GDPR egyszerűen: amit minden cégvezetőnek tudnia kell az adatvédelmi szabályozásról
A GDPR (General Data Protection Regulation, azaz az EU általános adatvédelmi rendelete) 2018. május 25. óta kötelező érvényű minden olyan szervezetre, amely az Európai Unióban személyes adatokat kezel. A rendelet nem pusztán adminisztratív terhet jelent: kötelezi a cégeket arra, hogy minden adatkezelési tevékenységüket jogalaphoz kössék, az érintett személyek jogait betartsák, és a megfelelőségüket bizonyítani is tudják. A Data Destroy Kft. kifejezetten azzal foglalkozik, hogy segítse a vállalkozásokat az adathordozók biztonságos törlésében és megsemmisítésében, amelyek a GDPR-megfelelőség kritikus, de sokszor elhanyagolt elemei.
Legfontosabb megállapítások:
A GDPR minden EU-ban működő, illetve EU-s érintetteket kiszolgáló szervezetre kötelező, mérettől és iparágtól függetlenül — a meg nem felelés akár az éves globális árbevétel 4%-áig terjedő bírsággal járhat.
Az „accountability” (elszámoltathatóság) elve szerint nem elég megfelelni a szabályoknak — a cégnek azt is bizonyítania kell, hogy valóban megfelel.
A személyes adatokat tartalmazó IT eszközök leselejtezése és az adatok visszaállíthatatlan törlése ugyanolyan GDPR-kötelezettség, mint az adatgyűjtés jogalapjának megléte.
Mi az a GDPR és miért érint minden céget?
A GDPR (General Data Protection Regulation) az Európai Unió 2016-ban elfogadott, 2018. május 25-én hatályba lépett adatvédelmi rendelete. Célja, hogy egységes és kötelező érvényű keretet adjon a személyes adatok kezeléséhez az egész EU-ban. Fontos: nem irányelvről, hanem rendeletről van szó, ami azt jelenti, hogy tagállami jogalkotás nélkül, közvetlenül kötelező minden EU-s tagállamban.
A rendelet hatálya minden személyes adatot kezelő szervezetre kiterjed — a mérettől, iparágtól és jogi formától függetlenül. Vonatkozik Önre, ha:
munkavállalók, ügyfelek, partnerek vagy látogatók adatait kezeli;
EU-ban működik az Ön cége, vagy EU-s érintetteknek kínál terméket, szolgáltatást;
bármilyen formában tárol, elemez, továbbít vagy töröl személyes adatot — legyen az papíron, szerveren, laptopban, CRM-rendszerben vagy e-mailben.
A személyes adat tágabb fogalom, mint gondolná: nem csak az ügyfelek neve és e-mail-címe, hanem az IP-cím, a kamerafelvételek, az alkalmazottak teljesítményadatai, az orvosi információk, de akár a cookie-azonosítók is személyes adatnak minősülhetnek.
Az adatvédelem hét alapelve — cégvezetői olvasatban
A GDPR hét alapelvet rögzít, amelyeket minden adatkezelési tevékenységnél be kell tartani. Az EU adatvédelmi rendelet teljes szövege részletesen meghatározza ezeket, de cégvezetőknek az alábbi egyszerűsített olvasat a lényeg:
Jogszerűség, tisztességesség, átláthatóság — az adatkezelésnek jogalapja kell legyen, és az érintetteknek tudniuk kell róla.
Célhoz kötöttség — az adatot csak arra a célra szabad felhasználni, amire gyűjtötték.
Adattakarékosság — csak annyi és olyan adat gyűjthető, amennyi feltétlenül szükséges.
Pontosság — a tárolt adatoknak naprakésznek és pontosnak kell lenniük.
Korlátozott tárolhatóság — az adatot nem lehet örökre megőrizni; ha már nincs szükség rá, törölni kell.
Integritás és bizalmas jelleg — megfelelő biztonsági intézkedésekkel kell az adatot védeni.
Elszámoltathatóság — az adatkezelőnek nem csak be kell tartania ezeket az elveket, hanem bizonyítania is kell, hogy betartja.
Ez az utolsó pont — az elszámoltathatóság — az, ami a legtöbb cégnek fejtörést okoz. Nem elegendő pusztán helyesen eljárni — dokumentálni is kell.
Ki az adatkezelő és ki az adatfeldolgozó?
A GDPR két kulcsfogalmat különböztet meg: adatkezelő és adatfeldolgozó.
Az adatkezelő az, aki meghatározza, miért és hogyan kezeli az adatot. Ez általában maga a vállalkozás. Az adatkezelőt terheli az elsődleges felelősség a GDPR-megfelelőségért.
Az adatfeldolgozó az, aki az adatkezelő megbízásából, az ő utasításai alapján végez adatkezelési tevékenységet (pl. egy felhőszolgáltató, bérszámfejtő cég, IT-partner). Az adatfeldolgozóval kötelező írásbeli adatfeldolgozói szerződést kötni, amelyben rögzítik a kötelezettségeket.
Cégvezetői szempont: ha külső partnerre bízza az adatok kezelését, feldolgozását — akár csak egy HR-szoftver üzemeltetőjéről van szó —, az nem mentesít a felelősség alól. Az adatkezelő felelős marad azért, hogy a partner is megfelelően jár el.
Mire adhat jogalapot az adatkezelés?
A GDPR hat jogalapot ismer:
Hozzájárulás — az érintett egyértelműen beleegyezik (pl. hírlevél-feliratkozás).
Szerződés — az adat kezelése szükséges egy szerződés teljesítéséhez (pl. szállítási cím a rendeléshez).
Jogi kötelezettség — törvény írja elő az adatkezelést (pl. számviteli nyilvántartás).
Létfontosságú érdek — az érintett élete vagy testi épsége forog kockán.
Közhatalmi feladat ellátása — állami vagy közérdekű feladat.
Jogos érdek — az adatkezelőnek vagy harmadik félnek jogos érdeke fűződik az adatkezeléshez, és ez az érintett jogait nem sérti aránytalanul.
A hozzájárulás bizonyos esetekben egyszerűnek tűnik, de a GDPR szigorú feltételeket támaszt: önkéntesnek, egyértelműnek, tájékozottnak és visszavonhatónak kell lennie. Sok cég — különösen e-kereskedelemben — emiatt inkább a jogos érdeket vagy a szerződéses jogalapot használja.
Az érintett személyek jogai — amit a cégnek biztosítania kell
A GDPR számos alanyi jogot biztosít az érintetteknek (munkavállalóknak, ügyfeleknek, partnereknek). A vállalati szempontból leggyakrabban alkalmazott — és leginkább félreértett — jogok a következők:
Tájékoztatáshoz való jog — az érintett jogosult megtudni, hogy a cég mit kezel róla és miért.
Hozzáférési jog — az érintett kérheti az adatai másolatát.
Helyesbítési jog — kérheti a pontatlan adatok javítását.
Törlési jog („az elfeledtetéshez való jog”) — bizonyos feltételek mellett kérheti adatai törlését.
Adathordozhatóság — kérheti az adatait géppel olvasható formátumban.
Tiltakozáshoz való jog — tiltakozhat az adatkezelés ellen, különösen közvetlen üzletszerzésnél.
Cégvezetői szempont: ezekre a kérelmekre főszabályként 1 hónapon belül válaszolni kell — indokolt esetben ez további 2 hónappal meghosszabbítható, de az érintettet erről értesíteni kell. Ha a szervezetnek nincs erre belső folyamata, az maga is megfelelőségi hiányosság.
Adatbiztonság a GDPR szemszögéből: nemcsak a hackertámadás számít
Sokan az adatbiztonságot kizárólag kibertámadásokkal azonosítják. A GDPR ennél tágabb: minden olyan esemény adatvédelmi incidensnek minősül, amelynek következtében személyes adatokhoz jogosulatlanul hozzáférnek, azokat elveszítik, megsemmisítik vagy megváltoztatják.
Az incidenseket a Nemzeti Adatvédelmi és Információszabadság Hatóságnak (NAIH) főszabályként 72 órán belül be kell jelenteni — kivéve, ha az incidens valószínűsíthetően nem jár kockázattal az érintett személyekre nézve. Ha a kockázat magas, az érintetteket is értesíteni kell.
Az adatbiztonság kötelezettségei kiterjednek arra is, ahogyan a cég az eszközök életciklusát kezeli. Egy visszavett laptop, egy kicserélt szerver, egy eladásra szánt telefon — ha ezeken személyes adatok maradnak, az adatvédelmi incidenst jelenthet. A NAIH egyik állásfoglalása egyértelműen kimondja: az adattörlés akkor érvényes, ha az adat visszaállítása többé nem lehetséges.
Az elszámoltathatóság elve: nem elég „megfelelőnek lenni”
A GDPR leginkább félreértett, mégis legfontosabb elve az elszámoltathatóság (accountability). Ez azt jelenti: nem elég, ha a cég valóban betartja a szabályokat — bizonyítania is kell ezt.
A bizonyítás eszközei lehetnek:
adatkezelési tevékenységek nyilvántartása (GDPR 30. cikk szerinti nyilvántartás);
Ez utóbbi különösen fontos az IT eszközök leselejtezésénél. Egy törlési tanúsítvány vagy megsemmisítési jegyzőkönyv nemcsak a folyamat dokumentálása — ez a GDPR-elszámoltathatóság egyik kézzel fogható bizonyítéka.
Szankciók: mennyibe kerülhet a meg nem felelés?
A GDPR kétfokozatú bírságrendszert vezet be:
Enyhébb jogsértések (pl. adatfeldolgozói szerződés hiánya, nyilvántartás elmulasztása): az éves globális árbevétel 2%-a, vagy legfeljebb 10 millió euró — a kettő közül a magasabb összeg.
Súlyosabb jogsértések (pl. jogtalan adatkezelés, az érintett jogainak megsértése, tiltott adattovábbítás harmadik országba): az éves globális árbevétel 4%-a, vagy legfeljebb 20 millió euró — a kettő közül a magasabb összeg.
A NAIH Magyarországon a hatóság, amely vizsgálatot indíthat, bírságot szabhat ki és kötelező intézkedéseket rendelhet el. A hatóság eljárása nemcsak panasz alapján indulhat — saját kezdeményezésére is végezhet vizsgálatot.
Cégvezetői szempont: a bírságösszegnél talán fontosabb a reputációs kár. Egy nyilvánossá vált adatvédelmi incidens vagy hatósági eljárás az ügyfelekkel, partnerekkel szembeni bizalmat rombolja.
Hogyan érdemes hozzáfogni?
A GDPR-megfelelőség nem egyszeri projekt, hanem folyamatos működési szint. A legtöbb kisebb és közepes vállalat számára a következő lépések adják a helyes kiindulást:
Adatkezelési térkép: Mit kezel a cég, honnan jön, hol tárolódik, ki fér hozzá, mennyi ideig marad?
Jogalapok ellenőrzése: Minden adatkezelési tevékenységnek van-e érvényes jogalapja?
GDPR 30. cikk szerinti nyilvántartás: Főszabályként kötelező minden 250 főnél több alkalmazottat foglalkoztató szervezetnek, de 250 fő alatt is előírás, ha az adatkezelés nem alkalmi jellegű, különleges adatkategóriákat érint, vagy kockázatot jelent az érintettekre — a gyakorlatban ez az esetek nagy részére vonatkozik.
Adatfeldolgozói szerződések: Minden külső partnerrel megkötve?
Érintetti kérelmek kezelési folyamata: Ki kezeli, milyen határidővel, milyen nyilvántartással?
IT eszközök életciklus-kezelése: A selejtezés, adattörlés és megsemmisítés dokumentált, igazolható folyamat?
Ez az utolsó pont az, amellyel sok vállalat meglepően keveset foglalkozik — pedig egy ellenőrzésnél vagy incidens után éppen ez az a pont, ahol a hiány a legkönnyebben megállapítható és a legdrágábban bizonyítható be.
Gyakori kérdések
Ki köteles betartani a GDPR-t?
Minden szervezet, amely természetes személyek személyes adatait kezeli az Európai Unióban — mérettől, iparágtól és jogi formától függetlenül. Egy egyéni vállalkozó, egy kkv és egy multinacionális cég egyaránt hatálya alá esik.
Mi számít „személyes adatnak” a GDPR szerint?
Minden olyan információ, amely alapján egy természetes személy azonosítható vagy azonosítható lehet — beleértve a nevet, e-mail-címet, telefonszámot, IP-címet, GPS-adatot, cookie-azonosítót, sőt bizonyos esetekben a munkahelyi teljesítményadatokat is.
Mikor kell adatvédelmi tisztviselőt (DPO) kinevezni?
Kötelező DPO-t kinevezni, ha a cég közhatalmi szerv, vagy ha alapvető tevékenységként rendszeres és szisztematikus megfigyelést végez nagy léptékben, illetve különleges adatkategóriákat (egészségügyi, büntetőjogi, stb.) kezel nagy léptékben.
Mennyi ideig lehet személyes adatokat tárolni?
Csak addig, amíg az adatkezelési cél fennáll, vagy amíg jogszabály kötelezővé teszi a megőrzést. Utána az adatokat törölni kell — olyan módon, hogy visszaállításuk ne legyen lehetséges.
Mi történik, ha a cég egy laptopot adattörlés nélkül ad tovább?
Ez adatvédelmi incidensnek minősülhet, amelyet 72 órán belül be kell jelenteni a NAIH-nak — ha az incidens kockázatot jelent az érintettekre. Az igazolható, visszaállíthatatlan adattörlés elmaradása közvetlen GDPR-jogsértés.
Hogyan bizonyítható, hogy a cég megfelelően törölte az adatokat?
Tanúsított adattörlési módszerrel (pl. Blancco-szoftveres törlés) vagy fizikai megsemmisítéssel, amelyről írásos igazolás, megsemmisítési jegyzőkönyv vagy törlési tanúsítvány készül.
Mikor kell fizikai megsemmisítés, és mikor elég a tanúsított adattörlés?
A leselejtezett vagy újrahasználatra átadott vállalati eszközök esetében a döntés nem az, hogy „töröljünk vagy sem”, hanem az, hogy milyen adattisztítási módszer arányos az üzleti, adatvédelmi és auditkockázattal. A GDPR biztonsági és elszámoltathatósági logikája, valamint a NIST jelenlegi adathordozó-szanitizálási iránymutatása alapján sok működőképes eszköznél elegendő lehet a tanúsított adattörlés, míg sérült, nem ellenőrizhető vagy különösen érzékeny adathordozóknál a fizikai megsemmisítés indokolt. Ez a kérdés a datad.hu témakörében elsősorban vezetői döntési, nem pusztán informatikai végrehajtási probléma.
Legfontosabb megállapítások:
A tanúsított adattörlés akkor üzletileg és szakmailag erős megoldás, ha a teljes törlés igazolható, ellenőrizhető és dokumentált.
Fizikai megsemmisítés akkor indokolt, ha az adathordozó állapota, az információ érzékenysége vagy a szerződéses megfelelési környezet miatt a szoftveres bizonyítás már nem elég.
A jó döntés alapja nem az eszköz piaci értéke, hanem a kockázati szint, a bizonyíthatóság és az elszámoltatható folyamat.
A vállalati gyakorlatban a „biztonságos törlés” körül még mindig két hibás reflex működik. Az egyik szerint ami egyszer adatot tárolt, azt csak fizikailag megsemmisíteni szabad. A másik szerint egy újratelepítés, gyári visszaállítás vagy sima fájltörlés már megoldja a kockázatot.
A valóság ennél árnyaltabb. A döntés arról, hogy fizikai megsemmisítésre vagy tanúsított szoftveres adattörlésre van szükség, vezetői kockázati döntés. A GDPR hivatalos szövege kockázattal arányos technikai és szervezési intézkedéseket vár el, nem egyetlen kötelező módszert. Ugyanebbe az irányba mutat a NIST SP 800-88 Rev. 2 útmutatója, amely a médiatisztításnál az érzékenységet, a validálást és a szervezeti folyamatot helyezi középpontba.
Ez azért fontos, mert a rossz döntés kétféleképpen drága. Ha indokolatlanul megsemmisítünk mindent, fölöslegesen veszítjük el az eszközök maradványértékét. Ha viszont ott is újrahasználatban gondolkodunk, ahol a törlés nem bizonyítható, akkor adatvédelmi, reputációs és szerződéses kockázatot vállalunk.
Először ne az eszközt nézzük, hanem a kockázatot
A jó kérdés nem az, hogy „SSD vagy HDD”, hanem az, hogy mekkora kárt okozna, ha az adott adathordozóról mégis visszanyerhető lenne információ.
Másként kell kezelni egy működő irodai laptopot, amely tanúsított törlés után újraértékesíthető, és máshogyan egy hibás meghajtót, amely ügyfél-, HR-, pénzügyi vagy egyéb érzékeny adatot hordozhatott. A ICO útmutatója külön figyelmeztet rá, hogy attól még, hogy egy eszköz nem indul el, az adat nem feltétlenül vált hozzáférhetetlenné.
A döntéshez három dolgot kell együtt nézni:
az információ érzékenységét,
az adathordozó műszaki állapotát,
a törlés igazolhatóságát.
Mikor elég a tanúsított szoftveres adattörlés?
