okt 7, 2019 | Adatbiztonsági cikkek, hírek
Az Apple T2-es chipekkel ellátott számítógépjeit három éve mutatták be, tehát egyes vállalatoknál lassan a gépek életciklusának végéhez értünk Ennél a mérföldkőnél szembesültek a szakemberek egy kínzó problémával: hogyan szabadulunk meg az adatoktól, tanúsítottan egy szigorúan védett környezetben?
Aple T2
Az Apple kiemelten ügyelt a biztonságra, a 2017 második felében bevezetett T2-es chippel ellátott iMacPro (és a későbbi modellek, mint a MacBook Pro, MacBook Air és Mac Mini) lapkaszinten is figyel a biztonságra. A T2-es chipre több olyan kontrollert építettek be, mely emeli a gép biztonsági szintjét.
Lapkaszintű biztonság
A secure boot funkció például korlátozza, hogy milyen operációs eszköz tölthető be a macOS eszközökre, vagyis csak egy legitim, megbízható operációs rendszer indulhat el a gép bekapcsolásakor. Azt sem engedélyezi, hogy esetleg USB memóriáról bootolják a gépet, vagyis gyakorlatilag megakadályozzák, hogy például hackerek más operációs rendszer indításával férjenek hozzá adatainkhoz. Ez a lapka a hagyományos adattörlési megoldásokkal sem működik együtt: a Blancco Drive Eraser megoldása is operációs rendszerként működik telepítéskor.
A lapkaszintű biztonsági funkció hasznos az Apple eszközeit használó intézményeknek, nem vitás. Azonban mikor arról van szó, hogy az egészségügy intézmények, iskolák, kormányzati szervek, vállalatok bizalmas adatait szakszerűen, auditálható módon fertőtlenítsük, akkor gondot okoz ez az erős biztonság.
Manuális beállítás
A boot sorrend manuálisan ugyan átállítható ezeknél az Apple gépeknél, így az adattörlő megoldást lehet operációs szinten elindítani, de akkor sem látja a törölni kívánt adatokat, a T2-es lapka megakadályozza ezt. És még ha lenne is mód arra, hogy megkerüljük a lapka eme biztonsági funkcióját, gyakran nincs ellenőrizhető bizonyíték arra, hogy az adatot tényleg töröltük.
Vállalati környezetben nem megoldás, hogy a szervezet egy zárható szerkényben tárolja a leselejtezett gépeket, rajtuk a sok személyes, érzékeny és bizalmas (helyenként titkos vállalati) adattal, melyek a szükséges adatkezelés folyamatára várnak. Szerencsére, egyre több a környezettudatos vállalat, akik az értelmetlen tárolás helyett újrahasznosítják ezeket az eszközöket. Mielőtt eladnánk vagy elajándékoznánk az élettartamuk végét elért eszközöket, a szakszerű, tanúsított adatfertőtlenítésről nem szabad megfeledkeznünk.
Van megoldás
A jó hír, hogy a T2-es chipekkel felszerelt Apple gépekre is van a Blancco-nak szakszerű adattörlő és adatfertőtlenítő megoldása. Vállalati környezetben, számítógépes flottánk adatmenedzselésére a T2-es lapkákkal felszerelt eszközökre kifejlesztett Blancco LUN Eraser megoldást használatát javasoljunk, mely a piacon jelenleg az egyetlen adattörlési megoldás T2-es chipekkel ellátott eszközökre.
A cég kutatás-fejlesztési részleg a LUN megoldásnak egy olyan verzióját dobta piacra, mely futtatható a macOS rendszeren. Amikor a T2-es lapkákkal ellátott eszközökről van szó, akkor nem boot-olunk semmilyen külső megoldást, hanem a UNIX-ra kifejlesztett LUN megoldást futtatjuk a meglévő operációs rendszeren, így hozzáférhetünk a lemezekhez és riportálható, auditálható módon törölhetjük annak tartalmát.
A biztonsági változások ellenére a T2-es chipekkel rendelkező Apple számítógépek számára is elérhető a szakszerű adattörlés és adatfertőtlenítés. Amikor elérkezik az idő, hogy életciklusuk végén lecseréljük Apple eszközeiket, nyugodtan megtehetjük, tudván, hogy az adatokat szakszerű megoldással távolították el.
szept 18, 2019 | Adatbiztonsági cikkek, hírek
Nem először írunk arról, hogy mennyibe is kerül, ha kiszivárog az adatom, de most az IBM Security és a Ponemon Intézet közös kutatásának hála összeget is tehetünk a z adatszivárgás mögé. Ez az összeg az adatszivárgási incidens hosszától, a vállalat felkészültségétől függően változik.
Az adatszivárgásnak több okát különböztethetjük meg: adatszivárgás történik például, amikor egy rossz címzettnek küldünk egy emailt, az interneten tárolt adatainkhoz – nem megfelelő védelem miatt – hozzájutnak illetéktelenek, vagy a vállalati hálózatba belépő hackerek lopják el azokat. De az is adatszivárgás, amikor a régi géppel együtt ügyfeleink adatai is kikerülnek vállalaton kívülre. Ha ilyen történne, kötelességünk az incidensről értesíteni az adatvédelmi hatóságot – Nemzeti Adatvédelmi és Információszabadság Hatóság – és meg kell tennünk mindent, hogy az adatszivárgás okait megszüntessük. A régi adathordozóval a vállalaton kívülre jutott adat esetében ez a megelőző adattörlés és fertőtlenítés lenne.
