Szerző: Berta László Megjelent: 7 hónapja

Egy etikus hacker és információbiztonsági auditor véleménye a rettegett adatvédelmi rendeletről

Nyakunkon az európai általános adatvédelmi rendelet, a GDPR bevezetésének időpontja, ennek ellenére sok vállalat nem foglalkozik behatóan azzal, hogy milyen felelősséget jelent az adatvédelem és az adatkezelés. Így az sem válik világossá, hogy adatkezelőként milyen jelenlegi és jövőbeli kötelezettségeik vannak. Az európai általános adatvédelmi rendelet, a GDPR bevezetésének időpontjára érdemes felkészülni, mert május 25-étől akár 20 millió euró büntetés szabható ki. Lengré Tamás, az ASC Vezetői és Informatikai Tanácsadó Kft. vezetője a szemléletváltás fontosságára és időszerűségére hívta fel a figyelmet, előadása meghallgatható a „GDPR: a holnap adatvédelme” konferencián.

A személyes adatokat védeni kell, de hogyan csináljuk?

Mai világunkban már egyetlen működő cég sem létezhet informatikai rendszerek nélkül. A személyes adatok logikai szintű védelmét az informatikai környezet biztonsága teszi lehetővé. A nem megfelelően kialakított és üzemeltetett informatikai környezet, a hiányzó kontrollok mintegy megágyaznak az adatszivárgásnak, aláássák az informatikai rendszer védelmét. Az egyik lehetséges eredmény a személyes adatok sérülése, illetéktelen kezekbe kerülése, visszaélés ezekkel az adatokkal.

Hol vannak a gyenge pontok az informatikai rendszerekben?

Nehéz általánosítani, inkább onnan közelítenék a kérdéshez, hogy az számít, mennyire veszik komolyan az adat- és információvédelmet, amely elsősorban a vállalat vezetőségének és munkavállalóinak elkötelezettségétől, hozzáállásától függ. A nagyobb cégek stratégiai tervezés alapján költenek az információbiztonságra, belső munkatársakat alkalmaznak e célból és külső szakértőkkel rendszeresen ellenőriztetik magukat. A védelemre fordított figyelem terén sokat segítenek a törvényi, jogszabályi előírások is. A pénzügyi szektorban például a törvényben előírt követelmények ellenőrzése rendszeres, a nem megfelelés bírságának nagysága többszöröse is lehet annak, amelyet egy külső szakmai auditra elköltött volna az adott pénzügyi szervezet. A GDPR májusi bevezetése után minden, a GDPR hatálya alá tartozó szervezetre is igaz lesz, hogy költséghatékonyabb a felkészülés, és a biztonsági kontrollok működtetése, mint kockáztatni a személyes adatok biztonságának sérülését és az ezt követő bírságot.

Az adatvédelem lényeges változásairól tájékozódhat a „GDPR: a holnap adatvédelme” című rendezvényen február 15-én és március 22-én órától 9,00-13,15 között a MÜPA Kék termében. Az előadók a téma szakértői: Lengré Tamás CISA, CEH információvédelmi szakember és dr. Bölcskei Krisztián adatjogász, DPO.


Mi a gond a kis és közepes vállalatokkal?

Ezek a cégek túlnyomó része egyáltalán nem foglalkozik az információs rendszereik védelmével, az informatikai rendszerein túlmenően ideértve például a papír alapon tárolt adatok védelmét, vagy akár, a szerződéseikbe foglalt adat- és információvédelmi követelményeket. Leginkább költséghatékonysági szempontok alapján működtetik az informatikát, pedig a szakértők nem győzik kiemelni, hogy például az otthoni használatra szánt tűzfal, az ingyenes vírusirtó nem fog megfelelően teljesíteni vállalati környezetben. A szabályzatok, utasítások hiánya a működés eredményességét is rontja, és a felelősségre vonás lehetőségét is jelentősen csökkenti. A hiányzó szabályozások miatt általános, hogy nincsen meghatározva, hogy egy bizonyos adathoz ki, milyen jogosultsággal fér hozzá, kinek van lehetősége olvasni, módosítani, törölni azt. Nincs meghatározva, hogy az adatokat hogyan kell tárolni, menteni, a mentéseket hol kell tárolni, azokhoz kik férhetnek hozzá, és még bőven lehetne folytatni a problémák felsorolását.

Lengré TamásLengré Tamás: A kkv-k túlnyomó része egyáltalán nem foglalkozik az információs rendszereik védelmével.


Fel kell hívni a cégek figyelmét a millió eurós büntetésre, de van ezenkívül olyan érv, ami előre viheti őket, hogy komolyan foglalkozzanak a témával?

Hogy érthetőbb legyen, az egészségügyi ellátáshoz hasonlítom a helyzetet. Ha csak abban az esetben megyünk el az orvoshoz, ha már valóban betegek vagyunk, drágább lesz a betegség kezelése, és a járulékos költségei, mint ha a megelőzésre helyeztünk volna nagyobb figyelmet. Közvetlen „károk” ebben az esetben a gyógyszer és a további komolyabb kezelések költségei, közvetett károk például a kiesés a munkából, és ezáltal a fizetés csökkenése, vagy akár teljes kimaradása.