A tanúsított szoftveres adattörlés sok vállalati helyzetben teljesen megfelelő, de csak akkor, ha valóban tanúsított és ellenőrizhető folyamatról beszélünk. Nem ugyanaz, mint a formázás vagy a gyári reset.
Ha az adathordozó működőképes és teljesen verifikálható
A szoftveres törlés alapfeltétele, hogy az eszköz elérhető legyen, a folyamat végigfuthasson, és az eredmény ellenőrizhető legyen. Ha a teljes törlésről gépszintű riport készül, és az eszköz egyedileg azonosítható, akkor sok üzleti környezetben nincs szakmai indok a fizikai megsemmisítésre.
Ha az eszköz újrahasználata üzletileg érték
Itt a tanúsított adattörlés különösen erős. Megőrzi az eszköz újrahasználhatóságát, miközben lezárhatja az adatbiztonsági kockázatot is. Ez nem puhább megoldás, hanem sok esetben a legjobb egyensúly a biztonság, a dokumentálhatóság és az eszközgazdálkodás között.
Ha a bizonyítás fontosabb, mint a látvány
Sok szervezet automatikusan „biztonságosabbnak” érzi a fizikai megsemmisítést. Pedig egy dokumentálatlan megsemmisítés könnyen gyengébb kontroll lehet, mint egy tanúsított, naplózott, eszközszintű adattörlés. A GDPR logikája szerint nem az a legerősebb válasz, hogy „megsemmisítettük”, hanem az, hogy mi történt, melyik eszközzel, mikor, milyen módszerrel és erről mi a bizonyíték.
Ha a szabályzat vagy a szerződés ezt megengedi
Nem minden szervezetnek ugyanaz az elvárt kontrollszintje. Sok környezetben a működőképes adattárolók tanúsított szoftveres törlése teljesen megfelelő. Ha a belső politika és az ügyfélszerződések ezt nem zárják ki, nincs ok reflexből a legdrasztikusabb megoldást választani.
Mikor kell inkább fizikai megsemmisítés?
A fizikai megsemmisítés ott indokolt, ahol a szoftveres út már nem ad elég bizonyosságot.
Ha az adathordozó hibás, sérült vagy részben olvashatatlan
Ez a legtipikusabb eset. Ha a meghajtó instabil, vezérlőhibás, rossz szektoros vagy a teljes címezhetőség nem igazolható, akkor a szoftveres adattörlés megbízhatósága elesik. Ilyenkor nem az a kérdés, hogy „talán lefutott-e valami”, hanem az, hogy a szervezet vállalja-e a maradék bizonytalanságot. Általában nem érdemes.
Ha az adatok érzékenysége rendkívül magas
Kiemelt pénzügyi, egészségügyi, védelmi, kutatás-fejlesztési vagy stratégiai ügyféladatoknál a szervezet dönthet úgy, hogy a kockázattűrése gyakorlatilag nulla. Ilyenkor még működőképes adathordozónál is indokolt lehet a fizikai megsemmisítés, főleg ha ezt belső politika vagy szerződés is alátámasztja.
Ha a törlés nem vagy csak nehezen validálható
A NIST 2025-ös frissített iránymutatása már hangsúlyosan a validálásra és a szervezeti szintű médiatisztítási programra épít. Vezetői nyelvre lefordítva ez azt jelenti: ha a módszer nem védhető auditban, akkor valójában nem elég erős.
Ha nincs egyértelmű riport, nincs hiteles eszközazonosítás, nincs átadási lánc vagy nincs megfelelő szolgáltatói bizonyíték, a fizikai megsemmisítés gyakran tisztább döntés.
Ha a megfelelési környezet előírja
Bizonyos ügyfelek vagy szabályozott projektek nem mérlegelést, hanem konkrét megsemmisítési eljárást várnak el. Ilyenkor a tanúsított adattörlés hiába lenne technikailag megfelelő, üzletileg nem lesz elfogadható.
Működő meghajtó tanúsított törlésre előkészítve és sérült SSD fizikai megsemmisítés előtt
A leggyakoribb vezetői tévedések
„A fizikai megsemmisítés mindig biztonságosabb”
Nem feltétlenül. Egy rosszul dokumentált megsemmisítés könnyen gyengébb kontroll, mint egy megfelelően tanúsított adattörlés. A fizikai megsemmisítés akkor erős, ha maga a folyamat is kontrollált és igazolható.
„A szoftveres törlés csak kompromisszum”
Ez sem igaz. Megfelelő eszközön, megfelelő módszerrel, tanúsítással és riportálással a szoftveres adattörlés sok esetben elsőrangú megoldás.
„A nem működő meghajtó már nem veszélyes”
Ez veszélyes feltételezés. Attól, hogy egy laptop vagy SSD nem használható normál üzemben, az adathordozó egy része még lehet hozzáférhető.
Egy egyszerű vezetői döntési keret
Öt kérdés általában elég ahhoz, hogy a szervezet ne rutinból, hanem védhetően döntsön:
1. Működik és teljesen ellenőrizhető az adathordozó?
Ha igen, a tanúsított adattörlés valós opció. Ha nem, a fizikai megsemmisítés felé billen a mérleg.
2. Milyen érzékeny adat lehetett rajta?
Minél súlyosabb a lehetséges üzleti vagy adatvédelmi kár, annál kisebb helye van a bizonytalanságnak.
3. Szükség van az eszköz újrahasználatára vagy értékesítésére?
Ha igen, a tanúsított törlés sokszor a legésszerűbb út. Ha nem, és a kockázat magas, a megsemmisítés lehet tisztább döntés.
4. Bizonyítható a folyamat?
Riport, eszközazonosítás és auditnyom nélkül egyik módszer sem elég erős.
5. Van-e olyan szerződéses vagy belső előírás, amely kizárja a mérlegelést?
Ha van, azt kell követni. Ha nincs, akkor valódi vezetői döntésről beszélünk.
Nem egyetlen módszer kell, hanem védhető folyamat
Az érett gyakorlat nem arra épül, hogy a szervezet „mindig megsemmisít” vagy „mindig töröl”. Hanem arra, hogy külön kezeli a működőképes, újrahasználható és a sérült, nem verifikálható adathordozókat; tudja, mikor elég a tanúsított adattörlés; és tudja, mikor kell fizikai megsemmisítésre váltani.
Itt válik a szolgáltatóválasztás is stratégiai kérdéssé. Nem az a legjobb partner, aki mindenre ugyanazt mondja, hanem az, aki kockázati alapon, auditálhatóan tud különbséget tenni. A Data Destroy típusú megközelítés ebből a szempontból azért erős, mert nem pusztán „törlést” vagy „megsemmisítést” ad, hanem az eszköz állapotához, a kitettséghez és az igazolhatósági igényhez illesztett lezárást.
A jó vezetői álláspont tehát nem az, hogy a fizikai megsemmisítés vagy a szoftveres adattörlés közül melyik a „jobb”. Hanem az, hogy melyik módszer zárja le bizonyíthatóan a konkrét kockázatot a konkrét eszköznél.
Nem biztos benne, melyik módszer a megfelelő?
Segítünk eldönteni: kockázati alapon, az eszközök állapota és az adatok érzékenysége szerint javasoljuk a tanúsított adattörlést vagy a fizikai megsemmisítést. Kérjen egyedi értékelést.
Elég a gyári visszaállítás a leselejtezett laptopoknál?
Nem. A gyári visszaállítás vagy újratelepítés önmagában nem azonos a tanúsított adattörléssel, mert nem ad megfelelő bizonyítékot a teljes adattisztításról.
Mikor indokolt SSD-nél a fizikai megsemmisítés?
Akkor, ha az SSD hibás, nem verifikálható teljes körűen, vagy az adatérzékenység és a megfelelési környezet nem engedi meg a maradék bizonytalanságot.
A tanúsított adattörlés megfelelhet GDPR-szempontból?
Igen, sok esetben igen, ha a választott módszer a kockázattal arányos, ellenőrizhető, dokumentált és a szervezet bizonyítani tudja a végrehajtást.
Miért nem jó ötlet mindent automatikusan fizikailag megsemmisíteni?
Mert így a szervezet fölöslegesen elveszítheti a működőképes eszközök maradványértékét, miközben sok esetben a tanúsított adattörlés is megfelelő védelmet és jobb auditálhatóságot adhat.
Mi a legfontosabb különbség a két módszer között?
A tanúsított adattörlés megőrzi az eszköz újrahasználhatóságát, míg a fizikai megsemmisítés végleg kizárja azt. A döntést ezért mindig a kockázat, a bizonyíthatóság és a szabályozási környezet alapján érdemes meghozni.
Informatikai eszközök, laptopok selejtezése előtt 7 kérdés, amit minden IT-vezetőnek fel kell tennie
Az IT-eszközök selejtezése a magyar kis-, közép- és nagyvállalatoknál egyszerre adatvédelmi, információbiztonsági és irányítási kérdés. A GDPR elszámoltathatósági, korlátozott tárolhatósági és biztonsági elvei alapján nem elég törölni az adatokat: a szervezetnek azt is igazolnia kell, hogy a kivezetés folyamata kontrollált, dokumentált és a kockázattal arányos volt. A téma a datad.hu szakmai fókuszához azért kapcsolódik szorosan, mert a gyakorlatban a tanúsított adattörlés és a bizonyítható átadási lánc csökkenti leginkább a selejtezésből eredő vezetői kitettséget.
Legfontosabb megállapítások:
Az eszközselejtezés nem raktári feladat, hanem adat- és kockázatkezelési döntés.
A tényleges törlés önmagában kevés, ha a szervezet nem tudja hitelesen igazolni, hogy mikor, min és milyen eljárással történt meg.
A jó selejtezési folyamat végpontja nem egy kipipált adminisztratív lépés, hanem a dokumentált, auditálható és felelősségileg lezárt adattörlés.
Az IT-ben a selejtezés sok szervezetnél még mindig az életciklus legkevésbé stratégiai része. Új eszköz beszerzésére van folyamat, üzembe állításra van folyamat, jogosultságkezelésre is többnyire van folyamat. Amikor viszont egy notebook, szerver, SSD vagy mobiltelefon eléri a kivezetés pontját, a szervezet hajlamos ezt egyszerű logisztikai feladatként kezelni.
Ez hiba.
A leselejtezett eszköz ugyanis nem attól válik alacsony kockázatúvá, hogy már nem használják. Sokszor éppen ekkor a legnagyobb a kitettség: gazdátlanná válik a felelősség, fellazul az átadási lánc, és a döntéshozó utólag már csak azt látja, hogy egy hordozó eltűnt, egy adattartalom visszaállítható volt, vagy egy audit során nincs meg a bizonyíték arra, hogy a törlés valóban megtörtént.
A GDPR 5. cikke a korlátozott tárolhatóságot és az integritás-bizalmasság elvét is rögzíti, míg a 32. cikk megfelelő technikai és szervezési intézkedéseket vár el a kockázattal arányos védelemhez. A gyakorlatban ez azt jelenti: a selejtezés nem lehet vakfolt.
Az alábbi hét kérdés jó vezetői minimum. Nem technikai mélyfúrás, hanem olyan checklist, amely segít eldönteni, hogy a szervezet valóban lezár egy kockázatot, vagy csak arrébb tolja.
1. Pontosan tudjuk, milyen eszközöket vezetünk ki, és ki a felelős értük?
A selejtezési hibák jelentős része nem a törlési módszernél kezdődik, hanem sokkal korábban: az eszköznyilvántartás és a felelősségi lánc hiányánál. Ha nincs egyértelműen megmondva, hogy melyik eszköz melyik üzleti területhez, felhasználóhoz, telephelyhez vagy rendszerhez tartozik, akkor a kivezetés sem lesz kontrollált.
Az ICO eszközkezelési útmutatója külön is kiemeli az eszközök azonosítását, osztályozását, tulajdonosi kijelölését és a biztonságos megsemmisítés bizonyítékainak megőrzését. Ez nem brit sajátosság, hanem józan irányítási minimum.
Vezetői szempontból az első kérdés ezért nem az, hogy „hogyan törlünk”, hanem az, hogy van-e pontos listánk arról, mit vezetünk ki, és ki írja alá, hogy az adott eszköz valóban lezárható.
Mire figyeljen az IT-vezető?
szerepel-e az eszköz az aktuális nyilvántartásban;
ismert-e a tulajdonos, felhasználó vagy rendszergazda oldali felelős;
megvan-e az üzleti jóváhagyás a kivezetésre;
azonosítható-e az eszköz típusa, sorozatszáma, adattárolója és állapota.
Ha már ezen a ponton hiányos a kép, a selejtezés később sem lesz bizonyítható.
2. Tudjuk, milyen adat lehet még az adott eszközön?
Nem minden eszköz jelent azonos kockázatot. Egy vékonykliens, egy irodai monitor és egy vezetői notebook selejtezése nem ugyanaz a kategória. Ugyanígy más megítélés alá esik egy olyan mobiltelefon, amely többfaktoros hitelesítésre is használt alkalmazásokat futtatott, mint egy olyan laptop, amelyben helyi gyorsítótárak, e-mail-adatok, böngésző-tokenek vagy offline exportok maradhattak.
Az eszközkivezetés előtt tehát nem pusztán eszközt kell látni, hanem adathordozót és lehetséges adattartalmat. Ez különösen fontos a magyar KKV-knál, ahol az informatikai környezet sokszor hibrid: részben felhős, részben helyi, részben felhasználói szokásokra épülő működéssel. Ilyenkor könnyű azt feltételezni, hogy „úgyis minden a felhőben van”, miközben az eszközön továbbra is maradhatnak helyi másolatok, exportok vagy szinkronizált állományok.
A NIST SP 800-88 Rev. 2 abból indul ki, hogy az adathordozó törlési vagy megsemmisítési döntését a bizalmassági szinthez és a kockázathoz kell igazítani. Ez vezetői nyelvre lefordítva annyit jelent: nem minden eszközt ugyanazzal a rutinlépéssel szabad kezelni.
Mire figyeljen az IT-vezető?
milyen típusú adatok lehetnek az eszközön;
volt-e rajta személyes adat, ügyféladat, pénzügyi adat vagy belső bizalmas tartalom;
maradhattak-e lokális mentések, ideiglenes fájlok, gyorsítótárak, kulcsok vagy naplók;
az eszköz belső tárhelye mellett van-e másodlagos adathordozó is.
A rossz selejtezési döntések gyakran abból születnek, hogy a szervezet csak az eszköz értékét nézi, nem az adat értékét.
3. Biztosan a megfelelő törlési vagy megsemmisítési módszert választjuk?
A selejtezés egyik legveszélyesebb tévhite, hogy az adattörlés egységes művelet. Nem az.
Más kockázati profil tartozik a szoftveres törléshez, más a kriptográfiai törléshez, más a fizikai megsemmisítéshez. Az is számít, hogy HDD-ről, SSD-ről, mobil eszközről, szervermeghajtóról vagy hibás adathordozóról van szó. A NIST iránymutatása kifejezetten azért fontos, mert nem egyetlen „varázsmódszert” ajánl, hanem a hordozó típusa és a kockázat alapján választ módszert.
Vezetői szempontból itt nem az a kérdés, hogy az IT-csapat ismer-e törlőszoftvert. Az a kérdés, hogy a kiválasztott eljárás arányos-e azzal a kockázattal, amelyet az adott adathordozó jelent.
Tipikus vezetői hibák
az SSD-ket ugyanazzal a logikával kezelik, mint a hagyományos merevlemezeket;
a hibás vagy nem bootoló eszközökre nincs külön forgatókönyv;
a visszaértékesíthető és a fizikailag megsemmisítendő eszközök nincsenek szétválasztva;
a döntés kizárólag költségalapon születik, nem kockázatalapon.
A selejtezés itt válik valódi vezetői kérdéssé: a túl gyenge eljárás kitettséget termel, a túlzó eljárás pedig felesleges költséget.
Dokumentált, kontrollált selejtezési folyamat: az adatbiztonság ott kezdődik, ahol az operatív működés véget ér.
4. Bizonyítani is tudjuk majd, hogy a törlés megtörtént?
Ez az a pont, ahol a legtöbb szervezetnél elválik egymástól a „remélhetően megtörtént” és a „bizonyíthatóan megtörtént” kategória.
A GDPR nem csupán megfelelést, hanem elszámoltathatóságot is elvár. A rendelet szerint az adatkezelőnek képesnek kell lennie igazolni a megfelelést. Ez selejtezésnél azt jelenti, hogy nem elég egy belső állítás vagy szóbeli megerősítés. Kell valamilyen nyom, napló, azonosító, jegyzőkönyv, jóváhagyás vagy tanúsítvány, amelyből visszakereshető, hogy melyik eszközzel mi történt.
Az ICO selejtezési és törlési útmutatója egyértelműen arra mutat rá, hogy az elektronikus és fizikai nyilvántartásokat úgy kell megsemmisíteni, hogy az adatok ne legyenek helyreállíthatók, és a szervezetnek checklist-, illetve retentionlogikával kell tudnia követni a lezárást.
Mit érdemes minimumként keresni?
eszközazonosítóhoz kötött törlési nyom;
időbélyegzett végrehajtás;
kezelő vagy szolgáltató azonosíthatósága;
vezetői vagy folyamatgazdai jóváhagyás;
visszakereshető dokumentum a lezárásról.