Hogy az adatszivárgásnak milyen költségei vannak, azt csak becsülni tudjuk, előző cikkünkben leírtuk, hogy milyen veszteségekkel kell számoljunk. A nyilvánvaló pénzügyi vesztesége mellett reputációs veszteség, bizalomvesztés is bekövetkezhet. Pontos összeget azonban senki sem tudott mondani – mostanáig. Az IBM Security és a Ponemon Intézet közös kutatása rávilágított, hogy átlagosan 3,92 millió dollárba (1,1 milliárd forint) kerül egy adatszivárgási incidens (nyilván, ezt az vizsgált amerikai, nyugat-európai, közel-keleti, indiai vállalatokra kell érteni).
Ha gyorsabb, akkor olcsóbb
A felmérésben 500 szervezet adatszivárgással kapcsolatos költségeit vizsgálták meg egy éven keresztül. A kutatásból kiderült, hogy minél gyorsabban sikerült az adatszivárgás következményeit elhárítani, annál kevesebb pénzbeli veszteséget okozott az esemény. A kutatásban átlagosan 279 nap alatt sikerült ezeket a következményeket felszámolniuk az érintett cégeknek. Azok a vállalatok, akik 200 nap alatt tudták rendezni soraikat 37 százalékkal kevesebb pénzveszteséget szenvedtek az adatszivárgás miatt.
A legdrágább adatszivárgásokat a rossz akaratú támadók okozták, ugyanakkor ezeket a támadásokat elég későn fedezték fel, tehát eléggé elhúzódtak, átlagosan 314 napig tartott az incidens és a következményeinek felszámolása. Ez logikus is valahol, hiszen minél hosszabb ideig tart felismerni egy adatszivárgást, annál nehezebb megfékezni és hosszabb idő is felszámolni következményeit.
Legyen incidens response team!
A biztonsági esemény következményeinek felszámolását nagyban segítette az is, ha a vállalatnak volt egy incidens response team-je, vagyis egy biztonsági csapata, mely kipróbált tervvel rendelkezett a hasonló esetekre. A kutatás szerint azok a vállalatok, akiknek volt hasonló biztonsági csapatuk és a visszaállítási tervet rendszeresen gyakorolták, 35 százalékkal olcsóbban úszták meg az incidenst, mint a nem felkészült szervezetek.
De mit is tehetünk az adatszivárgások megelőzése érdekében? Amint a fenti kutatásból is kiderül, legyen egy biztonsági csapatunk, mely begyakorolt visszaállítási tervet is felállított. Hiába jó a tervünk, ha annak véghezvitelében kommunikációs akadályok, döntések elmaradása akadályoz.
Emellett vásároljunk olyan technológiákat, melyek segítenek gyorsan felfedezni és megakadályozni az adatszivárgást. Lehetőség szerint támaszkodjunk automatizált megoldásokra, így nem kell emberi erőforrásra költeni. Készítsünk biztonsági mentést adatainkról és dolgozzunk ki egy vállalati tevékenység folytonosságot biztosító tervet – melyet gyakoroljunk rendszeresen. Adatainkat tudatosan menedzseljük keletkezésük pillanatától kezdve egésze életciklusuk végéig. És ha minden kötél szakad, a végén hívjuk a szakembereket.
szept 10, 2019 | Adatbiztonsági cikkek, hírek
Előző bejegyzésünkben részletesen írtunk arról, hogyan kell előkészíteni az adatok mentését. Arról is szóltunk, mit jelent a 3-2-1 stratégia: a fontos adatokból legyen legalább 3 másolat, 2 különböző adathordozón, melyikből 1 nem csatlakozik az internetre. Volt szó arról is, hogy a merevlemez és a felhőszolgáltató szerverére történő mentés legyen rendszeres, lehetőleg szoftverrel támogatott. Fontos tanulság továbbá, hogy a merevlemezt egy biztonságos helyen tároljuk, például egy tűz- és vízbiztos széfben.
Ha ezeken a lépéseken túl vagyunk, akkor már összeállt adatmentési stratégiánk. A feladatunk azonban itt nem ér véget, hiszen nem szeretnénk éles helyzetben, egy zsarolóvírusos támadás után rájönni arra, hogy egyetlen adatmentés sem működik. Ezt pedig csak úgy tudjuk kivédeni, ha rendszeresen teszteljük az adatmentéseket, gyakoroljuk az adatvisszaállítás folyamatát.
Hogy pontosan mi is a teendőnk? Menjünk végig az alábbi lépéseken:
- Negyedévente készítsünk egy ideiglenes mappát számítógépünkön. Majd indítsuk el az adatmentő szoftvert, és válasszunk ki pár fájlt, melyet vissza szeretnénk állítani. Mentsük el őket az ideiglenes mappába. Majd nyissuk meg őket, hogy győződjünk meg, nem károsodott a fájl, minden információt tartalmaz. Hiba esetén töröljük az adott mentést, mentsük el újra az adatokat és indítsuk el újból a tesztet. Ha újból sikertelenül zárul a folyamat, akkor a mentést végző szoftverrel vagy a külső merevlemezzel lehet gond – kérjünk segítséget az ügyfélszolgálattól.
- Ha sikeresen visszaállítottunk pár fájlt és a benne lévő adatok is stimmelnek, akkor próbálkozzunk egy olyan mappa visszaállításával, melynek almappái is vannak. A sikeres visszaállítás azt jelenti, hogy a teljes mappastruktúrát visszanyertük, az össze fájlokkal együtt, és ezeket a fájlokat meg tudjuk nyitni, van benne információ.
