Egy etikus hacker és információbiztonsági auditor véleménye a rettegett adatvédelmi rendeletről
Nyakunkon az európai általános adatvédelmi rendelet, a GDPR bevezetésének időpontja, ennek ellenére sok vállalat nem foglalkozik behatóan azzal, hogy milyen felelősséget jelent az adatvédelem és az adatkezelés. Így az sem válik világossá, hogy adatkezelőként milyen jelenlegi és jövőbeli kötelezettségeik vannak. Az európai általános adatvédelmi rendelet, a GDPR bevezetésének időpontjára érdemes felkészülni, mert május 25-étől akár 20 millió euró büntetés szabható ki. Lengré Tamás, az ASC Vezetői és Informatikai Tanácsadó Kft. vezetője a szemléletváltás fontosságára és időszerűségére hívta fel a figyelmet, előadása meghallgatható a „GDPR: a holnap adatvédelme” konferencián.
A személyes adatokat védeni kell, de hogyan csináljuk?
Mai világunkban már egyetlen működő cég sem létezhet informatikai rendszerek nélkül. A személyes adatok logikai szintű védelmét az informatikai környezet biztonsága teszi lehetővé. A nem megfelelően kialakított és üzemeltetett informatikai környezet, a hiányzó kontrollok mintegy megágyaznak az adatszivárgásnak, aláássák az informatikai rendszer védelmét. Az egyik lehetséges eredmény a személyes adatok sérülése, illetéktelen kezekbe kerülése, visszaélés ezekkel az adatokkal.
Hol vannak a gyenge pontok az informatikai rendszerekben?
Nehéz általánosítani, inkább onnan közelítenék a kérdéshez, hogy az számít, mennyire veszik komolyan az adat- és információvédelmet, amely elsősorban a vállalat vezetőségének és munkavállalóinak elkötelezettségétől, hozzáállásától függ. A nagyobb cégek stratégiai tervezés alapján költenek az információbiztonságra, belső munkatársakat alkalmaznak e célból és külső szakértőkkel rendszeresen ellenőriztetik magukat. A védelemre fordított figyelem terén sokat segítenek a törvényi, jogszabályi előírások is. A pénzügyi szektorban például a törvényben előírt követelmények ellenőrzése rendszeres, a nem megfelelés bírságának nagysága többszöröse is lehet annak, amelyet egy külső szakmai auditra elköltött volna az adott pénzügyi szervezet. A GDPR májusi bevezetése után minden, a GDPR hatálya alá tartozó szervezetre is igaz lesz, hogy költséghatékonyabb a felkészülés, és a biztonsági kontrollok működtetése, mint kockáztatni a személyes adatok biztonságának sérülését és az ezt követő bírságot.
Mi a gond a kis és közepes vállalatokkal?
Ezek a cégek túlnyomó része egyáltalán nem foglalkozik az információs rendszereik védelmével, az informatikai rendszerein túlmenően ideértve például a papír alapon tárolt adatok védelmét, vagy akár, a szerződéseikbe foglalt adat- és információvédelmi követelményeket. Leginkább költséghatékonysági szempontok alapján működtetik az informatikát, pedig a szakértők nem győzik kiemelni, hogy például az otthoni használatra szánt tűzfal, az ingyenes vírusirtó nem fog megfelelően teljesíteni vállalati környezetben. A szabályzatok, utasítások hiánya a működés eredményességét is rontja, és a felelősségre vonás lehetőségét is jelentősen csökkenti. A hiányzó szabályozások miatt általános, hogy nincsen meghatározva, hogy egy bizonyos adathoz ki, milyen jogosultsággal fér hozzá, kinek van lehetősége olvasni, módosítani, törölni azt. Nincs meghatározva, hogy az adatokat hogyan kell tárolni, menteni, a mentéseket hol kell tárolni, azokhoz kik férhetnek hozzá, és még bőven lehetne folytatni a problémák felsorolását.
Lengré Tamás: A kkv-k túlnyomó része egyáltalán nem foglalkozik az információs rendszereik védelmével.
Fel kell hívni a cégek figyelmét a millió eurós büntetésre, de van ezenkívül olyan érv, ami előre viheti őket, hogy komolyan foglalkozzanak a témával?
Hogy érthetőbb legyen, az egészségügyi ellátáshoz hasonlítom a helyzetet. Ha csak abban az esetben megyünk el az orvoshoz, ha már valóban betegek vagyunk, drágább lesz a betegség kezelése, és a járulékos költségei, mint ha a megelőzésre helyeztünk volna nagyobb figyelmet. Közvetlen „károk” ebben az esetben a gyógyszer és a további komolyabb kezelések költségei, közvetett károk például a kiesés a munkából, és ezáltal a fizetés csökkenése, vagy akár teljes kimaradása.