Ahol ez nincs meg, ott az adattörlés jogi és auditértelemben gyakran nem lezárt, csak feltételezett.
5. Kontroll alatt van az átadási lánc a kivonástól a végső lezárásig?
Sok adatvédelmi és biztonsági incidens nem a törlés technikai pillanatában történik, hanem az előtte lévő átmeneti zónában. Az eszköz kikerül a felhasználótól, bekerül egy dobozba, átmegy egy raktárba, vár a bevizsgálásra, majd hetekkel később kerül sor a tényleges adattörlésre vagy megsemmisítésre.
Ez az időszak sok cégnél adminisztratív szürkezóna. Pedig itt dől el, hogy az eszköz valóban kontrollált státuszban van-e. Az ICO útmutatása erre is kitér: a megsemmisítésre váró hardvereket korlátozott hozzáférésű, zárt területen kell tárolni, a folyamatot dokumentálni kell, és harmadik fél esetén due diligence vagy audit is indokolt lehet.
A vezetői checklist itt így hangzik
ki veszi át az eszközt a felhasználótól;
hol tárolják a törlésig vagy megsemmisítésig;
ki férhet hozzá közben;
van-e tételes átadás-átvételi nyom;
harmadik fél bevonásánál tisztázott-e a felelősség és az ellenőrizhetőség.
A gyenge átadási lánc azért veszélyes, mert ilyenkor hiába jó a végső törlési eljárás, a szervezet közben elveszítheti az eszköz feletti bizonyítható kontrollt.
6. Külön kezeljük a kivételeket és a problémás eseteket?
A selejtezési folyamatok sokszor a „normál” eszközökre vannak optimalizálva. A valós kockázat viszont általában a kivételekben rejtőzik.
Ilyen kivétel például:
a sérült vagy nem olvasható meghajtó;
a titkosított, de nem dokumentált állapotú eszköz;
a hiányos azonosítóval visszaérkező notebook;
a nem szabványos adattárolót tartalmazó ipari vagy speciális berendezés;
a vezetői vagy érzékeny üzleti környezetből származó eszköz.
A jó folyamat itt nem gyorsítani akar, hanem megállni egy pillanatra. A vezetői kérdés az, hogy van-e külön döntési út a kivételekre, vagy minden ugyanabba a dobozba kerül.
Ha nincs kivételkezelés, akkor a szervezet valójában nem kockázatot menedzsel, hanem átlagot. Az átlag viszont nem védi meg attól az egyetlen esettől, amelyből incidens, vizsgálat vagy reputációs probléma lesz.
7. A selejtezés végén valóban lezárjuk a kockázatot, vagy csak túl vagyunk rajta?
Ez a legfontosabb vezetői kérdés, mert ez különbözteti meg az adminisztratív kipipálást a valódi kontrolltól.
Egy jó selejtezési folyamat végén a szervezet nemcsak azt tudja, hogy az eszköz már nincs használatban, hanem azt is, hogy:
az adattartalom kockázata lezárult;
a módszer arányos volt a kockázattal;
az átadási lánc dokumentált volt;
a végrehajtás visszakereshető;
az ellenőrzéshez szükséges bizonyíték rendelkezésre áll.
Itt válik érthetővé, miért jut el sok érett szervezet a tanúsított adattörlésig. Nem azért, mert ez „szebben hangzik”, hanem azért, mert a vezetői elvárás ma már nem pusztán a törlés ténye, hanem annak igazolhatósága. A GDPR 32. cikke szerint a biztonsági intézkedéseknek a kockázathoz kell igazodniuk, és a jóváhagyott tanúsítási mechanizmusok a megfelelés egyik bizonyítási elemeként is szolgálhatnak. Ezt a logikát erősíti az auditálható eszközkezelés és adattörlés gyakorlata is.
Mire jó ez a 7 kérdés a gyakorlatban?
Ez a checklist nem arra való, hogy az IT-vezető technikai műveleteket végezzen. Arra való, hogy gyorsan megítélje, mennyire érett a szervezet selejtezési folyamata.
Ha a hét kérdésből többnél bizonytalan a válasz, az jellemzően három problémát jelez:
nincs teljes kontroll az eszközéletciklus végpontján;
az adattörlés nincs összekötve az igazolhatósággal;
a selejtezés operatív rutinként fut, miközben valójában compliance- és reputációs kockázatot hordoz.
A magyar kis- és középvállalatoknál ez gyakran kapacitásprobléma, a nagyvállalatoknál pedig koordinációs probléma. Az ok különbözhet, a kitettség logikája viszont ugyanaz: amikor az eszköz kikerül a napi használatból, attól az adat még nem kerül ki automatikusan a szervezeti kockázati térből.
Rövid vezetői összegzés
Selejtezés előtt nem azt kell elsőként megkérdezni, hogy „hova tesszük a régi gépeket”, hanem azt, hogy a szervezet hogyan bizonyítja a kockázat lezárását. Aki ezt a kérdést időben felteszi, az nemcsak adatvesztést vagy auditvitát előz meg, hanem irányítási fegyelmet is épít.
A tanúsított adattörlés felé vezető út valójában nem technológiai divat, hanem vezetői következetesség: annak belátása, hogy a selejtezés akkor zárul le, amikor a törlés nemcsak megtörtént, hanem hitelesen igazolható is.
Gyakori kérdések
Miért nem elég egyszerűen gyári visszaállítást végezni a leselejtezett eszközön?
A gyári visszaállítás sok esetben nem ad elégséges bizonyosságot arra, hogy az adatok ne legyenek helyreállíthatók. Vezetői szempontból különösen az a kérdés, hogy a módszer arányos-e az adott eszköz és adattartalom kockázatával.
Mely eszközök jelentenek a legnagyobb kockázatot selejtezéskor?
Jellemzően azok, amelyek helyi tárolón személyes, pénzügyi vagy üzletileg érzékeny adatot hordozhattak, illetve amelyeknél a hozzáférési tokenek, gyorsítótárak vagy mentések is megmaradhattak. A mobil eszközök, notebookok, szervermeghajtók és SSD-k ezért kiemelt figyelmet igényelnek.
Miért fontos a dokumentált átadási lánc?
Mert a kockázat nemcsak a törlés pillanatában, hanem az azt megelőző tárolás, szállítás és átadás során is fennáll. Ha nincs visszakereshető lánc, a szervezet nehezebben tudja igazolni, hogy végig kontroll alatt tartotta az eszközt.
Mikor indokolt a tanúsított adattörlés?
Akkor, amikor az eszközön kezelt adatok érzékenysége, az auditelvárás vagy a szervezeti kitettség miatt már nem elég egy informális belső igazolás. Ilyenkor a bizonyíthatóság legalább olyan fontos, mint maga a törlési művelet.
Kisvállalatoknál is szükség van formális selejtezési folyamatra?
Igen, csak az arányosság más lehet. A kisebb szervezeteknél is szükség van egyértelmű nyilvántartásra, felelősre, döntési logikára és igazolható lezárásra, még ha a folyamat egyszerűbb is, mint egy nagyvállalatnál.
NIS2 és eszközök selejtezése: miért vált vezetői felelősségi kérdéssé a leselejtezett eszközök adatbiztonsága
Egy közép- vagy nagyvállalatnál a leselejtezés ritkán látványos döntés. Többnyire notebookflotta-cseréhez, szervermodernizációhoz, irodaköltözéshez, telephelyi racionalizáláshoz vagy egy régebbi rendszer kivezetéséhez kapcsolódik. Ilyenkor a vezetői figyelem érthetően az új működés elindítására irányul. A kivont eszközökön maradt adatok sorsa könnyen háttérbe szorul.
Pedig vezetői szempontból ez nem mellékes kérdés. Ha egy vállalat nem tudja igazolható módon lezárni az adatok életciklusát a használatból kivont eszközökön, akkor a kockázat nem szűnik meg, csak kevésbé láthatóvá válik. A régi laptop, a szerver, az SSD, a mobiltelefon vagy a multifunkciós nyomtató ilyenkor már nem termelési eszköz, de adatbiztonsági szempontból továbbra is felelősséget hordoz.
A NIS2 ezt a problémát nem technikai részletként, hanem irányítási kérdésként teszi láthatóvá. A szabályozási logika lényege nem az, hogy a vezetésnek adattörlő módszereket kellene kiválasztania, hanem az, hogy a kockázatkezelési intézkedéseket jóvá kell hagynia, a végrehajtást felügyelnie kell, és a hiányosságokért a vezetői felelősség sem zárható ki. Innen nézve a leselejtezett eszközök adatbiztonsága már nem háttérirodai ügy, hanem vezetői relevanciájú kockázat.
Miért lett ebből vezetői kérdés?
A vállalati gyakorlatban az egyik leggyakoribb tévedés az, hogy a selejtezést logisztikai utófolyamatként kezelik. Az eszköz kikerül a használatból, átmenetileg raktárba kerül, majd elszállítják, továbbértékesítik, bontásra adják vagy megsemmisítésre előkészítik. Sok szervezet itt fejben már lezártnak tekinti a kérdést.
Valójában azonban éppen ekkor kezdődik az a szakasz, ahol a felelősségi lánc a legkönnyebben fellazul. A beszerzés mást lát, mint az üzemeltetés. A helyi telephely mást, mint a központ. A compliance másképp tekint a kockázatra, mint a napi operáció. Külső partner bevonásakor pedig különösen könnyű összetéveszteni a kiszervezést a felelősség átadásával.
A NIS2 vezetői logikája ezt a kényelmes önfelmentést zárja le. A szabályozás azt üzeni, hogy a kiberkockázat-kezelés nem maradhat kizárólag az IT vagy a beszállító belső ügye. Ha egy szervezet adatokat kezel, akkor az adatok életciklusának lezárása ugyanúgy a felelős működés része, mint a hozzáférés-kezelés, a biztonsági mentés vagy a beszállítói kockázatok kezelése.
Nem az eszköz a probléma, hanem az adatok lezáratlan életciklusa
A felsővezetői nézőpont szempontjából a kérdés egyszerűbben fogalmazható meg, mint ahogy az sok szakmai anyagban szerepel. Nem az a döntő, hogy egy régi eszköz fizikailag hol van, hanem az, hogy a rajta kezelt adatok sorsa igazolhatóan lezárult-e.
Ha egy notebookflotta-csere után a kivont gépek hónapokig egy raktárban állnak, a kockázat nincs lezárva. Ha egy szervercsere során a régi háttértárakat külső partner szállítja el, de a megsemmisítés vagy adattörlés eredménye nem ellenőrizhető, a kockázat nincs lezárva. Ha egy nyomtató vagy multifunkciós eszköz belső tárhelye felett a vállalat nem rendelkezik világos eljárással, a kockázat nincs lezárva. Ugyanez igaz az okostelefonokra, táblagépekre, tartalék háttértárakra és a papíralapú iratokra is.
Ez azért lényeges vezetői felismerés, mert a reputációs és megfelelési károk jelentős része nem abból ered, hogy egy szervezetet rendkívüli technikai támadás ér, hanem abból, hogy egy alapvető működési folyamat végén nem tudja bizonyítani a kellő gondosságot. A különbség jogi, üzleti és reputációs értelemben is jelentős.
Mit mond erről a szabályozási környezet?
A NIS2 szövege a vezető testületek szintjén ír elő felelősséget: a vezetésnek jóvá kell hagynia a kiberbiztonsági kockázatkezelési intézkedéseket, felügyelnie kell azok végrehajtását, és a jogsértésekért felelősség is terhelheti. Ezzel a kiberbiztonságot egyértelműen vezetői szintre emeli.
Az uniós végrehajtási rendelet ennél is gyakorlatiasabb irányba megy tovább bizonyos érintett szervezetek esetében: az eszközkezelési szabályzatnak a teljes életciklust le kell fednie, beleértve a beszerzést, használatot, tárolást, szállítást és selejtezést, továbbá szabályokat kell adnia a biztonságos használatra, tárolásra, szállításra, valamint az eszközök vissza nem állítható törlésére és fizikai megsemmisítésére is.
Ez vezetői szempontból nem azt jelenti, hogy minden szervezetnél ugyanaz a technológiai módszer lenne az elvárt. Azt jelenti, hogy az eszközkivonás és adattörlés nem maradhat informális, dokumentálatlan vagy ellenőrizhetetlen folyamat. A kérdés a felelős irányítás szintjén dől el: van-e világos rend, van-e nyomon követhetőség, és van-e utólag bemutatható bizonyíték.
Európai példák: amikor a háttérfolyamatból incidens lett
A probléma nem elméleti. Az Egyesült Királyságban a Brighton and Sussex University Hospitals NHS Trust ügyében az információs hatóság 325 000 fontos bírságot szabott ki nem biztonságos hardverselejtezés miatt. A nyilvános beszámolók szerint a szervezet kontrollköréből kikerülő merevlemezeken érzékeny személyes adatok maradtak. Vezetői szempontból ennek tanulsága nem pusztán annyi, hogy „hibás volt a törlés”, hanem az, hogy a szervezet nem rendelkezett kellően szigorú, ellenőrzött végrehajtási lánccal.
Az ír adatvédelmi hatóság esettanulmányai más oldalról mutatják meg ugyanennek a kérdésnek a lényegét. Az egyik ügyben otthoni munkavégzés során toborzási dokumentumok és önéletrajzok kerültek nem megfelelő módon a háztartási hulladékba. A tanulság itt az, hogy a vezetői felelősség nem merül ki abban, hogy a szervezet általános utasítást ad a helyes eljárásra. A megfelelő folyamat, eszköz és elszámoltathatóság hiánya önmagában kockázat.
A két ügy közös tanulsága, hogy az adatbiztonság gyenge pontja gyakran nem a központi rendszer, hanem az a pillanat, amikor a szervezet úgy érzi: az adott eszköz, dokumentum vagy adathordozó már kívül esik a valódi üzleti működésen. A legtöbb hiba itt nem rosszindulatból, hanem laza folyamatokból, hézagos felelősségből és nem kellően ellenőrzött kiszervezésből ered.
Dokumentált, kontrollált selejtezési folyamat: az adatbiztonság ott kezdődik, ahol a napi működés véget ér.
Miért különösen érzékeny ez a magyar közép- és nagyvállalati szegmensben?
A nagyobb szervezeteknél a kockázat tipikusan nem azért nő meg, mert a vezetés ne értené az adatbiztonság fontosságát. Inkább azért, mert az eszközök kivonása több szervezeti egységet, telephelyet, külső partnert és döntési pontot érint. Minél nagyobb a szervezet, annál könnyebb azt feltételezni, hogy „valaki biztosan kezeli” ezt a területet.
Ez a feltételezés különösen veszélyes. Egy telephelybezárás, egy rendszerkivezetés, egy irodaköltözés vagy egy eszközfrissítési projekt során gyakran éppen az időnyomás, a felelősségi határok és a külső partnerek koordinációja miatt keletkezik kockázat. A későbbi kérdés pedig rendszerint nem az lesz, hogy történt-e selejtezés, hanem az, hogy az egész folyamat visszanézhető, ellenőrizhető és igazolható volt-e.
Magyar vállalati környezetben ez külön jelentőséget kap, mert a megfelelési elvárások és az auditálhatóság iránti igény egyszerre erősödik. A felsővezetés számára ezért a helyes kérdés ma nem az, hogy van-e erre szolgáltató vagy technológia, hanem az, hogy a vállalat rendelkezik-e olyan működési renddel, amely a selejtezéstől az adattörlésen át a megsemmisítés igazolásáig végig egyértelmű.
Mi számít jó vezetői gyakorlatnak?
A jó gyakorlat nem az eszköz kiválasztásánál, hanem a felelős működési rendnél kezdődik. Egy felsővezetőnek nem adattörlő szoftvert kell választania, hanem olyan rendszert kell megkövetelnie, amelyben az adatéletciklus vége ugyanolyan fegyelmezetten kezelt, mint a működés többi kritikus pontja.
Ennek a gyakorlatnak legalább öt alapelve van.
1. Egyértelmű felelősségi rend.
Az eszközkivonásnak és adattörlésnek legyen világos tulajdonosa. Ne maradjon szürke zóna a beszerzés, az IT, az üzemeltetés, a compliance és a külső partner között.
2. Naprakész nyilvántartás.
A szervezet tudja pontosan, milyen eszközök kerülnek kivonásra, hol vannak, milyen adatot hordozhatnak, és mi történik velük a folyamat egyes szakaszaiban.
3. Szabályozott törlési vagy megsemmisítési eljárás.
Ne improvizáció, helyi gyakorlat vagy szóbeli rutin alapján történjen az adathordozók kezelése. A minősített szoftveres adattörlés vagy a fizikai megsemmisítés szabályozott keretek között legyen végrehajtva. A döntéshez segítséget nyújthat a fizikai megsemmisítés és tanúsított adattörlés közötti választás szempontjainak áttekintése.
4. Igazolható partnerkezelés.
Ha külső fél végzi az elszállítást, adattörlést vagy fizikai megsemmisítést, annak szerződéses, működési és bizonyítási oldala is legyen rendezett.
5. Auditálhatóság.
A folyamat eredménye utólag is legyen bemutatható. Az utólagos igazolhatóság ma már nem adminisztratív kényelmi elem, hanem vezetői védelem is.