- Évente kétszer teszteljük adataink teljes visszaállítását. Ha nincs elegendő hely számítógépünkön ehhez a művelethez, akkor ehhez egy másik, esetleg régebbi számítógépet használhatunk vagy egy virtuális gépen tesztelhetünk. Amint az adatvisszaállításnak vége, nézzük meg, hogy a fájlstruktúra stimmel, ellenőrizzünk pár fájlt, hogy nem sérültek. Ugyanakkor hasonlítsuk össze a visszaállított adatmennyiséget a meglévő adatok mennyiségével, ha nagy lenne a különbség, akkor járjunk utána a különbség okának.
És ennyi. Most már a számítógép adatainak mentése és visszaállítása biztosan nem okoz gondot alváskor.
szept 3, 2019 | Adatbiztonsági cikkek, hírek
Sokat írtunk a minősített adattörlés fontosságáról blogunkon, de ez a fontos adattörlési folyamat az adatok életciklusának menedzselésének csupán egyik szakasza. Mostani bejegyzésünkben egy másik szakaszról, az adatok mentéséről írunk.
A zsarolóvírusok korában, melyek választás nélkül titkosítanak minden adatot, fontos az adatok rendszeres mentéséről gondoskodni. Nagyvállalati környezetben két-három fős csapatok mellett automatizmusok és megoldások sora foglalkozik a kérdéssel, azonban a kisebb, pár fős vállalatoknál, magánszemélyeknél ennyi erőforrás nem áll rendelkezésünkre. Azonban nekünk sem kell lemondani az adatok mentéséről, melyben a 3-2-1 stratégiát javasoljuk követni.
Így menedzseljük az adatokat
Még a stratégia ismertetése előtt, az adatok menedzseléséről írunk pár sort. Archiválás előtt az adatokat érdemes kiválogatni, és azokat, melyekről úgy határozunk, hogy már nincs rá szükségünk, töröljünk minősítetten. Az adatmentés menedzselésének másik szakasza, mikor előkészítjük, kiválogatjuk, hogy pontosan MELY ADATOKAT mentjük le: például a cuki cicás fotókat semmiképp, a vállalati rendezvényről szólókat azonban mindenképp. Ha kevés adatot szeretnénk menteni, akkor célszerű egy adott mappába rendszerezni az archiválásra szánt fájlokat, majd egy felhőszolgáltatás segítségével szinkronban tartjuk a változásokat. Ha egy egész merevlemezt szándékozunk backup-olni, akkor már érdemes egy külső tárolóegységet és egy szoftvert is beszerezni.
Ugyanakkor azt is el kell dönteni, hogy MELY ESZKÖZÖKET mentjük el: a vállalati mobiltelefon például szinte már fontosabb adatforrás, mint a laptop vagy az asztali számítógép, úgy, hogy érdemes erről az eszközről is rendszeres másolatokat készíteni.
Mi is az a stratégia?
Miután eldöntöttünk, hogy mely eszközökről milyen adatok fontosak, akkor ne feledkezzünk el, hogy az adatokat több példányban és több adathordozón tároljuk. Itt már beszélhetünk a cikk elején emlegetett 3-2-1- stratégiáról, mely szerint a fontos adatokból legyen legalább 3 másolat, 2 különböző adathordozón, melyikből 1 nem csatlakozik az internetre.
A több példányra azért van szükség, mert a háromból egy biztosan működik, ha a többi valamiért olvashatatlan lesz. Ugyanezért a logika miatt van szükség két különböző adathordozóra, ha az egyik nem működne, akkor a másikról csak olvasható marad az információ. És ezekből az eszközökből azért kell egy offline legyen, mert ha valaki behatol számítógépünkbe és titkosítja, tönkreteszi adatainkat, akkor legyen egy offline másolat, melyet az internetes támadás nem érinthet és melyről visszaállíthatjuk adatainkat. A zsarolóvírusok nemcsak a számítógép, hanem a hozzá csatlakoztatott külső tároló adatait is titkosítja. Ez az offline másolat helyettesíthető egy felhő szolgáltatással is – ennek belépési adatait azonban semmiképp se mentsük el a böngésző vagy számítógép jelszókezelőjével.
Na, de hogy is van ez a gyakorlatban?
A gyakorlatban mindez azt jelenti, hogy például egy laptop adatainak mentéséhez használjunk egy külső merevlemezt, és fizessünk elő (vagy használjuk az ingyenes verziót kevesebb adat esetén) egy online backup szolgáltatásra. A külső merevlemezhez érdemes egy backup szoftvert is vásárolni, mert az megkönnyíti az adatok rendszerek mentését – ha csak néha-néha mentjük el őket, megfeledkezünk róla, akkor semmit sem ér az egész.
Amikor adatainkat külső merevlemezre mentjük, érdemes laptopunkat lecsatlakoztatni a hálózatról ideiglenesen, és lehetőség szerint ne dolgozzunk rajta. Így biztosak lehetünk abban, hogy minden adatot lementünk, és közben még véletlenül sem kezdi el egyetlen zsarolóvírus sem a titkosítást. Az adatmentés végén a külső merevlemezt tároljuk egy biztonságos helyen: egy zárható, tűz és vízbiztos széf a legjobb megoldás.