Ha nem megyünk el időnként legalább egy alapszintű egészségügyi kontrollra, nem lesz semmilyen képünk az egészségügyi állapotunkról. Nyílván egy lépést már megteszünk azzal, ha felkeressük a háziorvosunk, és elmegyünk néhány szűrővizsgálatra, de a legpontosabb képet egy teljes körű kivizsgálás fogja adni. Persze ez idő- és pénzigényes, viszont a lehetséges kockázatokat ez fogja teljeskörűen felszínre hozni.
A cégek esetében is azért érdemes felmérni az adat- és információvédelem állapotát, hogy pontosan lássuk, hogy milyen értéket képviselnek az adataink, milyen veszélyeknek vannak kitéve, milyen kockázatokkal kell számolnunk, és ehhez mérten tudjuk megtervezni a védelmi intézkedéseket. Ha ezt nem tesszük meg, és bekövetkezik egy információbiztonsági incidens - csak egy ismertebb példa a közelmúltból -, egy zsarolóvírus működésbe lép, és az adatokat titkosítva elérhetetlenné teszi azokat, és nincs akciótervünk egy ilyen eseményre, nem vagyunk felkészülve, például nincs mentésünk az adatokról, akkor nagyon súlyos következményekkel kell szembenéznünk. Ilyen esemény után keresett meg egy cég minket, javasoltunk számukra mindenképp meglépendő intézkedéseket, például jogtiszta operációs rendszer, és vírusirtó beszerzése, mentési stratégia, szabályzat létrehozása, rendszeres adatmentés kialakítása stb. Persze, az intézkedések pénzbe kerültek volna, és a cég vezetősége úgy döntött, nem költ ezekre. A következő vírustámadás hatására a cég csődbe ment, 10-15 ember munkahelye szűnt meg egyik napról a másikra, az üzleti partnereik számára is kárt okoztak, hiszen nem tudták ellátni a szerződéses feladataikat.
Mennyibe került volna ennek a cégnek az informatikai környezet védelme, a szakmai támogatás?
Pontos összeget nem szeretnék mondani, mert ezzel azt a hitet kelteném, hogy minden 10-15 fős cég elég, ha ennyit költ a védelemre. Ebben az esetben bőven 5 millió forint alatt lett volna a szükséges licencek beszerzése, az informatikai környezet áttervezése, a védelmi megoldások beszerzése, implementálása, a belső szabályzatok elkészítése, bevezetése, oktatása és a szabályzatoknak megfelelő működés kialakítása. Ennek a cégnek ez az összeg amúgy kevesebb volt egynapi bevételénél.
Cikkünk több oldalas! Lapozzon!
1. oldal - Egy etikus hacker és információbiztonsági auditor véleménye a rettegett adatvédelmi rendeletről
2. oldal - A veszteség nem lehet ilyen drasztikus minden esetben, ha trehány egy cég.
Mai világunkban már egyetlen működő cég sem létezhet informatikai rendszerek nélkül. A személyes adatok logikai szintű védelmét az informatikai környezet biztonsága teszi lehetővé. A nem megfelelően kialakított és üzemeltetett informatikai környezet, a hiányzó kontrollok mintegy megágyaznak az adatszivárgásnak, aláássák az informatikai rendszer védelmét. Az egyik lehetséges eredmény a személyes adatok sérülése, illetéktelen kezekbe kerülése, visszaélés ezekkel az adatokkal.
Hol vannak a gyenge pontok az informatikai rendszerekben?
Nehéz általánosítani, inkább onnan közelítenék a kérdéshez, hogy az számít, mennyire veszik komolyan az adat- és információvédelmet, amely elsősorban a vállalat vezetőségének és munkavállalóinak elkötelezettségétől, hozzáállásától függ. A nagyobb cégek stratégiai tervezés alapján költenek az információbiztonságra, belső munkatársakat alkalmaznak e célból és külső szakértőkkel rendszeresen ellenőriztetik magukat. A védelemre fordított figyelem terén sokat segítenek a törvényi, jogszabályi előírások is. A pénzügyi szektorban például a törvényben előírt követelmények ellenőrzése rendszeres, a nem megfelelés bírságának nagysága többszöröse is lehet annak, amelyet egy külső szakmai auditra elköltött volna az adott pénzügyi szervezet. A GDPR májusi bevezetése után minden, a GDPR hatálya alá tartozó szervezetre is igaz lesz, hogy költséghatékonyabb a felkészülés, és a biztonsági kontrollok működtetése, mint kockáztatni a személyes adatok biztonságának sérülését és az ezt követő bírságot.
Az adatvédelem lényeges változásairól tájékozódhat a „GDPR: a holnap adatvédelme” című rendezvényen február 15-én és március 22-én órától 9,00-13,15 között a MÜPA Kék termében. Az előadók a téma szakértői: Lengré Tamás CISA, CEH információvédelmi szakember és dr. Bölcskei Krisztián adatjogász, DPO.
Mi a gond a kis és közepes vállalatokkal?