Mit mutat a vállalati gyakorlat?
A Data Destroy több mint tíz éves tapasztalata alapján a kis-, közép- és nagyvállalati környezetben a leggyakoribb hiányosság nem az, hogy a szervezetek ne tekintenék érzékenynek az adataikat. A gyenge pont jellemzően ott jelenik meg, ahol az eszköz már kikerült a napi működés fókuszából, ezért a folyamat fegyelme is lazulni kezd.
A vállalatok többségénél nem technológiai, hanem irányítási hiányosságok okozzák a legnagyobb bizonytalanságot. Nincs minden szereplő számára egyértelmű felelősségi lánc, eltérő gyakorlatok működnek telephelyenként, és nem mindig készül olyan igazolási rend, amely audit vagy incidens esetén kellő biztonságot adna. Ezért válik a selejtezés sokszor jóval nagyobb vezetői kérdéssé, mint amilyennek elsőre látszik.
Vezetői összegzés
A leselejtezés nem logisztikai utómunka, hanem az adatkezelés utolsó, vezetői szempontból is releváns szakasza. Ahol az adattörlés vagy megsemmisítés nem igazolható, ott a kockázat valójában nincs lezárva. A vezetés feladata ezért nem a technológiai részletek eldöntése, hanem egy olyan működési rend megkövetelése, amelyben a felelősség egyértelmű, a végrehajtás nyomon követhető, az eredmény pedig bizonyítható.
Gyakori kérdések
Miért vezetői kérdés a leselejtezett IT-eszközök kezelése?
Mert a kockázat nem ér véget az eszköz használatának lezárásával. Ha a selejtezés, adattörlés vagy megsemmisítés nem ellenőrizhető és nem igazolható, abból üzleti, reputációs és megfelelési kockázat keletkezhet, amely már egyértelműen vezetői relevanciájú ügy.
Elég a fájlokat törölni vagy a meghajtót formázni?
Nem. A hagyományos törlés vagy formázás önmagában nem biztosítja, hogy az adatok ne legyenek visszaállíthatók. Vállalati környezetben a megfelelő megoldás mindig szabályozott, igazolható és a kockázati környezethez illesztett eljárást jelent.
Mely eszközök jelenthetnek kockázatot selejtezéskor?
Nemcsak a szerverek és a merevlemezek. Laptopok, SSD-k, mobiltelefonok, táblagépek, hálózati tárolók, nyomtatók, multifunkciós eszközök és más adathordozók is tartalmazhatnak üzleti vagy személyes adatokat.
Mi a legnagyobb hiba a vállalati gyakorlatban?
Az, amikor a selejtezést adminisztratív mellékfolyamatként kezelik. Ilyenkor sokszor nincs egyértelmű felelős, nincs zárt folyamat, nincs megfelelő igazolás, és a szervezet valójában nem tudja bemutatni, mi történt az adatokkal.
Mit érdemes elsőként felülvizsgálni?
A teljes eszközkivonási és selejtezési folyamatot: ki dönt, ki hagy jóvá, hogyan történik az adattörlés vagy megsemmisítés, milyen igazolás készül róla, és mit vállal a külső partner. A legtöbb kockázat nem technológiai, hanem folyamat- és felelősségi hiányosságból ered.
A Windows 10 támogatásának 2025. október 14-imegszűnése komoly kockázatokat jelent.
Mit tehetnek a felhasználók a biztonság fenntartásáért?
2025. október 14-én hivatalosan véget ér a Windows 10 operációs rendszer támogatása. Ez azt jelenti, hogy a Microsoft többé nem biztosít biztonsági frissítéseket, hibajavításokat vagy technikai támogatást ehhez a verzióhoz. Bár a rendszer működőképes marad, a felhasználók és vállalatok számára komoly adatbiztonsági és működési kockázatok jelennek meg. A kérdés az, hogyan lehet felkészülni erre a változásra,
és mit érdemes tenni a zökkenőmentes átállás érdekében.
A támogatás megszűnésének folyamata
A Microsoft minden operációs rendszer esetében előre meghatározza a támogatási időszak végét. A Windows 10 esetében ez a dátum 2025. október 14., amelyet a gyártó évekkel ezelőtt nyilvánosságra hozott. A folyamat részeként a rendszer a megszűnésig folyamatosan kapja a havi biztonsági frissítéseket, de az időpont elérését követően ezek teljesen leállnak.
A támogatás vége után a Windows 10 ugyan továbbra is használható, de egyre inkább elavulttá válik. Az új hardverek és szoftverek már nem lesznek kompatibilisek, a rendszer pedig fokozatosan háttérbe szorul. A felhasználóknak ezért időben kell dönteniük arról, hogy frissítenek egy újabb operációs rendszerre, vagy alternatív megoldást keresnek.
Extended Security Updates program
Bizonyos vállalati ügyfelek számára a Microsoft úgynevezett Kiterjesztett Biztonsági Frissítéseket (Extended Security Updates – ESU) kínál. Ez ideiglenes védelmet nyújt, mivel a programon keresztül meghosszabbítható a biztonsági frissítések elérhetősége. Fontos azonban tudni, hogy ez csak átmeneti megoldás, és hosszú távon nem helyettesíti az újabb operációs rendszerre való áttérést.
Felhasználókra gyakorolt hatások
Biztonsági kockázatok
A legnagyobb veszélyt a biztonsági frissítések megszűnése jelenti. Minden nap új sebezhetőségeket fedeznek fel, amelyeket a támadók kihasználhatnak. Amíg a rendszer támogatott, ezekhez gyorsan érkeznek javítások, ám a támogatás megszűnése után a Windows 10 nyitott célponttá válik a kiberbűnözők számára. Ez adatvesztéshez, zsarolóvírusokhoz vagy jogosulatlan hozzáféréshez vezethet, különösen akkor, ha hiányzik a biztonságos adattörlés gyakorlata.
Kompatibilitási problémák
A szoftver- és hardvergyártók is követik a Microsoft iránymutatását. Amint a Windows 10 kikerül a támogatási időszakból, egyre kevesebb alkalmazás és eszköz lesz kompatibilis vele. Ez nemcsak otthoni felhasználóknak jelent gondot, hanem a vállalatoknak is, ahol az üzletmenet folytonosságát veszélyezteti egy elavuló rendszer.
Stabilitás és teljesítmény
A támogatás megszűnése után előfordulhat, hogy a Windows 10 bizonyos funkciói idővel kevésbé stabilan működnek. Új driverek hiányában egyes hardverelemek hibásan működhetnek, a kompatibilitási gondok pedig fokozatosan lassítják és bizonytalanná teszik a rendszert.
Lehetséges megoldások
Frissítés Windows 11-re
A legkézenfekvőbb megoldás a Windows 11-re való frissítés. Ez a rendszer hosszabb távú támogatást kínál, modernebb biztonsági mechanizmusokkal és fejlettebb funkciókkal rendelkezik. Amennyiben a számítógép hardvere megfelel a Windows 11 követelményeinek, érdemes időben megtenni a váltást, így a adatbiztonság is garantálható.
Új eszköz beszerzése
Sok régebbi számítógép nem alkalmas a Windows 11 futtatására. Ebben az esetben indokolt lehet új eszköz vásárlása. Bár ez nagyobb beruházást igényel, hosszú távon biztonságosabb és költséghatékonyabb megoldás, mint egy elavult rendszer használata. Az elavult gépek felelős kezelése, például informatikai hulladék szakszerű feldolgozása is fontos szempont.
Alternatív operációs rendszerek
Vannak, akik a Windows helyett más operációs rendszerekre, például Linux disztribúciókra váltanak. Ezek gyakran kevesebb erőforrást igényelnek, és hosszabb távon is stabil, biztonságos működést kínálnak. Bár a váltás tanulási görbével jár, bizonyos környezetekben hatékony alternatíva lehet.
Biztonsági mentések és óvintézkedések
Akár Windows 10 marad a gépen, akár más rendszerre történik az átállás, kiemelten fontos a rendszeres biztonsági mentés. Ez védi a felhasználói adatokat egy esetleges támadás vagy rendszerhiba esetén. Emellett ajánlott megbízható vírusirtó és tűzfal használata, valamint a tudatos internethasználat is.
Döntéshozói szempontok vállalati környezetben
A cégek számára a Windows 10 támogatásának megszűnése nem csupán technológiai, hanem üzleti kérdés is. Egy elavult rendszer fokozott kockázatot jelenthet az üzleti adatokra nézve, valamint megfelelőségi problémákat okozhat, például a GDPR követelmények kapcsán. Ezért a döntéshozóknak már most el kell kezdeniük a migrációs stratégiák kidolgozását, a költségvetés tervezését, és a munkatársak felkészítését. A biztonságos adattörlés és az eszközök megfelelő leselejtezése szintén kulcskérdés a vállalatok számára.
Összefoglalás
A Windows 10 támogatásának megszűnése 2025. október 14-én mérföldkő lesz az operációs rendszert használók életében. Bár a rendszer továbbra is működni fog, a frissítések hiánya miatt egyre nagyobb adatbiztonsági és működési kockázatokkal kell számolni. Az átállás Windows 11-re, új hardver beszerzése vagy alternatív rendszerek kipróbálása mind olyan lehetőségek, amelyekkel a felhasználók és vállalatok biztosíthatják adataik védelmét és az üzletmenet folytonosságát. A legfontosabb üzenet: nem szabad az utolsó pillanatra hagyni a döntést. Aki időben lép, az minimalizálhatja a kockázatokat és hosszú távon stabil, biztonságos környezetet teremthet.
Készüljön fel időben, és gondoskodjon arról, hogy az átállás ne veszélyeztesse sem a mindennapi munkát, sem az értékes adatokat.
Wipeout: Az adatmegsemmisítő malware térhódítása és védekezési stratégiák
A cikk bemutatja az adatmegsemmisítő malware támadásokat, esettanulmányokat és gyakorlatias védekezési ajánlásokat, hogy szervezete biztonságban legyen.
Amikor egy szervezetet kibertámadás ér, gyakran az adatok titkosítása és zsarolás az elsődleges veszély. Azonban az utóbbi években egyre nagyobb kockázatot jelent az adatmegsemmisítő malware, amely nem csak zárolja, hanem véglegesen törli a kritikus információkat. A megsemmisítés következtében ügyféladatok, pénzügyi jelentések és szerződések tűnhetnek el visszafordíthatatlanul, még akkor is, ha a váltságdíjat kifizetik. A cikk bemutatja a legfontosabb jellemzőket, esettanulmányokat és a megelőzést szolgáló gyakorlatokat annak érdekében, hogy a döntéshozók és informatikusok felkészülhessenek ezekre a támadásokra.
Mi az adatmegsemmisítő malware?
Az adatmegsemmisítő malware olyan kártékony szoftver, amelynek kizárólagos célja az adatok végleges törlése vagy korrupciója. Ellentétben a hagyományos ransomware-rel, amely az adatokat titkosítja és váltságdíjat követel a dekódolásért, az adatmegsemmisítő malware a fájlok helyreállíthatatlan törlésére összpontosít. A támadás során a rosszindulatú kód felismeri és felülírja az adattárolókon található fájlokat, gyakran több szálon párhuzamosan futtatva a folyamatot. A végeredmény: a vállalat nem képes visszaállítani az elveszett információkat, még akkor sem, ha hajlandó lenne fizetni a támadóknak.
Az adatmegsemmisítés és a hagyományos zsarolóvírus közötti különbség
Míg a zsarolóvírus (ransomware) célja a pénzügyi haszonszerzés adatvisszaváltás útján, az adatmegsemmisítő malware „hide and destroy” stratégiát alkalmaz: előbb behatol a hálózatba, felderíti a kritikus fájlokat, majd gyors ütemben törli vagy sérti meg azokat. A fizetési igény ebben az esetben irreleváns, hiszen az adatok már helyreállíthatatlanok. A vállalatok emiatt úgy érezhetik, hogy a támadás második fázisa a legpusztítóbb, hiszen hiába rendelkeznek biztonsági mentésekkel, a támadó akár a mentési rendszereket is megcélzhatja, vagy a mentéseket is tönkreteheti.
Ismert esettanulmányok
A legelső nagy port kavart támadás a 2012-es Shamoon incidens volt, amikor a világ egyik legnagyobb olajvállalata, a Saudi Aramco, illetve a RasGas több mint 30 000 számítógépe esett áldozatul. A kártevő fertőzött gépről gépre terjedve végleg eltávolította az adatokat a hálózaton belül. Két évvel később a Sony Pictures szenvedte el a következményeket, amikor egy Észak-Koreához köthető csoport „wiper” kártevőt juttatott be a rendszerekbe, és nemcsak átmeneti leállást, hanem nagy mennyiségű bizalmas anyag kiszivárgását is eredményezte. A 2017-es NotPetya támadás eredetileg Ukrajna kritikus infrastruktúráját célozta, de globális kihatása világszerte rendszerleállásokat okozott, és súlyos pénzügyi károkat generált.
Motivációk és hatások
Az adatmegsemmisítő malware mögött álló indíték gyakran politikai vagy geopolitikai. A támadók infrastrukturális káoszt kívánnak előidézni, gazdasági folyamatokat akarnak megbénítani vagy hírnevüknek ártani. Ezen túlmenően belső rosszakarat vagy elégedetlenség is kiválthatja az incidenseket: egy korábbi munkavállaló vagy rendszergazda akár bosszúból is üzembe helyezhet „wiper” kódot. Az okozott kár mértéke a vállalat méretétől és a védekezés hatékonyságától függ: az adatvesztés nemcsak pénzügyi veszteséget, hanem jogi következményeket és komoly reputációs károkat is eredményezhet.
Kockázatcsökkentés és védekezés
Az adatmegsemmisítő malware elleni védekezés több szinten történik. Először is rendszeres és elkülönített biztonsági mentésekre van szükség: a backup példányokat fizikailag vagy hálózatilag izolált eszközökön kell tárolni, lehetőleg olyan médiákon, amelyek nem állandóan kapcsolódnak a fő hálózathoz. Másodszor folyamatosan monitorozni kell a hálózati forgalmat és a szerverek folyamatait kiberfenyegetés-elemző eszközökkel, és valós idejű riasztásokat kell beállítani a gyanús viselkedéshez. Harmadszor erős incident response (incidenskezelési) tervre van szükség: a szervezetnek „playbookot” kell kidolgoznia, amely tartalmazza a fertőzött rendszerek gyors izolálását, a helyreállítási forgatókönyveket és a rendszeres gyakorlatokat. Végül, de nem utolsósorban, oktatási programokat kell szervezni a munkatársak számára, hogy ismerjék a phishing, a social engineering és más támadási módszerek elleni védekezés lépéseit.
Összefoglalás
Az adatmegsemmisítő malware egyre gyakrabban alkalmazott eszköz a támadók kezében, hiszen a pusztító képessége révén akár egyetlen sikeres betöréssel is helyreállíthatatlan károkat okozhat. A hagyományos zsarolóvírusokkal szemben itt nem a váltságdíj kifizetése, hanem a megelőzés és a helyreállítható mentési stratégiák kialakítása a kulcs. A szervezeteknek több rétegű védelmet kell kiépíteniük – elkülönített biztonsági mentésekkel, folyamatos monitorozással, incidenskezelési tervvel és képzésekkel. Csak így lehet csökkenteni a súlyos adatvesztés kockázatát, és megőrizni az üzletmenet folytonosságát. Érdemes rendszeresen felülvizsgálni és gyakorolni a vészhelyzeti forgatókönyveket, hogy a csapat bármelyik pillanatban készen álljon a gyors reagálásra.
Adathordozó megsemmisítés és újrahasznosítás a vállalati adatkezelési szabályzatban
A biztonságos adathordozó megsemmisítés és adatmegsemmisítés módszerei vállalatok számára
Gyakorlati útmutató informatikusoknak és döntéshozóknak a szabványos adathordozó megsemmisítés és adatmegsemmisítés lépéseiről, dokumentációjáról és jogi követelményeiről.
Az adathordozó megsemmisítés és adatmegsemmisítés tervezése és kivitelezése kulcsfontosságú a vállalati adatbiztonság és a jogi megfelelés szempontjából. A szabályzatok betartása csökkenti a kiszivárgás, az adatsértés és a jelentős bírságok kockázatát. A megfelelően dokumentált, minősített szoftveres törlés és a tanúsítvánnyal alátámasztott fizikai megsemmisítés kombinációja biztosítja, hogy a személyes és üzleti adatok véglegesen visszaállíthatatlanul törlésre kerüljenek. A cikk bemutatja a legfontosabb technikai, jogi és fenntarthatósági szempontokat.
Szakmai példák: mi történhet jó és rossz adatmegsemmisítési gyakorlat esetén?
Egy pénzügyi szolgáltató súlyos hibát követett el, amikor tapasztalatlan külső cégre bízta a leselejtezett szerverei adathordozó megsemmisítését. Több ezer merevlemez maradt ép állapotban, így szakértők speciális helyreállító eszközökkel hozhatták vissza az érzékeny adatokat – ez 15 millió ügyfél adatait tette kockára, és 35 millió dolláros bírságot eredményezett. Más szervezeteknél a belső, képzett csapat és akkreditált laboratórium közös munkája biztosította a minősített, tanúsítványokkal megerősített fizikai megsemmisítést és auditálhatóságot.