A felhő szolgáltatással ennél is egyszerűbb az adatmentés: a felhasználónév és jelszó birtokában telepítjük gépünkre a cloud szolgáltató szoftverét, Majd beállítjuk, mely fájlokat milyen gyakorisággal mentse. Persze, az online szolgáltatás mindig is magában foglalja azt a kockázatot, hogy a külső partner szervereit feltörik és ellopják adatainkat. Ezért érdemes egy megbízható szolgáltatót választani, például a Google Drive 15 GB-nyi adatot tárol teljesen ingyen. Adatainkat egy újabb lépéssel védhetjük meg: titkosítva tároljuk a felhőszolgáltatónál – így, ha be is jutnak a szerverekre, csak értelmezhetetlen kódokat látnak a hackerek.
Ezután nem feledkezzünk meg az adatok visszaállításának teszteléséről – erről egy következő, és ígérem rövidebb blogposztban írunk.
aug 26, 2019 | Adatbiztonsági cikkek, hírek
Három-négy évente biztosan vásárolunk egy új nyomtató, telefont vagy számítógépet. A régi eszköz adathordozóján meg ott maradnak az adatok, amelyek így idegenek kezébe kerülhetnek. Nemcsak a laptop és a mobiltelefon érintett, személyes és vállalati adatok maradhatnak a nyomtatóban, a céges autóban és a DVD lejátszón is.
Nem a képzelet szüleménye, megtörtént esetek: egy vidéki város piacán vásárolt használt számítógép merevlemezén kórházi adatokat, zárójelentéseket, boncolási jegyzőkönyveket találtak – ezek mind-mind kiemelten védett egészségügyi adatoknak számítanak. Vagy ugyancsak a másodkézből beszerzett merevlemezen egy repülőtér biztonsági rendszereinek a tervrajza volt elérhető. Harmadik példánk pedig egy olyan számítógépről szól, melynek a lomtárában ott voltak egy egész iskola összes évfolyamának adatai, családlátogatások jelentéseivel, osztályfőnökök beszámolóival, rászorultsági kérelmekkel és rendezvényfotókkal együtt.
Adatok meglepő helyeken
Személyesen is találkoztam hasonló esettel. Amikor pályafutásom alatt mobiltelefonok tesztelésével foglalkoztam, minden második teszttelefon úgy került hozzám, hogy az előző újságíró személyes családi fotói, adatai rajta voltak – szerencsére akkor még a mobiltelefonok nem csatlakoztak a közösségi oldalakhoz, így azokhoz az adatokhoz nem volt hozzáférésem.
Olyan eszközökön is találhatunk vállalati vagy személyes adatokat, amire nem is gondolnánk első körben. A belső merevlemezzel rendelkező DVD lejátszón adathordozóján privát filmek és képek is ottmaradnak. A komolyabb vállalati nyomtatók is rendelkeznek merevlemezekkel, adathordozókkal, ha ezeket kidobjuk, az adathordozón ottmaradhatnak a kinyomtatott fájlok. Vagy hogy az autó navigációs és médiaközpontja is elmenti adatainkat, így amikor továbbadjuk a következő tulajdonosnak, az bizony szabadon kutakodhat a lementett zenefájlok, kapcsolatok és telefonszámok között. Egy komoly vállalat vezetőjének telefonszámai, kapcsolatai mindenki számára kincsesbányát jelenthetnek.
Szoftverrel fertőtlenítsünk
Mit tehetünk ez ellen? Ne csak töröljük, hanem megfelelő szoftverrel fertőtlenítsük az adatokat. Ahogy a példák között olvashattuk, ha az adat a lomtárba kerül, attól még nem semmisül meg. Sőt, akkor sem törlődik a merevlemezről, ha kiürítjük a lomtárat – a rendszer időspórlás miatt csak az adott információra való hivatkozást töröli, és csak később, mikor máshol nincs hely, írja felül az adatokat.
A vállalatok számára a tanúsított adatmegsemmisítés a záloga annak, hogy a rájuk bízott személyes adatokkal az előírások szerint jártak el. Nem kell mindig az adathordozó fizikai megsemmisítését választani, gyakran sokkal kifizetődőbb, ha az adatot hordozó eszközt egy elektronikai eszközök újrahasznosítására szakosodott vállalatnak adjuk át.
aug 12, 2019 | Adatbiztonsági cikkek, hírek
Az Auchan a legutóbbi partnere a Data Destroy-nak: az áruházlánc a környezettudatosság és az előírások betartása miatt kért meg minket, hogy felvásároljuk, szakszerűen adatfertőtlenítsük és ezek után az alkalmazottaknak értékesítsük számítógépes flottájukat. A döntéssel mindenki, de legjobban környezetünk járt jól.
Mint nagyon sok vállalatnál, az Auchan-nál is eljött az az idő, amikor a régi számítógépek megérettek a cserére. Az átlagosan 4 éves számítógépflotta szakszerű és környezetvédő menedzseléséhez az áruházlánc a Data Destroyt választotta. A Auchan komplex szolgáltatást vett igénybe cégünktől, mely magába foglalta a gépek felvásárlását, azok szakszerű kezelését, majd a használható gépek visszaértékesítését is. És hogy pontosan ez mit is jelent? Hamarosan kiderül.
Szakszerűen adatfertőtlenítettünk
Az áruházlánc életciklusuk végén lecserélte számítógépes flottáját, ez laptopokat, asztali gépeket egyaránt magába foglalt. Munkatársaink összecsomagolták, majd a Data Destroy raktárába szállították a számítógépeket. Az adathordozókon lévő adatokat a Blancco megoldásával szakszerűen és tanúsítottan adatfertőtlenítettük, az adatok felülírásáról készült jegyzőkönyveket átadtuk az áruháznak. A laptopokat felújítottuk, kitakarítottuk, többek között új hűtőpasztával vontuk be a hűtőbordák és a processzor közötti felületet.
