Szerző: Berta László Megjelent: 10 hónapja

Egy etikus hacker és információbiztonsági auditor véleménye a rettegett adatvédelmi rendeletről

Nyakunkon az európai általános adatvédelmi rendelet, a GDPR bevezetésének időpontja, ennek ellenére sok vállalat nem foglalkozik behatóan azzal, hogy milyen felelősséget jelent az adatvédelem és az adatkezelés. Így az sem válik világossá, hogy adatkezelőként milyen jelenlegi és jövőbeli kötelezettségeik vannak. Az európai általános adatvédelmi rendelet, a GDPR bevezetésének időpontjára érdemes felkészülni, mert május 25-étől akár 20 millió euró büntetés szabható ki. Lengré Tamás, az ASC Vezetői és Informatikai Tanácsadó Kft. vezetője a szemléletváltás fontosságára és időszerűségére hívta fel a figyelmet, előadása meghallgatható a „GDPR: a holnap adatvédelme” konferencián.

A személyes adatokat védeni kell, de hogyan csináljuk?

Mai világunkban már egyetlen működő cég sem létezhet informatikai rendszerek nélkül. A személyes adatok logikai szintű védelmét az informatikai környezet biztonsága teszi lehetővé. A nem megfelelően kialakított és üzemeltetett informatikai környezet, a hiányzó kontrollok mintegy megágyaznak az adatszivárgásnak, aláássák az informatikai rendszer védelmét. Az egyik lehetséges eredmény a személyes adatok sérülése, illetéktelen kezekbe kerülése, visszaélés ezekkel az adatokkal.

Hol vannak a gyenge pontok az informatikai rendszerekben?

Nehéz általánosítani, inkább onnan közelítenék a kérdéshez, hogy az számít, mennyire veszik komolyan az adat- és információvédelmet, amely elsősorban a vállalat vezetőségének és munkavállalóinak elkötelezettségétől, hozzáállásától függ. A nagyobb cégek stratégiai tervezés alapján költenek az információbiztonságra, belső munkatársakat alkalmaznak e célból és külső szakértőkkel rendszeresen ellenőriztetik magukat. A védelemre fordított figyelem terén sokat segítenek a törvényi, jogszabályi előírások is. A pénzügyi szektorban például a törvényben előírt követelmények ellenőrzése rendszeres, a nem megfelelés bírságának nagysága többszöröse is lehet annak, amelyet egy külső szakmai auditra elköltött volna az adott pénzügyi szervezet. A GDPR májusi bevezetése után minden, a GDPR hatálya alá tartozó szervezetre is igaz lesz, hogy költséghatékonyabb a felkészülés, és a biztonsági kontrollok működtetése, mint kockáztatni a személyes adatok biztonságának sérülését és az ezt követő bírságot.

Az adatvédelem lényeges változásairól tájékozódhat a „GDPR: a holnap adatvédelme” című rendezvényen február 15-én és március 22-én órától 9,00-13,15 között a MÜPA Kék termében. Az előadók a téma szakértői: Lengré Tamás CISA, CEH információvédelmi szakember és dr. Bölcskei Krisztián adatjogász, DPO.


Mi a gond a kis és közepes vállalatokkal?

Ezek a cégek túlnyomó része egyáltalán nem foglalkozik az információs rendszereik védelmével, az informatikai rendszerein túlmenően ideértve például a papír alapon tárolt adatok védelmét, vagy akár, a szerződéseikbe foglalt adat- és információvédelmi követelményeket. Leginkább költséghatékonysági szempontok alapján működtetik az informatikát, pedig a szakértők nem győzik kiemelni, hogy például az otthoni használatra szánt tűzfal, az ingyenes vírusirtó nem fog megfelelően teljesíteni vállalati környezetben. A szabályzatok, utasítások hiánya a működés eredményességét is rontja, és a felelősségre vonás lehetőségét is jelentősen csökkenti. A hiányzó szabályozások miatt általános, hogy nincsen meghatározva, hogy egy bizonyos adathoz ki, milyen jogosultsággal fér hozzá, kinek van lehetősége olvasni, módosítani, törölni azt. Nincs meghatározva, hogy az adatokat hogyan kell tárolni, menteni, a mentéseket hol kell tárolni, azokhoz kik férhetnek hozzá, és még bőven lehetne folytatni a problémák felsorolását.

Lengré TamásLengré Tamás: A kkv-k túlnyomó része egyáltalán nem foglalkozik az információs rendszereik védelmével.


Fel kell hívni a cégek figyelmét a millió eurós büntetésre, de van ezenkívül olyan érv, ami előre viheti őket, hogy komolyan foglalkozzanak a témával?

Hogy érthetőbb legyen, az egészségügyi ellátáshoz hasonlítom a helyzetet. Ha csak abban az esetben megyünk el az orvoshoz, ha már valóban betegek vagyunk, drágább lesz a betegség kezelése, és a járulékos költségei, mint ha a megelőzésre helyeztünk volna nagyobb figyelmet. Közvetlen „károk” ebben az esetben a gyógyszer és a további komolyabb kezelések költségei, közvetett károk például a kiesés a munkából, és ezáltal a fizetés csökkenése, vagy akár teljes kimaradása.