Egy másik esetben egy pénzintézet a megbízható Blancco szoftverrel végezte el a többszörös felülírásos logikai törlést, majd aprítógéppel darálta a hibás merevlemezeket, SSD-ket mechanikusan aprította. Minden lépést jegyzőkönyvben rögzítettek, így audit során hiteles bizonyítékkal szolgálták a törlési folyamatot, elkerülve az adatvédelmi incidenseket és erősítve ügyfeleik bizalmát.
Technikai részletek: fizikai vs. logikai adatmegsemmisítés
Fizikai megsemmisítés
A fizikai adatmegsemmisítés során az adathordozót véglegesen elpusztítják: merevlemezek darálása, lemeztányérok átfúrása, SSD-k mechanikus aprítása. Mágneses adathordozóknál a demagnetizáció (degauss) alkalmazása is elterjedt, amely erős mágneses térben rendezetlenné teszi a tároló részecskéit. Ez a módszer garantálja, hogy az adatok visszaállítása lehetetlen, azonban az eszköz újrahasznosítását kizárja.
Logikai (szoftveres) törlés
A logikai adatmegsemmisítés során minősített adattörlő programok (például Blancco, open-source erasure-tools) többszörös felülírást hajtanak végre véletlenszerű vagy szabványos bitmintákkal (DoD 5220.22-M, NIST SP 800-88). SSD-k esetén a kontrollertools vagy a vezérlőcsip szintű parancsok (Secure Erase) kombinálása biztosítja a NAND-flash speciális tulajdonságai miatt szükséges teljes törlést. A logikai módszer előnye az eszköz újrahasznosíthatósága; hátránya, hogy dokumentáció és független validálás nélkül nem garantált a visszaállíthatatlanság.
Legjobb gyakorlatok és döntéshozói szempontok
A vállalati adatmegsemmisítési szabályzatban rögzíteni kell a felelősségi köröket, a chain of custody-t és az ellenőrzési pontokat. Javasolt rendszeres belső és külső auditokkal felülvizsgálni a folyamatokat, valamint képzéseket szervezni az IT- és biztonsági csapatoknak.
Chain of custody: minden adathordozó mozgását és kezelését naplózni kell a folyamatos nyomon követés érdekében.
Törlési jegyzőkönyv: minden törlési művelethez részletes jegyzőkönyvet és tanúsítványt kell készíteni, amely auditálható és hitelesíthető.
Szállítói megállapodások: akkreditált, ISO/IEC 27001 tanúsítvánnyal rendelkező szolgáltatókkal érdemes szerződni az adathordozó megsemmisítésre.
Kockázatelemzés: az érzékeny adatokat tartalmazó eszközök esetében magasabb biztonsági szinteket kell alkalmazni.
Jogszabályi követelmények: GDPR és nemzetközi előírások
A GDPR 17. cikke (“elfeledtetéshez való jog”) és az adatminimalizálás elve kötelezi a vállalatokat az adatok törlésére, ha az adattárolás célja megszűnt. Magyarországon az Infotv. kiegészíti a GDPR követelményeit, előírva a jegyzőkönyv, tanúsítvány és belső audit dokumentálását. A pénzügyi ágazatban a GLBA, az egészségügyben a HIPAA, valamint a NIST 800-88 ajánlásai is részletes útmutatót adnak a biztonságos adatmegsemmisítésre.
Az ISO/IEC 27001 Annex A.11.2.7 kontrollja az eszközök biztonságos megsemmisítését írja elő; az ISO/IEC 27040 szabvány pedig részletes utasításokat tartalmaz mind logikai, mind fizikai eljárásokra vonatkozóan.
Fenntarthatósági szempontok és újrahasznosítás
2022-ben világszerte 62 millió tonna e-hulladék keletkezett, s a Nemzetközi E-hulladék Szövetség előrejelzése szerint ez 2030-ra 82 millió tonnára nő. Mindössze 22 % kerül újrahasznosításra, pedig az e-hulladék évente 90 milliárd dollárnyi értékes nyersanyagot tartalmaz.
Élettartam-hosszabbítás: moduláris hardverek, rendszeres karbantartás és szoftverfrissítés.
Újrahasznosítás: akkreditált e-hulladék-újrahasznosítók bevonása a fémek és veszélyes anyagok biztonságos visszanyeréséhez.
Adományozás: működő, de lecserélt eszközök felújítása és adattörlés utáni átadása oktatási vagy non-profit szervezeteknek.
Gyártói visszavétel: WEEE-irányelv szerinti gyártói csereprogramok kihasználása.
Összefoglalás
A szabványos adathordozó megsemmisítés és adatmegsemmisítés együttes alkalmazása csökkenti az adatvédelmi kockázatokat, biztosítja a jogi megfelelést (GDPR, NIST, ISO/IEC) és támogatja a fenntarthatósági célokat. A minősített szoftveres törlés, a tanúsítvánnyal igazolt fizikai megsemmisítés, a részletes törlési jegyzőkönyvek, valamint a belső és külső auditok integrálása a vállalati folyamatokba erősíti az üzleti bizalmat, miközben csökkenti a környezeti terhelést. Vegye fontolóra szolgáltatóink auditált e-hulladék-újrahasznosító partnereit és építse be a törlési jegyzőkönyvet a belső szabályzataiba még ma!
Ha mélyebben érdekli az adatmegsemmisítés alapelveinek és lépéseinek áttekintése, tekintse meg korábbi írásunkat: Mi is az az adatmegsemmisítés?, ahol részletesen bemutatjuk a folyamatokat és legjobb gyakorlatokat.
Az RSA titkosítás kihívásai a kvantumszámítás korában
Kína kvantumszámítással feltörte az RSA titkosítást, alapjaiban rengetve meg a globális adatbiztonságot. A cikk bemutatja az áttörés következményeit és a felkészülési lépéseket.
A közelmúltban Kína bejelentette, hogy kvantumszámítás segítségével sikeresen feltörte az RSA titkosítást, amely a digitális kommunikáció és az adatvédelem sarokkövét jelenti. Ez az áttörés nem csupán elmélet—valódi, laboratóriumi környezetben demonstrálták, hogy a több száz qubitből álló kvantumszámítógépek képesek törni a hagyományos, 2048 bites RSA kulcsokat is. Ezzel egy új korszak küszöbén állunk, amely a már jól bevált RSA titkosítás helyett postkvantum megoldásokat követel meg.
Kína kvantumszámítással feltörte az RSA-t – veszélyben a globális adatbiztonság
A kvantumszámítás forradalma és Kína áttörése
A kvantumszámítás olyan új paradigma a számítástechnika világában, mely a klasszikus bitek helyett qubitek (kvantumbitek) segítségével dolgozik. A qubitek szuperpozíciója és összefonódása speciális kvantumalapú algoritmusok számára nyitja meg az ajtót, amelyek exponenciálisan gyorsabbak lehetnek bizonyos feladatok—például a számok faktorizációja—megoldásában. Shor-algoritmusa 1994-ben már elméleti alapot adott, de csak a közelmúltban vált lehetővé a kísérleti megvalósítás. A kínai kutatók legújabb kvantumszámítógépe több száz, hibakorrekcióra optimalizált qubitet használ, amellyel egy 2048 bites RSA kulcsot mindössze néhány óra alatt lebontottak.
RSA titkosítás és a kvantumkockázat
Az RSA (Rivest–Shamir–Adleman) algoritmus a nyilvános kulcsú titkosítás egyik legismertebb formája. Működése azon a matematikai tényen alapszik, hogy két nagy prímszám szorzatának visszafejtése klasszikus eszközökkel rendkívül idő- és erőforrás-igényes. A kvantumszámítás azonban Shor-algoritmusa révén radikálisan lerövidítheti ezt az időt. Amennyiben a kvantumszámítógépek elérik a szükséges qubit-számot és a hibaarányt a gyakorlatban is kontroll alá tudják vonni, az RSA kulcsok már nem nyújtanak megfelelő védelmet. Ez a kockázat nem csupán elméleti: a kínai áttörés rámutat arra, hogy a gyakorlatban is közelebb kerültünk a postkvantum korban elengedhetetlen biztonsági átálláshoz.
Globális biztonsági következmények
A kvantumszámítási áttörés közvetlenül fenyegeti a pénzügyi tranzakciók, a kormányzati kommunikációk és a felhőalapú szolgáltatások titkosítását. A pénzintézetek által használt SSL/TLS kapcsolatok, VPN-alagutak és digitális aláírások mind kockázat alá kerülnek, amennyiben az RSA kulcsok kompromittálódnak. Ugyancsak veszélybe kerülhetnek az egészségügyi adatok és a kritikus infrastruktúrák vezérlőrendszerei, ahol az adatvédelem és integritás kiemelt fontosságú.
A helyzet súlyosságát jelzi, hogy több nemzetközi szervezet már sürgeti a postkvantum kriptográfia szabványosítását. Az Európai Unió és az Egyesült Államok kormányzati ügynökségei közös kvantumbiztonsági irányelveket dolgoznak ki, míg a NATO-tagállamok közötti együttműködés is megerősödött a kvantumkockázatok kezelése érdekében.
Vállalati és állami felkészülés
Kockázatelemzés és prioritások meghatározása
A szervezeteknek elsőként fel kell térképezniük, mely rendszerek és adatfolyamok használják az RSA titkosítást. A kockázatelemzés során érdemes:
Azonosítani az RSA-alapú kulcskezelő rendszereket és TLS/SSL konfigurációkat.
Felmérni a kritikus tranzakciók és adatbázisok kvantumkitettségét.
Prioritási sorrendet felállítani a beavatkozás mértéke szerint.
Postkvantum prototípusok tesztelése
Az IT-biztonsági döntéshozóknak együtt kell működniük a beszállítókkal és szolgáltatókkal annak érdekében, hogy pilot környezetben már most kipróbálják a lattice-alapú, kód-alapú vagy polinomiális többváltozós megoldásokat. A kulcsforgatás rendszeres gyakorlata és a hibrid módszerek bevezetése — ahol a meglévő RSA mellé postkvantum algoritmusokat párosítunk — segíthet a zökkenőmentes átállásban.
Szabályozási és jogi kihívások
A kvantumszámítás jogi keretrendszere még kialakulóban van. Számos ország adatvédelmi törvénye (pl. GDPR) előírja, hogy a személyes adatok védelme “az állapot-of-the-art technológiának” feleljen meg. A postkvantum biztonsági követelmények beemelése ebbe a szabályozásba sürgető feladat: a kriptográfiai algoritmusok minősítését és auditálását új protokollok szerint kell elvégezni, hogy megfeleljenek a kvantumtámadások elleni védelem normáinak.
Technológiai átállási stratégiák
A gyors és biztonságos átállás érdekében a szervezeteknek érdemes a következő stratégiákat alkalmazni:
Hibrid titkosítás: RSA titkosítás mellé bevezetni postkvantum algoritmusokat.
Fokozatos kulcsváltás: 2025–2030 között lépésenként lecserélni a kulcsokat.
Szabványosítás nyomon követése: NIST és ISO javaslatok követése.
Jövőbeli kilátások: postkvantum titkosítás
A postkvantum titkosítás olyan algoritmusokat ölel fel, melyek ellenállnak a kvantumszámítógépek által kínált faktorizációs és diszkrét logaritmus-problémák gyorsításának. Nemzetközi szervezetek, mint az NIST, már folyamatban lévő szabványosítási versenyt folytatnak ezekre a módszerekre. A közeljövőben várhatóan több protokoll ér el gyakorlati érettséget, amelyek az internetes forgalom, az IoT-eszközök és a felhőszolgáltatások terén is alkalmazhatók lesznek.
Összefoglalás
A kínai kutatók kvantumszámítási áttörése világossá teszi, hogy az RSA titkosítás hosszú távon nem nyújt elegendő védelmet a kritikus információk számára. A szervezeteknek fel kell mérniük a kvantumkockázatot, és meg kell tervezniük a postkvantum kriptográfiai átállást. A tudatos felkészüléssel minimalizálhatók a biztonsági rések, és megőrizhető az adatok bizalma. Azonnali lépés: indítsa el a kvantumbiztos titkosítási auditot szervezeténél, és kezdje el a postkvantum protokollok tesztelését!
Globális perspektívák: Miért fontos mindenki számára az amerikai kritikus infrastruktúrák kiberbiztonsága?
A „kritikus infrastruktúra” kifejezés hallatán legtöbbször hídakra, erőművekre vagy vasúti rendszerekre gondolunk. De mi a helyzet azokkal a mindennapos jelenetekkel, mint amikor egy gyermek ivóvizet iszik egy parki csapból, vagy amikor egy tanár mesterséges intelligenciát használ az oktatás során? Vagy amikor repülőre szállunk egy hosszú hétvége alkalmával?
Ezek a tevékenységek olyan rendszereken alapulnak, amelyek egyre inkább digitalizálódnak és gyakran olyan hálózatokra támaszkodnak, amelyeket nem elsősorban a biztonsági szempontok figyelembevételével terveztek meg.
Olyan területek, mint az energia, az egészségügy, a vízellátás és a mezőgazdaság kritikus infrastruktúrái ki vannak téve a kibertámadásoknak, miközben a támadók egyre fejlettebb technikákat fejlesztenek.
Az év elején az amerikai kiberbiztonsági hatóságok figyelmeztettek az államilag támogatott kibertámadókra, amelyek Kína érdekeit szolgálják, beleértve a jól ismert Volt Typhoon csoportot, amely folyamatosan hozzáfér az USA kritikus infrastruktúráihoz, és készül arra, hogy zavaró tevékenységeket hajtson végre egy lehetséges konfliktus esetén.
A Környezetvédelmi Hivatal (EPA) nemrégiben arra figyelmeztette a vízellátó rendszereket, hogy azonnali lépéseket tegyenek az ivóvíz biztonságának megőrzése érdekében. Az EPA szerint a kibertámadások károsíthatják a vízellátó rendszerek működését, zavarhatják a vízkezelést vagy tárolást, illetve veszélyes szintre emelhetik a vegyszerek koncentrációját a vízben.
Nem minden amerikai kritikus infrastruktúra képes ellenállni és helyreállni egy kibertámadás után. Egyes tulajdonosoknak több forrásra van szükségük a kiberbiztonság és az ellenálló képesség javításához. Jen Easterly, a Kiberbiztonsági és Infrastruktúra Biztonsági Ügynökség igazgatója a Kongresszus előtt hangoztatta, hogy „sajnos a kritikus infrastruktúránkat alátámasztó technológia alapvetően biztonságtalan, mivel évtizedeken keresztül a szoftverfejlesztők nem voltak felelősségre vonhatóak a hibás technológiákért.”
A vállalatoknak magas színvonalon kell eljárniuk a digitális termékek fejlesztésekor. Az Biden-Harris adminisztráció ezen a téren tett erőfeszítései dicséretre méltóak, azonban a kormányzat sürgős figyelmeztetései arra sarkallnak, hogy gyors lépéseket tegyünk a kiber-fizikai ellenállóképesség javítása érdekében.
A Colonial Pipeline esete rámutatott a kiberbiztonság fejlesztésének fontosságára. Fontos, hogy a figyelem a rendszerek szegmentálására irányuljon, így az üzleti rendszerek kompromittálása ne befolyásolja a szélesebb működést.
Szükség van egy alapvető paradigmaváltásra, amely túlmutat a digitális biztonságon és a valódi ellenállóképességre összpontosít. Ez a termékek és szolgáltatások tervezésével és építésével kezdődik, olyan rendszerekkel, amelyek támogatják a kritikus infrastruktúrákat abban, hogy a váratlan helyzetekben is a várt módon működjenek.
Képzeljük el, hogy egy kórház folyamatosan működik az internetkapcsolat megszakadása vagy egy zsarolóvírusos támadás alatt; egy vízmű kézi kezelése folyik, miközben a hatóságok vizsgálják a gyanús tevékenységeket egy tisztítóműnél; vagy egy villamos hálózat moduláris módon helyreállítható egy váratlan, széles körű áramkimaradás során egy viharban.
Eljuthatunk ide. El kell jutnunk ide.
A Tudományos és Technológiai Tanácsadó Testület nemrégiben kiadott egy jelentést, amely javasolt intézkedéseket tartalmaz minden kritikus infrastruktúra rendszer ellenállóképességének elérésére, beleértve a teljesítménycélok meghatározását, a kutatás és fejlesztés koordinálását, a kormányzati kapacitás javítását a kiber-fizikai ellenállóképesség növelése érdekében a Szektori Kockázatkezelési Ügynökségeken keresztül, valamint a tulajdonosok/üzemeltetők felelősségének növelését a kiber-fizikai ellenállóképesség terén.
A kiberhivatalok folyamatos figyelmeztetése arra utal, hogy sürgősen szükség van infrastruktúránk megerősítésére és tartós ellenállóképességünk megteremtésére. A támadások egyre csak növekednek. Készen állnak a rendszereink?
Infostealer támadások 2024-ben: hogyan védd meg céges adataidat?
Infostealer támadások 2024-ben: 16 milliárd fiókadat szivárgott ki – hogyan védekezzünk?