Ha nem megyünk el időnként legalább egy alapszintű egészségügyi kontrollra, nem lesz semmilyen képünk az egészségügyi állapotunkról. Nyílván egy lépést már megteszünk azzal, ha felkeressük a háziorvosunk, és elmegyünk néhány szűrővizsgálatra, de a legpontosabb képet egy teljes körű kivizsgálás fogja adni. Persze ez idő- és pénzigényes, viszont a lehetséges kockázatokat ez fogja teljeskörűen felszínre hozni.

A cégek esetében is azért érdemes felmérni az adat- és információvédelem állapotát, hogy pontosan lássuk, hogy milyen értéket képviselnek az adataink, milyen veszélyeknek vannak kitéve, milyen kockázatokkal kell számolnunk, és ehhez mérten tudjuk megtervezni a védelmi intézkedéseket. Ha ezt nem tesszük meg, és bekövetkezik egy információbiztonsági incidens - csak egy ismertebb példa a közelmúltból -, egy zsarolóvírus működésbe lép, és az adatokat titkosítva elérhetetlenné teszi azokat, és nincs akciótervünk egy ilyen eseményre, nem vagyunk felkészülve, például nincs mentésünk az adatokról, akkor nagyon súlyos következményekkel kell szembenéznünk. Ilyen esemény után keresett meg egy cég minket, javasoltunk számukra mindenképp meglépendő intézkedéseket, például jogtiszta operációs rendszer, és vírusirtó beszerzése, mentési stratégia, szabályzat létrehozása, rendszeres adatmentés kialakítása stb. Persze, az intézkedések pénzbe kerültek volna, és a cég vezetősége úgy döntött, nem költ ezekre. A következő vírustámadás hatására a cég csődbe ment, 10-15 ember munkahelye szűnt meg egyik napról a másikra, az üzleti partnereik számára is kárt okoztak, hiszen nem tudták ellátni a szerződéses feladataikat.

Mennyibe került volna ennek a cégnek az informatikai környezet védelme, a szakmai támogatás?

Pontos összeget nem szeretnék mondani, mert ezzel azt a hitet kelteném, hogy minden 10-15 fős cég elég, ha ennyit költ a védelemre. Ebben az esetben bőven 5 millió forint alatt lett volna a szükséges licencek beszerzése, az informatikai környezet áttervezése, a védelmi megoldások beszerzése, implementálása, a belső szabályzatok elkészítése, bevezetése, oktatása és a szabályzatoknak megfelelő működés kialakítása. Ennek a cégnek ez az összeg amúgy kevesebb volt egynapi bevételénél.


Cikkünk több oldalas! Lapozzon!
1. oldal - Egy etikus hacker és információbiztonsági auditor véleménye a rettegett adatvédelmi rendeletről
2. oldal - A veszteség nem lehet ilyen drasztikus minden esetben, ha trehány egy cég.
Follow hrportal_hu on Twitter

A GDPR hatásai a toborzásra

HR konferenciákon és kerekasztal beszélgetéseken többször elhangzott már, hogy a május 25-én életbe lépett EU GDPR a HR-en belül talán a toborzási folyamatokra van a legnagyobb hatással - interjú Nagy Zoltánnal, a hrfelho.hu Kft. üzletágvezetőjével.tovább..

További cikkek
Az ENSZ szerint a japán kormány kizsákmányolja a fukusimai atomerőműnél dolgozókat

A japán kormány kizsákmányolja és radioaktív sugárzásnak teszi ki a 2011-es földrengésben és szökőárban megkárosodott fukusimai atomerőműnél... Teljes cikk

Eddig tizenöt milliárd forintba került a Paks II. munkatársainak bére

A még csak tervszakaszban lévő paksi beruházásért felelős állami cég munkatársainak átlagos évi bérköltsége 17 millió forint. 42 vezető havi 2... Teljes cikk

A lengyel gazdaságot is sújtja a munkaerőhiány

A varsói kormányzat Fülöp-szigeteki katolikusokkal orvosolná a lengyel gazdaság munkaerő gondjait, más bevándorlóktól továbbra is mereven elzárkózik. Teljes cikk

Új munkája lesz Lázár Jánosnak

A nemdohányzók védelméért felelős miniszterelnöki biztosnak nevezte ki Lázár Jánost augusztus 15-től Orbán Viktor kormányfő a Magyar Közlönyben... Teljes cikk

Súlyos munkaerőhiánytól tart az MSZP

A baloldali ellenzéki párt érdemi parlamenti és társadalmi vitát sürget a magyar munkavállalók kivándorlásának megállítása érdekében. Teljes cikk

Kapcsolódó tartalmaink 1 2 3 Bezár