Minden számítógépre egységes operációs rendszert telepítettünk. Az egységes gépeket egy, erre a célra kialakított webáruházba töltöttük fel, ahonnan az Auchan alkalmazottai vásárolhatták meg személyes használatra a felújított gépeket.
Komplex szolgáltatás gépekért cserébe
Mindezt a komplex szolgáltatást úgy bonyolítottuk le, hogy az az Auchan áruházláncnak nem kellett érte fizetnie. A számítógépek értéke fedezte a régi laptopok felújításával, szakszerű adatfertőtlenítésével járó költségeket, cégünk, a Data Destroy a számítógépek eladásából jutott bevételhez. Cserébe viszont az áruházlánc a jogszabályoknak megfelelően kezelte a gépeken található adatokat, mikor azokat számukra tanúsítottan, felülírással, a Blancco megoldásának segítségével fertőtlenítettünk. Az Auchan alkalmazottai jogtiszta operációs rendszerű, felújított gépekhez jutottak hozzá a piaci árnál kedvezőbben.
És amit legnagyobb eredményünknek tartunk, hogy felesleges szeméttől kíméltük meg környezetünket.
aug 1, 2019 | Adatbiztonsági cikkek, hírek
A cégeknek jó esetben már kidolgoztak szabályzatot az IT vagyon fizikai részének menedzselésére, azonban az adatokról nagyvonalúan megfeledkeznek. Fontos az adatok kezelésével is foglalkoznunk, ha nyugodtan szeretnénk aludni éjjel, ebben automatizmusok is segítenek.
A technológia gyors változása, az eszközök elévülési ideje miatt három-öt évente az irodai munkához használt számítógépeket cseréljük. A régi szerverek, adatrendszerek üzemeltetési költsége egy idő után olyan magas, hogy ha találunk is hozzáértő szakembert, egyszerűbb és kifizetődőbb, ha inkább cseréljük a rendszereket. Az IT rendszerek cseréjére, felújítására menetrendszerűen, szabályzat szerint kerül sor. Az adattörlési szabályzat végrehajtása a fizikai gépek cseréjéhez kötött, az előírások garantálják, hogy minden bizalmas adatot megfelelően eltávolítottak azokról az eszközökről, melyek véglegesen elhagyják cégünket.
A hatékony adatkezelés érdekében szét kellene választani a fizikai eszközök és az adatok menedzselését, és ne ragaszkodjunk a fizikai eszköz és az adat együttes kezeléséhez. A gépek és adatok életciklusa különbözik, nem logikus csak azért egymáshoz kötni őket, mert egymásnak kiegészítői. Az adat nemcsak egy adott eszközön létezik, hanem a felhő technológiának köszönhetően egy olyan gépen is megtalálható, mely kívül esik a vállalat eszközkezelési szabályzatán. Az adat és fizikai hordozójának útja szétváltak.
A gyakorlatban az adat életciklusa sokkal rövidebb vagy sokkal hosszabb, mint az eszköz életciklusa, persze, mindez az adat típusától függ. Amikor összekötjük a két eseményt, akkor rengeteg fejfájást és manuális munkát generálunk IT rendszergazdáink számára.
A hatékony adatmenedzsment, mely az adatok keletkezésétől, azok megtartását és törlését is magába foglalja, átgondolt folyamatokból áll. Olyan alkalmazásokat vonhatunk be az adatok menedzselésébe, melyek precízen végrehajtják az adatmenedzselési szabályzatba leírtakat – automatikusan. Ha tudjuk, hogy mi történik egy panaszos ügyfélemaillel kezdve megérkezésétől és végezve a panaszos ügy lezártáig, ismerjük a kötelező adatmegőrzési periódusokat, automatikus ütemezéssel, adatfertőtlenítéssel biztosíthatjuk, hogy az adatokat kellőképpen megsemmisítettük.
Az automatizmusnak pedig elsőnek értékes munkatársunk örül majd, akinek időt takarítottunk meg, értékteremtő munkát biztosítottunk helyette. Ugyanakkor az esetleges adatvédelmi auditoknak is nyugodt szívvel nézhetünk elébe, hiszen az automatizmusok dokumentáltan biztosítják, hogy az adatokat csak azok lássák, akiknek szánták.
júl 28, 2019 | Adatbiztonsági cikkek, hírek
Korábbi cikkünkben már foglalkoztunk azzal, hogy egy-egy adatszivárgási esetben milyen költségekkel kell számolnia egy vállalatnak. Vagyis, hogy mennyit is érhet az a bizonyos adat. A közelmúlt eseményei alapján most már konkrét számokat tehetünk az adat értéke mellé.
Nemcsak az adatok értékével kell számolnia egy vállalatnak, amikor adatait elhagyja, elveszíti, hanem a presztízsveszteség következtében létrejövő bevételkieséssel, az ügyfélveszteség miatti elmaradt bevételekkel, az esetleges tőzsdei értékcsökkenéssel – minderről egy korábbi cikkünkben már beszámoltunk. Emiatt nehéz egy pontos számot tenni az adatveszteségek tétel mellé. A közelmúltban több gigabírságot is kiszabtak a hatóságok adatszivárgás miatt, így végre sikerült árcédulát tenni az adatokra. Lássuk hát az eseteket.