Több milliárd hitelesítési adat került nyilvánosságra infostealer kártevők révén – mutatjuk, mit tehet vállalat és magánszemély a védelem érdekében.
2024-ben minden korábbinál súlyosabb kibertámadás-sorozatra derült fény: infostealer típusú kártevők révén több mint 16 milliárd hitelesítési adat szivárgott ki. E-mail címek, jelszavak, hozzáférési tokenek, felhasználónevek és cookie-k kerültek bűnözők kezébe. Az érintett rendszerek között megtalálható a Google, Facebook, Apple, GitHub, Telegram, VPN szolgáltatók és kormányzati portálok is. Ez a szivárgás olyan méretű, hogy a biztonsági szakértők szerint újra kell gondolnunk az adatbiztonsági protokollokat – különösen a használt IT-eszközök selejtezése és az adathordozók megsemmisítése terén.
Mi az infostealer és hogyan működik?
Az infostealer – más néven „információlopó” – egy különösen alattomos típusú rosszindulatú szoftver, amelyet kifejezetten arra terveztek, hogy a fertőzött számítógépeken, laptopokon vagy akár szervereken tárolt érzékeny adatokat automatikusan összegyűjtse. Működése során először rejtőzködik: láthatatlanul fut a háttérben, és észrevétlenül kutatja át a rendszerben elmentett jelszavakat, böngészési előzményeket, hitelesítési tokeneket, e-mail kliensben mentett bejelentkezési adatokat, letöltött dokumentumokat, valamint kriptotárcák privát kulcsait. Ezek az információk – amelyek egyébként a felhasználó mindennapi munkájához elengedhetetlenek – könnyen visszaélések tárgyává válhatnak, ha rossz kezekbe kerülnek.
Miután a malware sikeresen összegyűjtötte a kívánt adatokat, titkosított kapcsolaton keresztül továbbítja őket egy távoli szerverre vagy közvetlenül a támadó vezérlőközpontjába. Innen a bűnözők az adatcsomagokat különböző célokra használhatják fel: fiókok feltörésére, pénzügyi visszaélésekre, személyre szabott adathalász kampányokra, vagy értékesítésre a darknet piacterein. A terjesztés módja is végtelenül változatos: leggyakrabban adathalász e-mail csatolmányokban (például álcázott Office-dokumentumokban) bukkannak fel, de fertőzött weboldalakról letöltött fájlokkal, hamis programfrissítésekkel, illetve kompromittált harmadik féltől származó szoftverek telepítőivel is terjednek.
Az elmúlt években több jól ismert infostealer-család is megjelent a kibertérben. Ilyen a RedLine, amely rendszeresen frissített verzióival folyamatosan új technikákat használ a biztonsági szoftverek kijátszására; a Raccoon Stealer, amely különösen hatékonyan gyűjti be a böngészők jelszó- és hitelesítési adatait; valamint a Vidar, amely az adatok mellett akár screenshotokat is készít a felhasználó képernyőjéről. Ezeket a programcsomagokat ma már gyakran kínálják „malware-as-a-service” formában, ami azt jelenti, hogy előfizetéses alapon, havi díj ellenében bárki hozzáférhet a támadó eszközökhöz. Ez a modell különösen veszélyes, mert bárki, minimális technikai tudással, rögtön indíthat célzott adatlopó kampányokat, anélkül hogy saját maga fejlesztené vagy karbantartaná a kártevőt.
Miért olyan veszélyes most ez a szivárgás?
Az eddigi adatdumpok többsége gyakran régi vagy újrahasznosított adatokat tartalmazott. A mostani azonban friss, aktív fiókokhoz köthető hitelesítési információkat fed fel – olyanokat, amelyek jelenleg is használatban vannak, sokszor 2FA nélkül. Így a támadók azonnal hozzáférést nyerhetnek felhőszolgáltatásokhoz, e-mail fiókokhoz, vállalati adminisztrációs felületekhez.
Mi történik az ellopott adatokkal?
A kompromittált hitelesítési adatok legtöbbször a dark web piacterein jelennek meg. Egy egyszerű e-mail/jelszó páros néhány dollárért cserél gazdát, míg egy vállalati VPN-hozzáférés akár több száz dollárt is érhet. Ezeket más bűnözők vásárolják fel további támadások – zsarolóvírus, célzott adathalász üzenetek vagy üzleti e-mail kompromittáció (BEC) – indítására.
Adatbiztonsági kockázatok vállalati környezetben
Ha egy vállalati adminisztrátori vagy fejlesztői fiók kompromittálódik, a támadók hozzáférhetnek belső hálózatokhoz, átvehetik a rendszerek feletti irányítást, és akár zsarolóvírust telepíthetnek. A következmények között szerepelhet a bizalmas üzleti információk kiszivárgása, adatvesztés, valamint jelentős pénzügyi és hírnévbeli károk.
Gyakorlati lépések a védelemhez
Magánszemélyeknek:
Használj minden fiókhoz egyedi, erős jelszavakat, és tárold őket jelszókezelőben.
Kapcsold be a kétfaktoros hitelesítést (2FA) – lehetőleg alkalmazás alapú vagy hardverkulcsos megoldással.
Rendszeresen ellenőrizd a fiókjaid biztonságát (pl. haveibeenpwned.com).
Telepíts naprakész vírusirtót, és tartsd karban a rendszered.
Vállalatoknak és döntéshozóknak:
Vezessetek be átlátható IT-eszköz selejtezési folyamatot, amely magában foglalja a végleges adattörlést.
Dokumentáljátok minden eszköz törlését törlési jegyzőkönyv formájában.
Alkalmazzatok minősített adattörlési módszereket (pl. Blancco, fizikai darabolás).
Végezettek rendszeres biztonsági auditokat és adathalászat-ellenes képzést.
Összefoglalás
Az infostealer támadások 2024-ben soha nem látott méretű adatvesztést okoztak. A pillanatnyi technikai védelem mellett legalább ilyen fontos az eszközökkel kapcsolatos folyamatok szabályozása: a fizikai megsemmisítés és az adattörlés jegyzőkönyvezése kulcsszerepű. Csak így csökkenthetők érdemben a kockázatok és tartható fenn a vállalati, illetve felhasználói bizalom.
Az OpenAI 2025. június 9-én bejelentette, hogy újabb ChatGPT fiókokat tiltott le, amelyeket orosz, kínai, iráni és észak-koreai hackercsoportok használtak rosszindulatú célokra. A letiltott fiókokkal végzett tevékenységek közé tartozott a malware-fejlesztés, dezinformáció terjesztése, társadalmi manipuláció, és hamis online profilok létrehozása. A vállalat által közzétett fenyegetés-intelligencia jelentés részletes betekintést nyújt a generatív MI eszközökkel kapcsolatos visszaélésekbe, valamint hangsúlyozza a ChatGPT fiókok tiltásának stratégiai jelentőségét a kiberbiztonsági védelem szempontjából.
Miért kritikus a ChatGPT fiókok tiltása a kiberbiztonságban?
A generatív mesterséges intelligencia – különösen a ChatGPT – alkalmazása új szintre emelte az informatikai biztonsági kihívásokat. A támadók ezeket az eszközöket nemcsak egyszerű szövegírásra vagy kódgenerálásra használják, hanem kifinomultabb célokra is, például sebezhetőségek keresésére, exploitok előkészítésére, szociális manipulációs forgatókönyvek létrehozására, valamint célzott phishing kampányok személyre szabására.
Az OpenAI intézkedései egyre fontosabbá válnak ebben a környezetben. A ChatGPT fiókok rendszeres auditja és visszaélések esetén történő tiltása jelentős akadályt gördít a fenyegető aktorok útjába. Ezzel nemcsak az adott műveletet lehet megszakítani, hanem hosszú távon a támadók képességeinek fejlődését is korlátozni lehet. A MI-rendszerekben rejlő gyorsaság és skálázhatóság ugyanis komoly előnyt jelentene a rosszindulatú felhasználók számára, ha nem történne aktív beavatkozás a szolgáltatók részéről.
ScopeCreep: az orosz fenyegető aktorok esete
A ScopeCreep néven azonosított orosz nyelvű hekkercsoport különösen figyelemre méltó módszereket alkalmazott a ChatGPT kihasználására. A csoport ideiglenes, egyszer használatos e-mail címekkel regisztrált, hogy anonimitását megőrizze, majd ezeken keresztül generált Go nyelvű rosszindulatú kódot. A kódot interaktív módon, iteratívan fejlesztették tovább a ChatGPT-vel folytatott beszélgetések során, miközben finomították a funkciókat és elrejtették a detektálható mintákat.
A támadók különösen ügyeltek a műveleti biztonságra (OPSEC): a beszélgetések lezárása után a fiókokat rövid időn belül törölték, így a visszakövethetőség minimalizálódott. A végtermékként előállított malware-t egy Crosshair X nevű nyílt kódtárra töltötték fel, amely valójában egy credential harvester volt – tehát felhasználói jelszavak, tokenek és más érzékeny adatok megszerzésére alkalmas eszköz.
Kínai APT5 és APT15 csoportok tevékenysége
Két jelentős, Kínához köthető állami támogatású csoport is felhasználta a ChatGPT-t: APT5 és APT15. Az OpenAI jelentése szerint ezek a csoportok többféle céllal használták a szolgáltatást. Egyes alcsoportjaik technikai kérdésekre kértek válaszokat, például Linux parancsokkal, tűzfalbeállításokkal, és DNS-konfigurációval kapcsolatban, mások pedig social engineering kampányok tervezésére és tesztelésére fordították az eszközt.
Az MI-t különösen a brute-force támadásokhoz szükséges scriptek optimalizálására, valamint az exploitok testreszabására használták. Android eszközök manipulációját célzó szkripteket is előállítottak, amelyek segítségével befolyásolni tudtak közösségi médiában zajló diskurzusokat.
Egyéb fenyegető klaszterek és módszerek
A jelentés több más, földrajzilag és módszertanilag eltérő fenyegető klasztert is bemutat. Észak-Koreához köthető hálózatok például úgynevezett „IT worker” típusú átveréseket hajtottak végre: hamis szakmai önéletrajzokat és portfóliókat generáltak, amelyekkel álláspályázatokon próbáltak nyugati cégekhez bejutni. A cél nemcsak anyagi előny szerzése, hanem hírszerzési pozíciók kiépítése volt.
A „Sneer Review” klaszter több nyelven – köztük angolul, spanyolul és franciául – geopolitikai témákban generált tömeges tartalmat. A „High Five” klaszter főként kommenteket és rövid posztokat írt angolul és taglish nyelven (a tagalog és angol keveréke), amelyek célja a helyi közvélemény befolyásolása volt. Az „VAGue Focus” kampány pedig elemzői hangvételű cikkeket írt, amelyeket álnéven jegyzett újságírók publikáltak – sok esetben álhíroldalakon vagy manipulatív fórumokon keresztül.
Gyakorlati ajánlások a védekezéshez
Hozzáférés-kezelés szigorítása: minden kritikus rendszerhez való hozzáférés többtényezős hitelesítéshez (MFA) kötése, jogosultságok rendszeres felülvizsgálata.
Felhasználói viselkedés-elemzés (UEBA): gyanús fióktevékenységek, szokatlan API-kérések és tömeges adatlekérések detektálása valós időben.
Belső irányelvek és MI-használati szabályok: szervezeti szinten legyen szabályozva a ChatGPT és más generatív MI eszközök használata.
Fenyegetés-intelligencia integrálása: külső szolgáltatóktól származó adatok, tiltólisták és viselkedési minták folyamatos beépítése az incidenskezelésbe.
Képzések és tudatosságnövelés: a munkavállalók oktatása az MI-alapú visszaélések felismeréséről, különösen a szociális manipulációs módszerek terén.
ChatGPT fiók tiltás kiberbiztonsági okokból
Összefoglalás
Az OpenAI friss jelentése világosan mutatja, hogy a generatív mesterséges intelligencia eszközök – mint a ChatGPT – már nem csupán kutatási vagy oktatási célokat szolgálnak, hanem célponttá is váltak a kibertér sötét oldalán. A fiókok letiltása tehát nem egyszerű felhasználói jogmegvonás, hanem aktív kiberbiztonsági védekezés, amely globális szinten csökkentheti a fenyegetések sikerességét. A ScopeCreep, APT5/15 és más globális hackercsoportok módszerei jól mutatják, mennyire adaptívak és rugalmasak az MI-alapú eszközök kihasználásában. A vállalatoknak tehát elengedhetetlen proaktívan fellépni: ChatGPT fiókok felügyeletével, szabályozott használatával, külső intelligenciaforrások bevonásával és folyamatos oktatással tudják csak hatékonyan védeni digitális infrastruktúrájukat.
Dél-Korea ideiglenesen betiltotta a DeepSeek AI alkalmazást adatvédelmi aggályok miatt
DeepSeek AI betiltása Dél-Koreában: adatvédelmi aggályok és vállalati kockázatok
A DeepSeek AI betiltása rávilágít a harmadik-feles AI-szolgáltatások adatvédelmi kockázataira. Mit tehetnek a vállalatok a hasonló incidensek megelőzéséért?
A DeepSeek AI betiltása Dél-Koreában újabb figyelmeztetés arra, hogy a mesterséges intelligenciát használó szervezeteknek
nem csupán a funkcionalitásra, hanem a szigorú adatvédelmi megfelelésre is összpontosítaniuk kell. A koreai Personal Information Protection Commission (PIPC) februári döntése nyomán a kínai fejlesztésű alkalmazás
mobilverzióját törölték az Apple és a Google helyi piacteréről, miután kiderült, hogy jogosulatlanul továbbította
a felhasználói adatokat külföldi szerverekre. A DeepSeek AI betiltása nemcsak az ázsiai technológiai
piacot rázta meg, hanem globális vitát is generált az AI-megoldások transzparenciájáról. A következőkben bemutatjuk
a döntés hátterét, a nemzetközi reakciókat, valamint azt, milyen gyakorlati lépésekkel csökkenthetik a döntéshozók
a hasonló incidensekből fakadó adatbiztonsági kockázatokat.
A dél-koreai döntés háttere és a PIPA szigorú szabályrendszere
Dél-Korea adatvédelmi keretrendszerét a 2020-ban kibővített PIPA (Personal Information Protection Act) határozza meg,
amely – a GDPR-hoz hasonlóan – szigorú előírásokat tartalmaz a felhasználói hozzájárulás, a célhoz kötöttség és
a minimális adatkezelés elveire. A PIPC állásfoglalása szerint a DeepSeek AI rendszere:
felhasználói hozzájárulás nélkül továbbított személyes adatokat Kínába és az Egyesült Államokba;
túlzott mennyiségű metaadatot (például billentyűleütés-mintákat és IP-címet) gyűjtött;
a felhasználói prompteket is elemzési céllal exportálta külföldre.
A hatóság 30 napos határidőt szabott a hibák kijavítására, kötelezővé tette a korábban továbbított adatok törlését
(„végleges törlés”) és részletes törlési jegyzőkönyv benyújtását írta elő. Ez jól illeszkedik a DataD-n
gyakran tárgyalt minősített törlés és végleges adattörlés gyakorlatához, amelyet a vállalatoknak
informatikai eszközeik leselejtezésekor is követniük kell.
Mit tárt fel a PIPC vizsgálata?
Jogosulatlan adattovábbítás külföldre
A vizsgálat kimutatta, hogy a DeepSeek AI háttérben futó modulja minden egyes felhasználói kérdést – beleértve az
esetleges bizalmas üzleti információkat – továbbított egy pekingi felhőszerverre, ahonnan a kínai joghatóság alatt
álló partnerek is hozzáférhettek. A PIPA szerint bármilyen határon átnyúló adatáramláshoz előzetes,
tájékoztatáson alapuló hozzájárulás szükséges, amelyet a vállalat nem teljesített.
Metaadat-gyűjtés és profilalkotás
A PIPC külön kifogásolta, hogy az alkalmazás az eszközmodell, az operációs rendszer verziója, a hálózati konfiguráció,
sőt a billentyűleütések időzítéséből származó biometrikus információk alapján részletes felhasználói profilt
állíthatott össze. Ezek az adatok – összevetve a GDPR 35. cikkelye szerinti kötelező kockázatelemzéssel –
már magas kockázatú adatkezelésnek minősülnek, ami további Data Protection Impact Assessment (DPIA)
lefolytatását indokolta volna.
Nemzetközi reakciók és párhuzamos tiltások
A DeepSeek AI betiltása nem elszigetelt jelenség. Tajvan, Ausztrália és Olaszország korábban már blokkolta az
alkalmazást a kormányzati eszközökön, míg Németországban a szövetségi kiberbiztonsági hatóság indított előzetes
vizsgálatot az adatkezelési gyakorlat miatt. Az Egyesült Államokban New York állam kormányzója végrehajtási utasítást adott
ki, amely megtiltja a DeepSeek használatát minden állami hálózaton, a kongresszus előtt pedig olyan törvényjavaslat fekszik,
amely országos szintű tiltást írna elő kormányzati szerveknél.
USA: állami eszközök védelme a technológiai kémkedéstől
A döntést az a félelem motiválta, hogy a szenzitív kormányzati dokumentumok prompt formájában a kínai szerverekre
kerülhetnek, ahol – a nemzetbiztonsági törvények értelmében – a helyi hatóságok is hozzáférhetnek. A tiltás egyben precedenst
teremt más generatív AI-szolgáltatások állami alkalmazásának szabályozására.