Ha nem megyünk el időnként legalább egy alapszintű egészségügyi kontrollra, nem lesz semmilyen képünk az egészségügyi állapotunkról. Nyílván egy lépést már megteszünk azzal, ha felkeressük a háziorvosunk, és elmegyünk néhány szűrővizsgálatra, de a legpontosabb képet egy teljes körű kivizsgálás fogja adni. Persze ez idő- és pénzigényes, viszont a lehetséges kockázatokat ez fogja teljeskörűen felszínre hozni.

A cégek esetében is azért érdemes felmérni az adat- és információvédelem állapotát, hogy pontosan lássuk, hogy milyen értéket képviselnek az adataink, milyen veszélyeknek vannak kitéve, milyen kockázatokkal kell számolnunk, és ehhez mérten tudjuk megtervezni a védelmi intézkedéseket. Ha ezt nem tesszük meg, és bekövetkezik egy információbiztonsági incidens - csak egy ismertebb példa a közelmúltból -, egy zsarolóvírus működésbe lép, és az adatokat titkosítva elérhetetlenné teszi azokat, és nincs akciótervünk egy ilyen eseményre, nem vagyunk felkészülve, például nincs mentésünk az adatokról, akkor nagyon súlyos következményekkel kell szembenéznünk. Ilyen esemény után keresett meg egy cég minket, javasoltunk számukra mindenképp meglépendő intézkedéseket, például jogtiszta operációs rendszer, és vírusirtó beszerzése, mentési stratégia, szabályzat létrehozása, rendszeres adatmentés kialakítása stb. Persze, az intézkedések pénzbe kerültek volna, és a cég vezetősége úgy döntött, nem költ ezekre. A következő vírustámadás hatására a cég csődbe ment, 10-15 ember munkahelye szűnt meg egyik napról a másikra, az üzleti partnereik számára is kárt okoztak, hiszen nem tudták ellátni a szerződéses feladataikat.

Mennyibe került volna ennek a cégnek az informatikai környezet védelme, a szakmai támogatás?

Pontos összeget nem szeretnék mondani, mert ezzel azt a hitet kelteném, hogy minden 10-15 fős cég elég, ha ennyit költ a védelemre. Ebben az esetben bőven 5 millió forint alatt lett volna a szükséges licencek beszerzése, az informatikai környezet áttervezése, a védelmi megoldások beszerzése, implementálása, a belső szabályzatok elkészítése, bevezetése, oktatása és a szabályzatoknak megfelelő működés kialakítása. Ennek a cégnek ez az összeg amúgy kevesebb volt egynapi bevételénél.


Cikkünk több oldalas! Lapozzon!
1. oldal - Egy etikus hacker és információbiztonsági auditor véleménye a rettegett adatvédelmi rendeletről
2. oldal - A veszteség nem lehet ilyen drasztikus minden esetben, ha trehány egy cég.
Follow hrportal_hu on Twitter

A sikerhez vezető út adattal van kikövezve!

Másodpercenként több millió adat keletkezik a digitális rendszereknek köszönhetően. Ezeket az adatokat azonban jól kell tudni használni, hogy értéket jelentsenek. Hol tart a HR, miközben (állítólag) már az egész világ adat alapon működik? Digitalizáció, mesterséges intelligencia és adat-vezérelt döntéshozás - lassan a csapból is ez folyik, de tudjuk-e, hogy mit is takarnak a „buzzword”-ök?tovább..

További cikkek
Komoly bírság jöhet adatszolgáltatás elmulasztásáért

A következő hetekben egyre több, belső képzést is folytató cég kap a hatóságtól olyan tartalmú határozatot, amelyben tudatják velük, hogy a... Teljes cikk

Az oktatás helyzete miatt lemond a Farkasréti Áltános Iskola igazgatója

A működésképtelenségre hivatkozva és a problémás iskolai állapotok miatt lemond a Farkasréti Általános Iskola igazgatója. Szerinte a rendszer a... Teljes cikk

Most egy IX. kerületi gimnáziumban mondott fel 15 tanár

Egy újabb botrányos igazgatóválasztás miatt áll a bál, ezúttal a IX. kerületi Weöres Sándor Általános Iskola és Gimnáziumban. Teljes cikk

A parlamentekben is éri zaklatás a nőket

A női politikusok és parlamenti dolgozók fele állítja, hogy érte már zaklatás vagy fenyegették meg nemi erőszakkal. Mindezt úgy, hogy közben a... Teljes cikk

Riválisa ügyfeleit próbálta lenyúlni az Amazon

Az Amazon emberei visszaéltek a versenytárs levelezőrendszerével, a rivális eBay eleadóival vették fel a kapcsolatot. Ezzel piaci szabályokat is sértettek. Teljes cikk

Kapcsolódó tartalmaink 1 2 3 Bezár