A Mariott Hotel 2018 novemberében egy hacker támadás következtében 399 millió vendégének válogatott adatait veszítette el (vendégenként változott, hogy milyen adatok kerültek idegenek kezébe, de név, postai cím, telefonszám, email cím, útlevélszám, születési adatok, nem, érkezési és távozási adatok, foglalási adatok, bankkártya adatok is közöttük voltak). Az üggyel kapcsolatban nemrég született egy gigabírság: a GDPR szellemében 99,2 millió font büntetést szabott ki az angol adatvédelmi hatóság. Hogy ezt csak az érintett 7 millió brit lakos miatt tette volna, akkor azt jelenti, hogy személyenként 14,17 fontot (vagyis 5135 forintot) érnek az adatok. Ha a 399 millió vendéget vesszük figyelembe, akkor ez csupán 0,24 fontot (vagyis 86 forintot) jelent személyenként.
A British Airways ennél sokkal, de sokkal rosszabbul járt, hiszen ugyancsak a brit adatvédelmi hatóság 183 millió fontos bírságot szabott ki a társaságra, amiért tavaly szeptemberben egy hackertámadás következtében 500 ezer ügyféladatot loptak el – minden esetben a jegyek vásárlásához használt bankkártyák adatairól van szó. A hatóság azért volt ennyire szigorú, mert szerintük a társaság hanyag volt az IT biztonság tekintetében. Ezzel a büntetéssel akartak példát statuálni, üzenetet küldeni a piacnak: a vállalatoknak komoly lépéseket kell tenniük annak érdekében, hogy az alapvető emberi jogokat, a személyes adatainkat védelmezzék. És akkor számoljunk, ez ügyfelenként 366 fontot jelent, ami forintban kifejezve szemmel is látható, még távolról is: 132600 forintról van szó.
És ez még nem minden, a Facebook 5 milliárd dolláros büntetéssel néz szembe, igaz, ott a Cambridge Analytica-val kapcsolatos, engedély nélküli adatátadásról van szó. (A Facebook-on futó, különböző ártalmatlan játékokon keresztül adatokat szívtak el a felhasználók közösségi oldal profiljáról, majd a játékosok ismerőseinek adatait is begyűjtötték. Ezeket az adatokat használta fel a Cambridge Analytica a szavazók pszichológiai profiljának kialakítására, ennek a profilnak az ismeretében az amerikai elnökválasztás idején, Donald Trump stábja mikro célzott üzenetekkel győzte meg a szavazókat, hogy mellettük voksoljanak.) Az amerikai fogyasztóvédelmi felügyelet 5 milliárd dolláros bírságot szabott ki a Facebookra, 500 millió érintett felhasználóval számolva ez csekély 10 dollárt (2941 forint) jelent.
júl 13, 2019 | Adatbiztonsági cikkek, hírek
Miért kell adatfertőtlenítés is a titkosítás mellé?
Adataink titkosított tárolása csak megnehezíti, de nem teszi lehetetlenné az adatokhoz való hozzáférést. Az adatok titkosítása csak kiegészíti, de nem helyettesíti az adathordozók fertőtlenítését.
Az adatok vagy a merevlemezek titkosítása fontos eszköz az adatszivárgás elleni küzdelemben, az értékes adatvagyon házon belüli tartásában. Az adatok titkosítása azonban hamis biztonságérzet kialakulásához is vezethet, gyakori az az elképzelés, hogy ezután már könnyen hátra dőlhetünk, semmi teendőnk sincs, adatainkhoz végképp csak az illetékes fér hozzá.
Ez sajnos nem így van. Aki biztosra akar menni, az a korábban titkosított merevlemezeket is felülírással fertőtleníti eladás, továbbadás előtt. A titkosítás használata azt jelenti, hogy tudatos IT vezető vagy cégvezető van a vállalatnál, aki nem szeretné, hogy az adatok könnyen kiszivárogjanak a vállalattól. A titkosítás hozzásegít ahhoz is, hogy picit nyugodtabban alszunk éjjel, nem aggódunk feleslegesen.
Amikor viszont a merevlemez életciklusa végéhez ért, leselejteznénk, a titkosítás mellett az adatot szakszerű eltávolításáról is gondoskodnunk kell. A titkosítás a gyakorlatban egy jelszót jelent, amit adathalászat, fenyegetés vagy csak egy ajándék sör hatására elárulhat nekünk az adatgazda. A titkosítási technológiák sem mindig jelentenek bombabiztos adattárolást, időnként kiderül, hogy komoly biztonsági rés tátong egyik vagy másik technológián.
Ezek a titkosítási hibák ismertek
A Windows operációs rendszerekbe alapból beépített Bitlocker titkosítási eljárásról kiderült, hogy firmware-beli hiba miatt könnyen feltörhető kulcspárokat generált a rendszer. A problémát tovább fokozza, hogy nem könnyű ezt a hibás firmware-t frissíteni – már ha eszébe jut ez a rendszergazdának. A 2017-ben feltárt hibához vannak frissítések, ezen a linken lehet megnézni, hogy a különböző hardverekhez honnan, hogyan kell azt telepíteni.