Európai Unió: a GDPR és az EU–USA adatvédelmi keretrendszer szerepe
Bár az EU-s hatóságok még nem rendeltek el teljes tiltást, több tagállam vizsgálja, hogy a DeepSeek adatkezelése megfelel-e
az EU–USA Adatvédelmi Keretre, illetve a kínai jogrenddel fennálló összeütközések miként oldhatók fel.
A szóban forgó transzfer nem sorolható a szükséges „megfelelő garanciák” közé, ezért a szolgáltatás európai terjeszkedése
komoly akadályokba ütközhet.
Tanulságok és ajánlások döntéshozóknak
A történet nemcsak egyetlen alkalmazásról szól, hanem a third-party AI-szolgáltatásokkal járó általános kockázatokról.
Az alábbi ellenőrzőlista segíthet a CIO-knak és CISO-knak megelőzni a kellemetlen meglepetéseket:
Adattérkép készítése: pontosan rögzítsük, milyen adat hagyja el a szervezetet, és hová kerül.
Szerződéses garanciák: minden AI-beszállítóval kössünk Data Processing Agreementet,
amely tartalmazza a törlési határidőket és a törlési jegyzőkönyvvel igazolt fizikai vagy logikai törlést.
DPIA lefolytatása: nagy volumenű vagy különleges kategóriájú adat esetén kötelező kockázatelemzést végezni.
Zero trust elv: blokkoljuk a beépített kamera- és mikrofonhozzáférést, vezessünk be application sandboxingot.
Mentési stratégia: tiltsuk az érzékeny információk AI-modellbe írását; jelöljük meg technológiával
(DLP) a bizalmas adatokat.
Esemény-naplózás: auditáljuk a felhasználók promptjait és a hálózati forgalmat, hogy kimutatható legyen,
ha adatszivárgás történik.
Fizikai megsemmisítés: mobil- vagy edge eszközöknél szükség esetén merevlemez megsemmisítés
vagy SSD törlés is indokolt.
Összefoglalás
A DeepSeek AI betiltása ismét rávilágított arra, hogy az AI-alapú szolgáltatások értéke csak addig tart, amíg
képesek megfelelni a szigorú helyi és nemzetközi adatvédelmi előírásoknak. A döntéshozóknak most kell lépniük: vizsgálják
felül AI-partnereik szerződéseit, implementáljanak átlátható adattörlési folyamatokat, és gondoskodjanak arról, hogy
a végleges törlés – legyen az minősített szoftveres törlés vagy adathordozó fizikai
megsemmisítése – a vállalat teljes életciklus-menedzsmentjének részévé váljon. Amennyiben szakértői
támogatásra van szüksége, lépjen kapcsolatba a DataD csapatával, és kérjen ingyenes kockázatfelmérést még ma!
Ahogy 2024 közeledik a végéhez, visszatekinthetünk az év kiberbiztonsági fejleményeire, amelyek új kihívásokat és lehetőségeket hoztak magukkal. A mesterséges intelligencia (MI) és az IoT (Internet of Things) előretörésével a technológiák a kiberbiztonsági tájkép is dinamikusan változott. Az év során egyaránt a támadók és a védők új módszereket dolgoztak ki, miközben a kiberbiztonság stratégiai kérdéssé vált a szervezetek számára világszerte. Összegyűjtöttük azokat a legfontosabb trendeket, amelyek 2024-ben meghatározóak voltak.
Generatív mesterséges intelligencia: Mindkét oldalon 2024 során a generatív MI mind a támadók, mind a védők kezében egyre hatékonyabb eszközzé vált. Az év elején megjósolt támadások, amelyek az MI technológiát használják, valósággá váltak. A deepfake videók és hangfelvételek új szintre emelték a szociális manipulációt. Az MI-alapú támadások kifinomultsága és személyre szabhatósága megnehezítette azok felismerését és elhárítását. Ugyanakkor a védelem oldalán is előrelépés történt. Az MI által támogatott kiberbiztonsági rendszerek fejlődése lehetővé tette a valós idejű fenyegetésdetektálást, a gyanús tevékenységek gyors felismerését és az incidenskezelés automatizálását. Az MI folyamatos tanulásának köszönhetően ezek a rendszerek az év végére egyre hatékonyabbá váltak.
A kiberbiztonsági szakértők hiánya és az átképzés szükségessége: Az év folyamán továbbra is súlyos kihívást jelentett a kiberbiztonsági szakemberek hiánya. A gyorsan változó fenyegetési környezet és a technológiai komplexitás növekedése miatt egyre nagyobb nyomás nehezedett a szervezetekre, hogy megfelelő képességekkel rendelkező szakembereket találjanak és tartsanak meg. 2024-ben a vállalatok és kormányok jelentős összegeket fordítottak oktatási programokra és átképzésre, hogy kezelni tudják ezt a problémát. Az online képzési platformok és gyakorlatias tanfolyamok segítségével bővült a munkaerőpiac, de az év vége felé a szakértők iránti kereslet magas maradt.
Kifinomultabb adathalász támadások: 2024-ben az adathalász támadások új magasságokba emelkedtek. A generatív MI, mint például a ChatGPT, lehetővé tette a támadók számára, hogy olyan rendkívül hiteles és személyre szabott adathalász üzeneteket hozzanak létre, amelyek a legképzettebb felhasználók számára is megtévesztőek voltak. Az év során egyre több jelentés érkezett olyan támadásokról, amelyek deepfake technológiát alkalmaztak, és ezek súlyos adatlopási és pénzügyi veszteségeket okoztak szerte a világon. A szervezetek számára az oktatás és a tudatosságnövelő kampányok kulcsfontosságúvá váltak. Az év során folyamatosan fejlesztették a munkavállalók védelmi képességeit, de a támadások gyors fejlődése miatt ez egy soha véget nem érő verseny volt.
A kiberbiztonság a vállalati vezetés középpontjában: Az év elején már látszott, hogy a kiberbiztonság nem csupán az IT részlegek felelőssége. 2024-ben a kiberbiztonság stratégiai kérdéssé vált, és a vállalati igazgatóságokban is előtérbe került. A Gartner előrejelzése szerint 2026-ra az igazgatóságok 70%-ában lesz olyan tag, aki kiberbiztonsági szakértelemmel rendelkezik, de sok vállalat ezt már 2024-ben megvalósította. A vállalatok igazgatóságai proaktívan kezdték kezelni a fenyegetéseket, és a kiberbiztonságot nemcsak mint védekező eszközt, hanem mint üzleti lehetőséget is tekintették. Az év végére láthatóvá vált, hogy a kiberbiztonsági befektetések növelték a versenyelőnyt, és segítettek az üzleti lehetőségek kiaknázásában.
IoT támadások növekedése: 2024-ben tovább nőtt az IoT eszközök használata, ami új kiberbiztonsági kihívásokkal járt. Az év során több jelentős támadás is érintette az IoT eszközöket, különösen a home office környezetben használt smart home technológiákat. Az IoT eszközök biztonsági hiányosságai könnyű célpontokká tették őket a támadók számára. Az év végére a vállalatok fokozott figyelmet fordítottak az IoT eszközök biztonsági szabványainak fejlesztésére és a protokollok szigorítására. Az eszközök rendszeres frissítése és integrált biztonsági megoldások alkalmazása elengedhetetlenné vált a fenyegetések csökkentése érdekében.
Kiberreziliencia – Több mint kiberbiztonság: 2024 egyik legnagyobb tanulsága az volt, hogy a kiberbiztonság önmagában nem elég. Az év során a szervezetek egyre inkább a kiberreziliencia irányába mozdultak el. A kiberreziliencia nemcsak a fenyegetések megelőzésére összpontosított, hanem arra is, hogy a szervezetek képesek legyenek gyorsan felépülni egy incidens után. Az év végére egyre több szervezet fektetett be helyreállítási rendszerekbe, amelyek segítették a támadások utáni gyors visszaállást. A kritikus iparágak, mint a pénzügyi szektor vagy az egészségügy, különösen előtérbe helyezték a kiberrezilienciát, hogy minimalizálják a leállásokat és az adatvesztést.
Zero Trust továbbfejlesztése: 2024-ben a Zero Trust biztonsági modell folyamatosan fejlődött, és egyre több szervezet fogadta el ezt az adaptív, holisztikus megközelítést. A folyamatos hitelesítés és tevékenységfigyelés különösen fontos lett, mivel az év során a távmunkások, partnerek és IoT eszközök folyamatos ellenőrzést igényeltek. Az MI által támogatott rendszerek lehetővé tették, hogy ezek a folyamatok valós időben történjenek, ami nagyobb biztonságot nyújtott a dinamikusan változó munkakörnyezetekben. Az év végére a Zero Trust modell kulcsfontosságú elemévé vált a kiberbiztonsági stratégiáknak.
Kiberhadviselés és államilag támogatott támadások: 2024-ben a kiberhadviselés és az államilag támogatott kibertámadások egyre jelentősebbé váltak. Az év során több geopolitikai feszültség is felszínre került, és ezek hatására számos jelentős támadás történt, amelyek állami támogatást kaptak. Ezek a támadások gyakran kritikus infrastruktúrákat céloztak meg, és jelentős károkat okoztak az érintett országokban. Az állami szervezetek és vállalatok az év végére folyamatosan növelték az erőforrásaikat a kritikus infrastruktúrák védelmére, és együttműködtek nemzetközi szervezetekkel a védelem megerősítése érdekében.
Soft skillek: A kiberbiztonsági szakemberek számára 2024-ben a kiberbiztonság területén dolgozó szakemberek számára egyre fontosabbá váltak a soft skillek. A technikai tudás mellett a kommunikáció, problémamegoldás és együttműködési készségek is előtérbe kerültek. A komplex támadási formák megértéséhez és a hatékony védelem kialakításához a technikai és társadalmi elemek közötti egyensúly megteremtése alapvetővé vált. Az év során a szakemberek képzési programjai is kiterjedtek ezekre a készségekre, segítve a hatékonyabb védekezést és a kiberbiztonsági csapatok közötti együttműködést.
Kiberbiztonsági szabályozások: Az év során a kormányok világszerte szigorították a kiberbiztonsági szabályozásokat, válaszul a növekvő fenyegetésekre. Az Egyesült Királyság „Product Security and Telecommunications Act”-je és más nemzetközi szabályozások szigorúbb biztonsági követelményeket írtak elő a technológiai termékek számára.
Az év végére világossá vált, hogy a szabályozások betartása kulcsfontosságú lesz a jogi és üzleti kockázatok minimalizálása érdekében. A szervezetek számára a megfelelés biztosítása, valamint a szabályozási környezethez való alkalmazkodás elengedhetetlenné vált a hosszú távú sikerhez.
2024 egy izgalmas és kihívásokkal teli év volt a kiberbiztonság világában. A technológia gyors fejlődése új lehetőségeket és fenyegetéseket hozott magával, miközben a vállalatoknak és kormányoknak rugalmasan kellett alkalmazkodniuk a változó környezethez. Az év végére világossá vált, hogy a kiberbiztonság nem csak technológiai, hanem stratégiai kérdéssé is vált, és a jövőben is kulcsszerepet játszik majd a globális üzleti és társadalmi működésben.
A kibertámadások típusai, példák és megelőzési módszerek
A kibertámadások egyre növekvő fenyegetést jelentenek a digitális korban, ahol az online tevékenységek és az adatok növekvő mértékű digitalizációja miatt minden szervezet potenciális célponttá válik. A támadók kifinomult módszereket alkalmaznak a védelmi rendszerek kijátszására, az adatok ellopására vagy a rendszerek megbénítására. Ebben a környezetben elengedhetetlen, hogy a szervezetek és egyének proaktívan védekezzenek a kibertámadások ellen, alkalmazva a legújabb biztonsági technológiákat és módszereket.
A kibertámadások különböző formái és azok hatásai
Kártevők (Malware): A kártevők, beleértve a vírusokat, trójaiakat, férgeket, kém- és reklámprogramokat, az egyik leggyakoribb támadási forma. Ezek a programok kárt tehetnek a számítógépekben, adatlopást hajthatnak végre, és akár az egész hálózatot képesek leállítani.
Elosztott szolgáltatásmegtagadásos támadás (DDoS): Ezek a támadások a szervereket és hálózatokat célozzák meg, túlterhelésükkel megakadályozva azok normál működését, ami súlyos zavarokat okozhat a vállalati műveletekben.
Adathalászat (Phishing): Az adathalászat az egyik leggyakoribb módszer, amellyel a hackerek hitelesnek tűnő üzenetekkel próbálnak hozzáférni jelszavakhoz, banki adatokhoz, és egyéb érzékeny információkhoz.
SQL-injektálás: Ez a támadási forma az adatbázisok sebezhetőségeit használja ki, amivel a támadók hozzáférhetnek védett adatokhoz, ellopják vagy módosítják azokat.
Cross-Site Scripting (XSS): Az XSS támadások a weboldalak biztonsági réseit használják ki, ahol a támadók rosszindulatú szkripteket futtatnak a felhasználók böngészőiben.
Botnetek: Ezek a robotokból álló hálózatok képesek spamet küldeni, további kártevőket terjeszteni, vagy DDoS támadásokat végrehajtani.
Zsarolóvírusok (Ransomware): Ezek a vírusok az áldozat fájljait zárolják és váltságdíjat követelnek az adatok visszaállításáért.
A kibertámadások megelőzésének módszerei
A kibertámadások megelőzésének alapja a biztonsági protokollok szigorú betartása, a rendszerek folyamatos frissítése és a biztonsági mentések rendszeres elkészítése. Emellett a többtényezős hitelesítés bevezetése, a biztonsági bővítmények használata, és a megbízható tárhelyszolgáltatók kiválasztása mind hozzájárulhatnak a biztonság növeléséhez.
A szervezeteknek és egyéneknek ébernek kell lenniük az új kiberfenyegetésekkel szemben, és proaktívan kell fellépniük a kibertámadások elkerülése érdekében. Ez magában foglalja a dolgozók oktatását a kiberbiztonsági legjobb gyakorlatokról, a biztonsági eszközök naprakész tartását, és a hálózati forgalom folyamatos monitorozását.
Összegzés
A kibertámadások elleni védekezés egy folyamatos folyamat, amely magában foglalja a technológia, az oktatás és a megfelelő biztonsági protokollok együttes alkalmazását. A kiberbiztonsági stratégiák fejlesztése és a biztonsági intézkedések szigorú végrehajtása elengedhetetlen a digitális korban, hogy megvédjük az értékes adatokat és fenntartsuk a bizalmat az online környezetben.
Alapvető adatvédelmi stratégiák a weboldalad hatékony védelmére
Az internetes környezet folyamatosan és gyorsan fejlődik, ami új lehetőségeket teremt a felhasználók számára a hatékonyabb munkavégzésre és kommunikációra, de ugyanakkor a kiberbűnözők is egyre fejlettebb és összetettebb támadási módszereket alkalmaznak. Ez a dinamikus digitális világ megköveteli a weboldalak tulajdonosaitól, hogy folyamatosan naprakész legyenek a biztonsági protokollokat illetően, hogy megvédhessék magukat a potenciális fenyegetésekkel szemben.
Kövesd az alábbi öt lépést, hogy megóvd weboldaladat a hackerek és egyéb rosszindulatú támadásoktól:
Rendszeres frissítések és alapos karbantartás
A weboldalak alapvető biztonsági intézkedéseként szolgál a rendszeres karbantartás és a szoftverek, pluginek, valamint sablonok naprakészen tartása. Ha elhanyagolod a frissítéseket, a régi biztonsági rések által könnyedén támadhatóvá válsz. Ezáltal a hackerek régebbi biztonsági résen keresztül be tudnak törni az oldalra. Folyamatos frissítésekkel csökkenthető a sikeres támadások és adathalász kísérletek által okozott károk kockázata.
Automatizáld a frissítéseket, ha lehetséges
Rendszeresen végezz biztonsági auditot weboldaladon, hogy azonosítsd az esetleg feleslegessé vált vagy elavult elemeket
Kérj szakértő segítségét a frissítések helyes implementálásához
Állandó biztonsági mentések készítése
Nem csak a támadások kivédésére kell koncentrálni, hanem fel kell készülni a lehetőséges veszteségekre is. A rendszeres és automatizált biztonsági mentések elengedhetetlenek minden weboldal biztonságának fenntartása érdekében.
Mentések rendszeres elvégzése, ideális esetben naponta vagy hetente
A mentések több különböző helyen történő tárolása, hogy ne legyünk függők egyetlen tárolási lehetőségtől
A mentések rendszeres tesztelése, hogy biztosak legyünk abban, hogy működőképesek vészhelyzet esetén
Biztonsági bővítmények és tűzfalak használata
Weboldal védelmét növelhetjük biztonsági pluginok és tűzfalak használatával, különösen akkor, ha WordPress vagy más népszerű CMS rendszer működteti a weboldaladat.
