltár

Akkor mit lehet tenni? Az elmélet itt is egyszerű: elfogadható méretűre szükséges csökkenteni a kockázatot.

Ezzel indul az a folyamat, amit a gyakorlatban a legtöbben nem végeznek el és ennek a hiánynak/felelőtlenségnek az egyenes következménye a sok adatszivárgás, hackelés.

Első lépésként általában érdemes egy adatleltárt, esetleg adatvagyon felmérést végezni. Ha nem tudjuk pontosan hol vannak adatok a cégben, akkor hogyan fogjuk őket védeni? Ráadásul ez GDPR előírás is.

(30. cikk, „Az adatkezelési tevékenységek nyilvántartása”: „Minden adatkezelő … a felelősségébe tartozóan végzett adatkezelési tevékenységekről nyilvántartást vezet.” A cikk a nyilvántartás tartalmát is meghatározza.)

Az adatleltározás teljeskörű, cégszintű összefogást igényel, hiszen senki sem látja át a teljes képet, egy személyben senki sincs tisztában minden egyes munkafolyamattal. Az adatleltárhoz már igénybe lehet venni szoftveres segítséget is (GTB Technologies, Forcepoint, TrustArc, stb.) de a személyes részvételt itt sem lehet kihagyni. Azt ugyanis, hogy az adott szervezetben mi minősül személyes adatnak, hogy a szoftverek mit keressenek a céges hálózatban, először definiálni kell, majd ezt a definíciót a teszt-futtatások ismeretében kell finomítani, majd tovább finomítani.

GDPR: szakítani kell a szabad-tilos szemlélettel
Május 25-e, az új uniós adatvédelmi szabályozás hatálybalépésének napja közel van, de azért utána is fel fog kelni a nap, ezért még most sem késő elkezdeni a felkészülést a megfelelésre, főleg azért, mert előbb utóbb úgyis mindenkinek meg kell felelnie az új előírásoknak – figyelmeztetett Halász Bálint, a Bird & Bird nemzetközi ügyvédi iroda partnere. Már csak azért is érdemes foglalkozni a megfeleléssel, mert a GDPR a kötelezettségek mellett számos lehetőséget is tartogat a cégek számára.

Kockázatelemzés

Ha már tudjuk, hogy milyen adatokkal rendelkezünk és ezeket hol kezeljük, hol tároljuk, és hova továbbítjuk („data in use, data at rest, data in motion”), akkor érdemes elvégezni egy adatklasszifikációt, azaz minősíteni a kezelt adatokat. Ezt is az üzleti felhasználók tudják legjobban megtenni, esetleg már különböző biztonsági szintekbe történő sorolással.

Ha ez is rendelkezésünkre áll, akkor lehet elvégezni a kockázatelemzést. Ez is nevesítve szerepel a GDPR rendelet 32. cikkében: „Az adatkezelő és az adatfeldolgozó … az adatkezelés jellege, hatóköre, körülményei és céljai, valamint a … változó valószínűségű és súlyosságú kockázat figyelembevételével megfelelő technikai és szervezési intézkedéseket hajt végre annak érdekében, hogy a kockázat mértékének megfelelő szintű adatbiztonságot garantálja.

A kockázatelemzés lehet cégszintű, ami túlmutat a számítógépes rendszereken vagy csak informatikai, vagy akár csak adatkezelési. Ennek a munkának a lényege az, hogy a különböző informatikai, adatkezelési folyamatokat meg kell vizsgálni, felmérni azt, hogy milyen kockázatoknak vannak kitéve, milyen incidens történhet, ennek milyenek a bekövetkezési valószínűségei és ezek milyen károkkal járnak. Az egyik legfontosabb következmény, hogy a kockázatelemzés birtokában a cég vezetése hozzon döntést a kockázatcsökkentő lépésekről és az elfogadható maradványkockázatokról.

Az igen korlátozott erőforrások célzott felhasználása a kockázatelemzés birtokában sokkal hatékonyabb, mint a „találomra”, vagy a szokásjog alapján készített költségvetés. (lásd még Nagy Frigyes kijelentését: „Aki mindent véd, az semmit sem véd”). Nem lehet minden adatunk szigorúan titkos, nem lehet mindent teljes erővel védeni… A belépő szintű kockázatelemezés történhet akár kockás papíron is, de sokkal jobb igénybe venni legalább egy erre a célra készített, összetett Excel céltáblázatot. Több folyamat esetén pedig megfelelő kockázatelemző alkalmazást javasolunk csatasorba állítani.

GDPR: közeledik az igazság pillanata
Nagyon vegyes a kép a vállalatoknál az uniós adatvédelmi szabályokra történő felkészülésben, hiszen sok cég még meg sem kezdte a felkészülést, a határidő pedig már a nyakunkon van – hívta fel a figyelmet Szuhai Gusztáv, az Oracle biztonsági megoldásainak régiós kereskedelmi vezetője.