A méltán népszerű Western Digital titkosítási eljárásába is hiba csúszott, ezen a linken olvashatják el az összes hibát. Egyet kiemelünk: a titkosításban a sózás technológia arra szolgál, hogy a gyenge jelszavakat lenyomatait megváltoztassák, úgy, hogy a hackerek ne ismerjék fel, ne tudják visszafejteni, Ehhez azonban változó vagy módosítható sóra van szükség, amit az eredeti gyenge jelszóhoz kevernek. A WD merevlemezei a sózáshoz három betűből álló, nem módosítható karaktert használnak: WDC.
júl 2, 2019 | Adatbiztonsági cikkek, hírek
A vállalatoknak nincs idejük foglalkozni az idős eszközökkel, ami viszont egyre nagyobb fenntartási költségeket generálnak. A Blancco év eleji kutatása szerint a vállalatoknak milliókba kerül a régi, idejétmúlt IT eszközök tárolása.
Az európai, amerikai és ázsiai vállalatok megkérdezésével készült kutatás szerint a Blancco azt a következtetést vonhatta le, hogy 100 ezer dollárt (több mint 28 millió forint) költenek a szervezetek az adatközpontjukban működő régi eszközök fenntartására, az elavult technológia okozta zavarok elhárítására. A régi hardver eszközök ezen felül biztonsági és megfelelőségi kockázatot is jelentenek a vállalatnak: gyakori, hogy az elavult hardver operációs rendszerét már nem frissítik, de mégis tovább üzemeltetik, nyílt utat biztosítva az adatokat ellopni kívánó hackereknek.
A 600 vállalat megkérdezésével készített kutatás szerint a cégek több mint felének (54 százaléka) akadt gondja az adatvédelmi hatóságokkal, legalább egyszer, de voltak olyanok is, akik kétszer. Az európai GDPR és amerikai ágazati (például egészségügy) adatvédelmi szabályozások értelmében ezek a vállalatok 20 millió eurós vagy 1,5 millió dolláros büntetést kockáztatnak viselkedésükkel.
Fredrik Forslund, a Blancco vállalati megoldásokért felelős alelnöke szerint a vállalatok szükségtelenül magas összegeket költenek az adatok belső tárolására. Másik oldalról a vállalatok viselkedése érthető, viszont hiszen azért nem mernek a régi IT eszközöktől megszabadulni, mert ezzel adatszivárgást kockáztathatnak – nem tudják megfelelően fertőtleníteni az adatokat tartalmazó merevlemezeket. Ezért inkább tovább tárolják, rosszabb esetben az aktív hálózatba beépítve működtetik ezeket a régi IT eszközöket is, komoly károkat okozva saját maguknak. Megoldás lehetne szakértő vállalatokra bízni az adatok szakszerű törlését, fertőtlenítését.
A kutatás további eredményei szerint a vállalatoknál dolgozók többsége egyszerűen elbukná az adatfertőtlenítési tesztet, miután 57 százalékuk úgy véli, a gyorsformázás vagy a teljes formázás elegendő az adatok visszaállíthatatlan törléséhez. Egy másik érdekes adat, hogy a vállalatok 80 százaléka elismerte, a régi IT eszközök negyede csak ott csücsül az adatközpontban és az áramfogyasztáson kívül semmilyen aktív feladatuk nincs.
jún 27, 2019 | Adatbiztonsági cikkek, hírek
A mobilszolgáltatóktól, számítógépszervizektől, de még a munkáltatónktól is kérhetjük annak igazolását, hogy a részére átadott adathordozóról megfelelően törölte személyes adatainkat, és ezt a jogunkat széles körben tudjuk érvényesíteni.
A Nemzeti Adatvédelmi és Információszabadság Hatósága állásfoglalásával egy korábbi cikkünkben már foglalkoztunk. Akkor azt emeltük ki, hogy a GDPR salátatörvénynek nevezett jogszabály 2019 áprilisi elfogadásával a munkahelyi személyes adatokat dokumentáltan kell törölni. A jogszabályok és a hatósággal történő konzultáció alapján egyértelmű, hogy a számítástechnikai eszközök adatoktól történő fertőtlenítését széles körben be kell iktatni a különböző munkahelyi és üzleti folyamatokba – emelte ki Molnár Gábor, a NAIH véleményének értelmezését elvégző L-Tender Consulting ügyvezetője.
Köteles fertőtleníteni a munkáltató
Például, ha egy munkavállaló a munkáltatója részére visszaadja céges mobiltelefonját vagy notebookját, akkor a munkáltató köteles ezt az eszközt fertőtleníteni a személyes adatoktól. Erről pedig a munkavállaló olyan törlési jegyzőkönyvet kérhet, amely tartalmazza a törlés módszerét, időpontját, eredményét, valamint a törölt adathordozó egyértelmű azonosítását lehetővé tévő sorozatszámot vagy IMEI számot.
Szintén adattörlési kötelezettsége van egy mobilszolgáltatónak vagy PC-szerviznek olyankor, ha egy mobiltelefont vagy notebookot garanciában újra cserél. Ilyenkor az ügyféltől átvett régi eszközről a cég köteles törölni a személyes adatokat, és erről törlési jegyzőkönyvet kell kiállítania.
A törlés módszereként nem fogadható el az egyszerű formázás, ehelyett olyan eljárást kell alkalmazni, amely a korábbi adatokat az adathordozó teljes felületén felülírja egy megfelelő algoritmussal, és így az adatokat visszaállíthatatlanná teszi. A törlés megtörténtét pedig részletes jegyzőkönyvvel kell igazolni mind az ügyfél, mind az ellenőrző hatóságok felé.
