Adatbiztonság: nem elég a GDPR-ra figyelni
Ez a cikk több mint egy éve került publikálásra. A cikkben szereplő információk a megjelenéskor pontosak voltak, de mára elavultak lehetnek.
Globális szinten a legnagyobb értékben elkövetett bűncselekmények az illegális digitális adatszerzéshez, informatikai rendszerek feltöréséhez köthetőek. Éppen ezért megkerülhetetlen a vállalatok információbiztonsági kockázattűrő képességének növelése. A cégek széles körében azonban a megoldást nyújtó kiberbiztonsági szolgáltatások és az „etikus” hackelés keretei nem tisztázottak, pedig hatósági előírások és ajánlások vannak érvényben.
Az elmúlt évben adatvédelemi kérdésben az Európai Unió Általános Adatvédelmi Rendelete, a GDPR uralta a híreket, amely többek között az informatikai területek számára is általános jogi keretet ad. A GDPR felé irányuló általános figyelem közepette azonban csaknem teljesen elsikkadt az a nem kevésbé fontos körülmény, hogy néhány nappal korábban itthon is hatályba léptek a NIS Irányelv hazai átültetését tartalmazó jogszabályok. A NIS Irányelv a hálózati és információs rendszerek biztonságára vonatkozó szabályokat tartalmazza, amelyeket az EU 2016/1148. sz. irányelve alapján a tagállamoknak át kellett emelniük a jogrendszerükbe.
Ezek alapján azon szervezeteknek például, amelyek alapvető szolgáltatást nyújtanak többek között a közúti, légi, vízi vagy vasúti közlekedés irányítói, pénzintézetek, egészségügyi ágazatban az aktív fekvő-beteg ellátást végzők, az állami szektor egyes kiemelt szereplőinek kötelezően kell biztonsági kockázatmenedzsment keretében pl. sérülékenység elemzéseket végezniük. Így többek között adott, hogy a vállalatoknak milyen biztonsági intézkedéseket kell/kellene végrehajtani digitális rendszereikkel kapcsolatban amelyek között végezni kell például sérülékenység teszteket is. Mindezek ellenére a kiberbiztonsági szolgáltatások kereteit illetően komoly bizonytalanság tapasztalható a cégeknél. Magyarországon sok esetben az sem feltétlenül egyértelmű, hogy informatikai biztonsági ellenőrzéseket kik és hogyan, milyen formában végeznek és végezhetnek. „Ezzel együtt az „etikus” hackelést egyre többen, és gyakrabban emlegetik, ám ahogy az információbiztonság menedzsment feladatokkal, így ezzel kapcsolatban is komoly félreértések forognak közszájon.” – mondta dr. Bereczki Tamás, a Baker McKenzie adatvédelmi és információbiztonsági tanácsadással foglalkozó ügyvédje.
Hacker manapság az, aki biztonsági rések, sérülékenységek után kutat rendszerekben vagy hálózatokban. Előzetesen tisztázni kell például, hogy egy penetrációs teszt vagy egy sérülékenység elemzés milyen hálózatot – IP cím tartomány – eszközt, rendszert és adatokat (banktitok, személyes adat, minősített adat, stb.) érint. Jellemzően rögzíteni kell az adatkezelői, adatfeldolgozói pozíciókat is, a szolgáltató milyen adatokhoz férhet hozzá. Ugyanakkor nagyon kritikus terület lehet a harmadik fél – például beszállítok – adatainak, hálózatainak, rendszereinek és üzeneteinek a vizsgálata is. Sőt a munkavállalói magánhasználattal kapcsolatban is fokozott gondossággal kell eljárni. A leggyakoribb rendszerhiányosságok között említették egyébként a szakemberek többek között a lejárt gyártói támogatású operációs rendszereket és a biztonsági frissítések hiányát, a nem megfelelő végponti védelmet, vagy a gyenge titkosítás alkalmazását is. A vizsgálat zárásaként a „takarítást” is meg kell tenni, azaz a kockázatok értékelése és a jelentés elkészítése után a feltárt sérülékenységeket javítani kell. A használt technikai eszközöket és behatolási pontokat pedig el kell távolítani, illetve zárni kell. Ez minden elemében érzékeny feladat, hiszen a rendszer sérülékenységi szintjének javítása csorbulhat, amennyiben ez nem történik meg tökéletesen.
A formálódó digitális világban ugyanakkor az adatbiztonság fontossága megkérdőjelezhetetlen, hiszen ma már minden vállalatot érint. Ennek tükrében semmi meglepő nincs abban, hogy a legnagyobb értékű bűncselekmények – ami alól a kis- és közepes vállalkozások sem tudják kivonni magukat – világszerte az illegális rendszer- és hálózatfeltörésekből, valamint adatszerzésekből jön össze. Ezek tudatában pedig nem vonható kétségbe, hogy a következő években, évtizedekben a globális gazdasági kérdéseknek ez a terület lesz a központi eleme.