Web Application Firewall (WAF) beállítása, amely megfigyeli és blokkolja a káros forgalmat
Kétfaktoros hitelesítés bevezetése az adminisztrációs felületeken, ami több bizonyítékot igényel a belépéshez
SSL tanúsítvány beszerzése, ami biztosítja az adatforgalom titkosítását a weboldalon
Minőségi tárhelyszolgáltató kiválasztása
A tárhelyszolgáltató kiválasztása közvetlen hatással van a weboldal sebességére, stabilitására és biztonságára is.
Ellenőrizd, hogy a szolgáltató modern biztonsági szoftverekkel van-e felszerelve
Tájékozódj a DDoS támadások ellen alkalmazott védelmi intézkedésekről
+1 Biztonságos jelszavak alkalmazása és rendszeres frissítése
A biztonságos jelszavak használata kulcsfontosságú a nem kívánt behatolások megakadályozása érdekében. Használj hosszú, véletlenszerű karakterekből álló jelszavakat, amelyek ötvözik a számokat, nagy- és kisbetűket, valamint speciális karaktereket.
Kerüld a jelszavak megosztását különböző platformokon, különösen fontos fiókok esetén
A kiberbiztonság minden weboldal tulajdonos számára kiemelt fontosságú. A rendszeres frissítések, biztonsági mentések, a védelmi bővítmények használata, és a megbízható tárhelyszolgáltató kiválasztása alapvető lépések a weboldalad hosszútávú védelme érdekében. A jelszavak megfelelő kezelése pedig egyszerű, de hatékony módja a nem kívánt behatolások elhárításának. Légy proaktív, és biztosítsd weboldalad biztonságát a kiberfenyegetések ellen!
440 GB adatot loptak el egy kiberbiztonsági cégtől
Adatbiztonsági incidens Fortinet vállalatnál
A Fortinet, a kiberbiztonsági óriás, megerősítette, hogy adatbiztonsági incidens érte őket, miután egy fenyegető személy állította, hogy 440GB fájlt lopott el a cég Microsoft Sharepoint szerveréről.
Fortinet a világ egyik legnagyobb kiberbiztonsági vállalata, biztonságos hálózati termékeket, mint tűzfalak, routerek és VPN eszközök forgalmazása mellett, SIEM, hálózatmenedzsment és EDR/XDR megoldásokat, valamint tanácsadási szolgáltatásokat is kínál.
Korai reggel egy fenyegető személy egy hacker fórumon közzétette, hogy 440GB adatot lopott el a Fortinet Azure Sharepoint példányából. A fenyegető személy azt is állította, hogy megosztott hitelesítési adatokat egy állítólagos S3 tárolóhoz, ahol az ellopott adatok tárolva vannak, más fenyegető személyek számára elérhetővé téve azok letöltését.
A BleepingComputer nem fér hozzá a tárolóhelyhez, így nem erősítheti meg, hogy az tényleg tartalmazza-e a Fortinet ellopott fájljait.
A fenyegető személy, akit „Fortibitch” néven ismernek, állítja, hogy megpróbálta zsarolni a Fortinetet egy váltságdíj fizetésére, valószínűleg az adatok közzétételének megakadályozása érdekében, de a cég nem volt hajlandó fizetni.
A Fortinet válaszul megerősítette, hogy ügyféladatokat loptak el egy „harmadik fél által kezelt felhő alapú megosztott fájlmeghajtóról”.
„Egy személy jogosulatlanul hozzáférhetett korlátozott számú fájlhoz, amelyek a Fortinet egy harmadik fél által kezelt felhő alapú megosztott fájlmeghajtójának egy példányán voltak tárolva, ezek korlátozott adatokat tartalmaztak egy kis számú Fortinet ügyfélről,” – mondta a cég a BleepingComputer-nek.
Korábban ma a Fortinet nem tette közzé, hogy hány ügyfelet érintett az incidens, vagy milyen típusú adatok kerültek kompromittálásra, de jelezték, hogy „megfelelő módon közvetlenül kommunikáltak az ügyfelekkel”.
Egy későbbi frissítés, amelyet a Fortinet weboldalán osztottak meg, azt mondja, hogy az incidens kevesebb mint 0,3%-át érintette az ügyféladatoknak, és hogy ez nem eredményezett semmilyen rosszindulatú tevékenységet az ügyfelekkel szemben.
A kiberbiztonsági cég továbbá megerősítette, hogy az incidens nem járt adatok titkosításával, zsarolóvírussal vagy a Fortinet vállalati hálózatának hozzáférésével.
A BleepingComputer további kérdésekkel kereste meg a Fortinetet a biztonsági incidenssel kapcsolatban, de jelenleg még nem kapott választ.
2023 májusában egy fenyegető személy állította, hogy feltörte a Panopta GitHub tárházait, amelyet a Fortinet 2020-ban vásárolt meg, és kiszivárogtatott adatokat egy orosz nyelvű hacker fórumon.
Hogyan kezelik a technológiai óriások a kormányzati adatigényeket?
A technológiai ipar vezetői milyen stratégiákat alkalmaznak, amikor a magánélet védelme kerül veszélybe a kormányzati igények tükrében? A „Nagy Ötök” – köztük a Meta, az Alphabet, az Apple, az Amazon és a Microsoft – válaszai kulcsfontosságúak ebben a témakörben.
Az adatgyűjtés és az adatvédelem dilemmái
A technológiai vállalatok nap mint nap hatalmas mennyiségű személyes adatokat gyűjtenek, ami kiemelt fontosságot biztosít a felhasználók magánéletének védelmében. Azonban ez számos kihívást jelent, különösen amikor a kormányzatok hozzáférési kérelmeket intéznek ezekhez az adatokhoz, legyen szó nemzetbiztonsági vagy bűnüldözési célból.
Példa a gyakorlatból
2023. augusztus 28-án a francia ügyészség vádat emelt Pavel Durov, a Telegram társalapítója ellen, ami komoly aggodalmakat keltett a kormányzati hatalommal való visszaélés és a magánélet csorbítása kapcsán globális szinten.
Válaszok a vezetőktől
Ezek a technológiai vezetők, akik érzékeny felhasználói adatok kezelésével foglalkoznak, gyakran találkoznak azzal a dilemmával, hogy mennyire legyenek felelősek a platformjaik használatáért. A Meta, például, amely a WhatsAppot is üzemelteti, eltérő módon biztosítja az adatvédelmet a Telegramhoz képest. A WhatsApp esetében az alapértelmezett végezéstől végesig titkosítás védi a felhasználói adatokat, míg a Telegramon ez nem automatikus, hanem manuálisan aktiválható.
2023 második felében a Meta több mint 300 ezer adatigénylési kérelmet kapott kormányzati hatóságoktól, amelyek több mint fél millió felhasználót érintettek, és ezek többségére adatokat is szolgáltatott.
Az Alphabet (Google), az Apple, az Amazon és a Microsoft szintén hasonló kihívásokkal néznek szembe. Ezek a vállalatok különböző módon kezelik a kormányzati adatigényléseket, figyelembe véve a jogi kereteket és a felhasználóik magánéletének védelmét.
Az adatvédelmi politikák és gyakorlatok megértése kulcsfontosságú a technológiai óriások értékeléséhez, hogy mennyire hatékonyak és etikusak a személyes adatok kezelésében és védelmében.
Videós útmutatók a kényszerítő képküldésről: Aggasztó trendek a közösségi médiában
A közösségi média platformjain, mint a TikTok és a YouTube, egyre több a tartalom, amely részletes útmutatást ad arra, hogyan lehet meztelen képeket kicsikarni fiataloktól. Ezek a videók már pár ezer forintért hozzáférhetők, és a benyomást keltik, hogy a bűnözők között egyfajta „oktatási anyag” cserél gazdát.
Sextortion: A modern kor zsarolási módszere
A sextortion, vagyis a szexuális zsarolás, egy olyan bűncselekmény, amely során az elkövetők fenyegetéssel próbálják meg kicsikarni az áldozatoktól az intim képeket, különben nyilvánosságra hozzák azokat. Ezt a taktikát gyakran alkalmazzák email-ekben, ahol a címzetteket azzal ijesztgetik, hogy webkamerán keresztül rögzítették őket intim helyzetben.
Sokkoló tanácsok a sextortionról szóló internetes útmutatókban
A The Guardian riportja szerint több online platformon, beleértve a Telegramot is, fellelhetők olyan útmutatók, amelyek lépésről lépésre mutatják be, hogyan lehet hatékonyan zsarolni valakit meztelen képekkel. Ezek az útmutatók gyakran nagyon részletesek, és a kriminális tevékenység működési mechanizmusát is bemutatják.
Zsarolás tanácsadásáért cserébe: Szolgáltatások a bűnözők között
Adam Priestley, a brit Nemzeti Bűnüldözési Ügynökség szakértője szerint az interneten terjedő kézikönyvek mellett személyes tanácsadás is kapható. Az egyik ismert zsaroló például 50 dollárért kínál hozzáférést a zsaroláshoz használt szkripthez, míg 250 dollárért három hónapos személyes tanácsadást vállal.
Középiskolások célkeresztben: A zsarolók módszerei és nyelvezete
Az útmutatókból kiderül, hogy a bűnözők kifejezetten fiatalokra, különösen középiskolásokra összpontosítanak. Az áldozatok becserkészéséhez különböző technikákat alkalmaznak, lassú és gyors megközelítéseket egyaránt, annak érdekében, hogy növeljék az esélyeiket az eredményes zsarolásra.
Az érintett platformok és a biztonsági intézkedések
A jelentések szerint az érintett platformok, mint például az Instagram, komolyan veszik ezeket a fenyegetéseket és aktívan törekednek a hasonló bűncselekmények megelőzésére és a tanácsadó jellegű tartalmak eltávolítására, hogy csökkentsék a káros hatásokat.
Ezek a leírások bemutatják, hogy mennyire elterjedt és szervezett módon működik ez a bűnözői tevékenység, és milyen hatékonyak lehetnek a közösségi média platformok a bűncselekmények megelőzésében.
A Microsoft egy kiemelt biztonsági csúcstalálkozót tervez megrendezni 2024. szeptember 10-én, ahol kulcsfontosságú partnereivel és kormányzati képviselőkkel együtt keresik a válaszokat a technológiai válsághelyzetek megelőzésére. A közelmúltban történt CrowdStrike frissítés, amely ideiglenesen károsította több mint 8,5 millió Windows alapú számítógépet, rávilágított a sürgős intézkedések szükségességére.
Az esemény a Microsoft redmondi központjában kerül megrendezésre, ahol a Windows Endpoint Security Ecosystem Summit keretei között összegyűlnek az érintettek. Itt tárgyalják meg azokat a lépéseket, melyekkel közösen javíthatók a végfelhasználók biztonsága és az operációs rendszerek ellenálló képessége. A Microsoft az eseményen kormányzati tisztviselők jelenlétét is biztosítja.
A CrowdStrike júliusi frissítése után több iparág, köztük a légi közlekedés is komoly zavart szenvedett. A Microsoft ezért különösen érdekelt abban, hogy megelőzze az ilyen események ismétlődését, amelyek alááshatják a Windows operációs rendszerbe vetett bizalmat és jelentős jogi következményekkel terhelhetik a vállalatot.
A Microsoft a 2024 júliusi CrowdStrike-kiesésből származó tanulságokat kívánja alkalmazni, amelyeket az egész technológiai ökoszisztémában szükséges bevezetni. A cég szerint a szeptemberi találkozón megfogalmazásra kerülnek a rövid- és hosszú távú intézkedések, amelyek célja a rendszerek stabilitásának növelése. Ezek között szerepelhet a Windows operációs rendszer zártabbá tétele, hasonlóan az Apple macOS rendszeréhez, valamint a harmadik fél szoftvergyártóinak a Windows kernelhez való hozzáférésének korlátozása.
Ez utóbbi lépés különösen fontos, tekintettel arra, hogy a CrowdStrike hibás frissítése a kernel szintjén okozott problémákat. Az antivírus szoftverek kernel-szintű hozzáférésének korlátozása aggodalmat válthat ki a biztonsági szoftverek gyártói körében, hiszen ez korlátozhatja képességüket a rendszerben történő rosszindulatú változások korai észlelésére. Ez versenyjogi kérdéseket is felvethet.
A Microsoft a Financial Times-nak nyilatkozva kifejtette, hogy több opciót is mérlegel a rendszerek stabilitásának növelése érdekében, és nem zárja ki a kernelhez való hozzáférés teljes megtiltását. Emellett szóba került, hogy a harmadik fél biztonsági szolgáltatóit szigorúbb tesztelési eljárásoknak vessék alá, ezzel is növelve a rendszer általános biztonságát.
Új macOS malware-t azonosítottak, mely észak-koreai hackercsoportokhoz köthető. A TodoSwift nevű új macOS malware felfedezéséről számoltak be kiberbiztonsági kutatók, amely számos hasonlóságot mutat más Észak-Koreából származó, ismert malware-ekkel.
„Az alkalmazás több olyan dolgot is mutat, amelyet korábban Észak-Koreából (KNDK) származó malware-eknél láttunk – különösen a BlueNoroff hacker csoporttól ismert KANDYKORN és RustBucket esetében” – mondta Christopher Lopez, a Kandji biztonsági kutatója.
A RustBucket, amely először 2023 júliusában tűnt fel, egy AppleScript-alapú hátsó ajtót jelöl, amely képes parancs- és vezérlő (C2) szerverről további terheléseket beolvasni. Az előző év végén az Elastic Security Labs szintén felfedezett egy másik macOS malware-t, a KANDYKORN-t, amelyet egy nevesítetlen kriptovaluta-tőzsde blockchain mérnökeit célzó kibertámadás során vetettek be.
A KANDYKORN egy kifinomult, több lépésből álló támadási mechanizmus révén kerül telepítésre, amely lehetővé teszi az adatok elérését és kiszivárogtatását az áldozat számítógépéről. Emellett képes bármilyen folyamat leállítására és parancsok végrehajtására a célgépen. Ez a támadási módszer jól mutatja a KANDYKORN fejlettségét, és az általa jelentett komoly kiberbiztonsági fenyegetést.
A két malware-családot összekötő közös jellemző a linkpc[.]net domainek használata a C2 céljaira. Mind a RustBucket, mind a KANDYKORN a Lazarus csoport (és annak egyik al-csoportja, a BlueNoroff) munkájának tekinthető.
„A KNDK, mint a Lazarus csoporton keresztül, folyamatosan kriptoipari cégeket céloz meg azzal a szándékkal, hogy kriptovalutát lopjanak, ezzel is kijátszva a gazdasági növekedésüket és ambícióikat gátló nemzetközi szankciókat” – állapította meg az Elastic abban az időben.
„Ebben a behatolásban a blockchain mérnököket célzó, nyilvános csevegőszerveren keresztül csalták csapdába, kifejezetten a képességeikre és érdeklődési körükre szabott csalétekkel, anyagi nyereség ígéretével.”
A legfrissebb eredmények szerint a TodoSwift a TodoTasks nevű formában terjed, amely egy cseppentő komponenst tartalmaz. Ez a modul egy SwiftUI-ben írt GUI alkalmazás, amely egy fegyverzett PDF dokumentumot jelenít meg az áldozatnak, miközben titokban letölti és végrehajtja a második szakasz binárisát, egy olyan technikát, amelyet a RustBucket is alkalmaz.
A „csali” PDF egy ártalmatlan, Bitcoin-nal kapcsolatos dokumentum, amely a Google Drive-on található, míg a rosszindulatú terhelés egy színész által irányított domainről („buy2x[.]com”) származik. A bináris pontos részleteinek további vizsgálata folyamatban van.
„A Google Drive URL használata és a C2 URL átadása indítási argumentumként a második szakasz binárisához összhangban van az előző, macOS rendszereket érintő KNDK malware-ekkel” – mondta Lopez.
A Windows 10 támogatásának 2025. október 14-imegszűnése komoly kockázatokat jelent.
Ahogy 2024 közeledik a végéhez, visszatekinthetünk az év kiberbiztonsági fejleményeire, amelyek új kihívásokat és lehetőségeket hoztak magukkal. A mesterséges intelligencia (MI) és az IoT (Internet of Things) előretörésével a technológiák a kiberbiztonsági tájkép is dinamikusan változott. Az év során egyaránt a támadók és a védők új módszereket dolgoztak ki, miközben a kiberbiztonság stratégiai kérdéssé vált a szervezetek számára világszerte. Összegyűjtöttük azokat a legfontosabb trendeket, amelyek 2024-ben meghatározóak voltak.
Big Tech vállalatok és az adatvédelem kihívásai
Videós útmutatók a kényszerítő képküldésről: Aggasztó trendek a közösségi médiában
A Microsoft egy kiemelt biztonsági csúcstalálkozót tervez megrendezni 2024. szeptember 10-én, ahol kulcsfontosságú partnereivel és kormányzati képviselőkkel együtt keresik a válaszokat a technológiai válsághelyzetek megelőzésére. A közelmúltban történt CrowdStrike frissítés, amely ideiglenesen károsította több mint 8,5 millió Windows alapú számítógépet, rávilágított a sürgős intézkedések szükségességére.
Új macOS malware-t azonosítottak, mely észak-koreai hackercsoportokhoz köthető. A TodoSwift nevű új macOS malware felfedezéséről számoltak be kiberbiztonsági kutatók, amely számos hasonlóságot mutat más Észak-Koreából származó, ismert malware-ekkel.