Foltozás

Csak a fenti munkák elvégzése után lehet hozzáfogni a hiányosságok pótlásához. Minden cég rendelkezik valamilyen működő informatikai rendszerrel, benne biztonsági szoftverekkel-hardverekkel. Az adatleltár és a kockázatok ismeretében viszont már jobban láthatók a hiányok, „lyukak”, amelyeket foltozni kell. Ez mindenhol cég- és munkafolyamat-függő, de van néhány általános kategória, amit az adatvédelem erősítéséhez érdemes figyelembe venni. Ilyen egy komplex GDPR felkészítő készlet , mely egy olyan dokumentum és tréningcsomag, ahol a felkészülési folyamat leírása mellett, szerkeszthető formában találhatók meg a rendelet által megkövetelt legfontosabb szabályzatok, űrlapok, nyilvántartások. Ezek kitérnek olyan területekre, mint a behatolás detektálás és megelőzés, hozzáférés ellenőrzés, titkosítás, adatszivárgás elleni védelem, biztonsági mentések és az ezekhez kapcsolódó nyilvántartások.

Azt nyilván mindenkinek magának kell eldöntenie, hogy az informatikai biztonsági eszközök nagyon széles palettáján található eszközök közül melyeknek a bevezetése az ésszerű a számára. Azzal még érdemes számolni, hogy a nyílt forráskódú termékek esetén az ingyenesség általában a támogatás hiányával párosul, emiatt a kis cégek kivételével fel kell mérni annak a kockázatát is, hogy mit jelent ez a saját szemszögükből. Az is biztos, hogy nincs egyetlen olyan gyártó egyetlen olyan terméke (ún. silver bullet), amely a felkészülést és később a folyamatos védelmet, az elért állapot fenntartását önmagában megoldaná.

GDPR: kérdezz-felelek az adatkezelés jogalapjairól
A GDPR meghatározza az adatkezelési lehetséges jogalapjait. A GDPR 6. cikke hat lehetséges jogalapot tartalmaz azon személyes adatok kezelése tekintetében, amelyek nem tartoznak a személyes adatok különleges kategóriájába. Az Adatvédelmi Munkacsoport (WP29) 2017. november 28-án iránymutatást adott ki a hozzájárulásról. Az alábbiakban a jogalapokkal kapcsolatos kérdéseket válaszolja meg dr. Kovács Zoltán Balázs, a Szecskay Ügyvédi iroda partnere.

Képzés

További közhelyek „A leggyengébb láncszem az ember.”, „Az adatszivárgások többsége belső emberektől ered.”, „A kirúgott/csalódott alkalmazott bosszúja.” stb. Nyilván a közhelyek nem véletlenül alakulnak ki, általában van valami alapjuk. Az adatvédelem esetében is nyilvánvaló, hogy ha a cég minden szükséges munkát elvégez, és minden szükséges eszközt beszerez-működtet, a felhasználók még mindig komoly kockázatot jelenthetnek. A legjobb spam-szűrő szoftverek mellett is átjutnak kéretlen, esetleg veszélyes e-mail-ek a postaládákba. A kollégáknak az internet használatakor tudomásul kellene vennie (még egy közhely!): „Ha valahol valami ingyenes, ott mi vagyunk az áru.” Ha csak egyetlen felhasználó is rákattint egyetlen rosszindulatú linkre, az egész cég minden erőfeszítését tönkre teheti.

Állandó, megfelelő és aktuális fenyegetésekre kitérő tréningekre van szükség!

Következtetés

A fenti igen rövid és vázlatos folyamatleírásból is látszik, hogy az adatvédelem nem egyszerű feladat, nagyon sok munkával jár. Nem oldható meg sem jogi tevékenységek lefolytatásával, sem pedig csak informatikai eszköz(ök) beszerzésével, hanem nagyon komoly, átfogó és alapos felkészülést igényel. A cég vezetésének teljeskörű támogatása nélkül elkezdeni sem érdemes, de mivel az adatvédelem nem csak GDPR előírás, hanem minden érintett jól felfogott érdeke, így mindenképpen érdemes foglalkozni vele.

Egyáltalán nem lehetetlen küldetés!

Szerző:

Tőzsér Zoltán

(CISA, CSM, MCP)

TMSI Kft.

Péterfalvi Attila: nem fenyegetésként mondom, de ellenőrizni fogunk
Május 25-étől immár kötelezően alkalmazni kell az új európai Általános Adatvédelmi Rendeletet, amelynek angol neve (General Data Protection Regulation) után előszeretettel nevezünk GDPR-nak. Péterfalvi Attila, a NAIH elnöke szerint nincs tovább, aki nem felel meg az előírásoknak, az nem számíthat a hatóság jóindulatára.

Feliratkozom a(z) Info & tech téma cikkértesítőjére. A megjelenő új cikkekről tájékoztatást kérek

Segítünk kiszámolni

EKÁER kalkulátor

kalkulátor

Céges bankszámla

kalkulátor

Pályázatkereső

kalkulátor