Ezek a cégek túlnyomó része egyáltalán nem foglalkozik az információs rendszereik védelmével, az informatikai rendszerein túlmenően ideértve például a papír alapon tárolt adatok védelmét, vagy akár, a szerződéseikbe foglalt adat- és információvédelmi követelményeket. Leginkább költséghatékonysági szempontok alapján működtetik az informatikát, pedig a szakértők nem győzik kiemelni, hogy például az otthoni használatra szánt tűzfal, az ingyenes vírusirtó nem fog megfelelően teljesíteni vállalati környezetben. A szabályzatok, utasítások hiánya a működés eredményességét is rontja, és a felelősségre vonás lehetőségét is jelentősen csökkenti. A hiányzó szabályozások miatt általános, hogy nincsen meghatározva, hogy egy bizonyos adathoz ki, milyen jogosultsággal fér hozzá, kinek van lehetősége olvasni, módosítani, törölni azt. Nincs meghatározva, hogy az adatokat hogyan kell tárolni, menteni, a mentéseket hol kell tárolni, azokhoz kik férhetnek hozzá, és még bőven lehetne folytatni a problémák felsorolását.
Lengré Tamás: A kkv-k túlnyomó része egyáltalán nem foglalkozik az információs rendszereik védelmével.Fel kell hívni a cégek figyelmét a millió eurós büntetésre, de van ezenkívül olyan érv, ami előre viheti őket, hogy komolyan foglalkozzanak a témával?
Hogy érthetőbb legyen, az egészségügyi ellátáshoz hasonlítom a helyzetet. Ha csak abban az esetben megyünk el az orvoshoz, ha már valóban betegek vagyunk, drágább lesz a betegség kezelése, és a járulékos költségei, mint ha a megelőzésre helyeztünk volna nagyobb figyelmet. Közvetlen „károk” ebben az esetben a gyógyszer és a további komolyabb kezelések költségei, közvetett károk például a kiesés a munkából, és ezáltal a fizetés csökkenése, vagy akár teljes kimaradása.
Ha nem megyünk el időnként legalább egy alapszintű egészségügyi kontrollra, nem lesz semmilyen képünk az egészségügyi állapotunkról. Nyílván egy lépést már megteszünk azzal, ha felkeressük a háziorvosunk, és elmegyünk néhány szűrővizsgálatra, de a legpontosabb képet egy teljes körű kivizsgálás fogja adni. Persze ez idő- és pénzigényes, viszont a lehetséges kockázatokat ez fogja teljeskörűen felszínre hozni.
A cégek esetében is azért érdemes felmérni az adat- és információvédelem állapotát, hogy pontosan lássuk, hogy milyen értéket képviselnek az adataink, milyen veszélyeknek vannak kitéve, milyen kockázatokkal kell számolnunk, és ehhez mérten tudjuk megtervezni a védelmi intézkedéseket. Ha ezt nem tesszük meg, és bekövetkezik egy információbiztonsági incidens - csak egy ismertebb példa a közelmúltból -, egy zsarolóvírus működésbe lép, és az adatokat titkosítva elérhetetlenné teszi azokat, és nincs akciótervünk egy ilyen eseményre, nem vagyunk felkészülve, például nincs mentésünk az adatokról, akkor nagyon súlyos következményekkel kell szembenéznünk. Ilyen esemény után keresett meg egy cég minket, javasoltunk számukra mindenképp meglépendő intézkedéseket, például jogtiszta operációs rendszer, és vírusirtó beszerzése, mentési stratégia, szabályzat létrehozása, rendszeres adatmentés kialakítása stb. Persze, az intézkedések pénzbe kerültek volna, és a cég vezetősége úgy döntött, nem költ ezekre. A következő vírustámadás hatására a cég csődbe ment, 10-15 ember munkahelye szűnt meg egyik napról a másikra, az üzleti partnereik számára is kárt okoztak, hiszen nem tudták ellátni a szerződéses feladataikat.
Mennyibe került volna ennek a cégnek az informatikai környezet védelme, a szakmai támogatás?
Pontos összeget nem szeretnék mondani, mert ezzel azt a hitet kelteném, hogy minden 10-15 fős cég elég, ha ennyit költ a védelemre. Ebben az esetben bőven 5 millió forint alatt lett volna a szükséges licencek beszerzése, az informatikai környezet áttervezése, a védelmi megoldások beszerzése, implementálása, a belső szabályzatok elkészítése, bevezetése, oktatása és a szabályzatoknak megfelelő működés kialakítása. Ennek a cégnek ez az összeg amúgy kevesebb volt egynapi bevételénél.
Cikkünk több oldalas! Lapozzon!
1. oldal - Egy etikus hacker és információbiztonsági auditor véleménye a rettegett adatvédelmi rendeletről
2. oldal - A veszteség nem lehet ilyen drasztikus minden esetben, ha trehány egy cég.
Mi történne, ha egy napra minden nő szabadságra menne?