Több millió mobil érintett
A gyakorlatban mindez azt jelenti, hogy évente sok millió eszközt kell fertőtleníteni a személyes adatoktól, és a mobiltelefonokat, számítógépek nem lehet úgy leselejtezni, tovább adományozni vagy értékesíteni, hogy ne történjen meg a törlésük. Molnár Gábor szerint könnyen meg lehet érteni, hogy mindez miért fontos. Életszerű feltételezni például, hogy egy munkavállaló a részére rendelkezésre bocsátott notebookon magáncélból is fel fog keresni különböző weboldalakat. A böngészési előzményekből így következtetni lehet egészségügyi állapotára és betegségeire, vallási hovatartozására és politikai nézeteire, szexuális szokásaira. Ezeket az adatokat pedig – jogszerűtlenül – a vállalat HR-osztálya is felhasználhatná, például egy menedzser előléptetésének elbírálása során.
jún 15, 2019 | Adatbiztonsági cikkek, hírek
A telefonokat újrahasznosító vállalatoktól közvetlenül vásárolt Android telefonok tesztelése után kiderült, hogy a készülékek 19 százalékában vannak adatok. A tanulság: használt mobiltelefonunkat csak megbízható szolgáltatónak adjuk át.
A Blancco munkatársai még 2018-ban vásároltak 100 darab Android készüléket olyan vállalatoktól, akik használt mobiltelefonok eladására szakosodtak. Ez azt jelenti, hogy ezek a cégek úgy adják tovább ezeket a készülékeket, hogy gondoskodtak a rajtuk lévő adatok szakszerű eltávolításáról. Mind kiderült, elvileg. Ami biztonsággal állítható az, hogy az összes készüléket gyári beállításokra állították vissza. Arról nincs információ, hogy a gyári beállításon túl milyen eszközzel írták felül (vagy sem) az adatokat.
Annak ellenére, hogy profi vállalatoktól kerültek ki ezek a készülékek, 19 százalékuk esetében az adatokat vissza lehetett állítani. Az viszont már biztató adat, hogy csupán 9 készüléken találtak személyes, vállalati vagy egyéb olyan szenzitív adatot, mely a korábbi tulajdonos azonosítását lehetővé tette. Tíz esetben a mobilszolgáltatóhoz köthető adatot volt a készüléken, vagyis SMS-eket, hívásnaplót és kontaktokat találtak – ezekből nem lehetett azonosítani a tulajdonost.
A készülékek kilenc százalékán egyéni és vállalati adatot is találtak, voltak közöttük fotók, közösségi média profilok stb. Egy telefonon találtak vállalati adatot, ennek alapján a kutatók belőhették, hogy pontosan hol is dolgozott az illető. Ez a készülék tartalmazta a legizgalmasabb fotókat: termékek prototípusait felejtettek a készüléken, de szállítási információkat is találtak és az adott dolgozó kapcsolatai is még az eszközön maradtak.
Az adatokhoz a kutatók hol nagyon könnyen, hol viszont csak speciális eszközök bevetésével jutottak hozzá. Azt megjegyezték, hogy kevés eszközön volt azonnal látható információ – vagyis, amikor bekapcsolták, nem azonnal láthatták például az SMS-eket. A sok információt tartalmazó mobiltelefonokat kereskedelmi forgalomban is elérhető szoftveres eszközökkel állították vissza. Egy esetben már ezek a bárki számára hozzáférhető eszközök sem vezette eredményre, ott közvetlenül a telefon chipjéből olvasták ki az információkat.
Azt is láthatták, hogy a legtöbb esetben a telefonok továbbadói próbálkoztak a felhasználói adatok kézi törlésével vagy a gyári visszaállításban bíztak, de ez nem sikerült. A kutatás azt is megjegyezte, hogy a kereskedőktől vásárolt készülékek arányaiban jobban teljesítettek, mint az online aukciós portálokról megvásárolt eszközök. A tanulság: megbízható forrásnak adjuk tovább használt készülékünket, győződjünk meg eladás előtt, hogy az adatokat ténylegesen, minősített módon törlik.
jún 3, 2019 | Adatbiztonsági cikkek, hírek
A vállalati digitális átalakulásának egyik lépése, amikor a skálázható, rugalmas szolgáltatásokat felhőbe költöztetjük. Egy ilyen lépés is csak úgy sikerülhet jól, ha azt megfelelően előkészítjük. Összeállításunkban a felhő technológiára való átálláshoz adunk tanácsokat az adatok szemszögéből.
A felhő szolgáltatás nem csak arról szól, hogy eldöntjük privát vagy publikus felhőt építünk, mely szolgáltatásokat migráljuk felhőbe és melyeket tartunk meg a vállalat belső hálózatában, illetve mely folyamatokat alakítsuk át, hogy azok könnyen skálázhatók, rugalmasok – vagyis igazi felhő szolgáltatások – legyenek. A vállalatok hajlamosak megfeledkezni arról, hogy a felhő technológiára való átállás adatmigrációt is jelent, az adatok felülvizsgálatát is magába hordozza.
Ismerjük meg adatainkat
A felhő szolgáltatásba való költözés jó alkalmat és kifogást szolgáltat a birtokunkban lévő adataink megismerésére és megértésére. Igen, erre mindenképp szükség van, mert – ahogy erről egy korábbi bejegyzésünkben már írtunk – a vállalati adatok több mint felét (52 százalékát) nem ismerjük, ezeket sötét adatoknak is nevezzük, 33 százalékát az információ mennyiségének a redundás, elavult vagy triviális adatok teszik ki és csupán 15 százalékuk a pontosan azonosított, strukturált és feltehetően üzleti szempontból kritikus adat. Belátjuk, hosszas folyamat megismerni azt az 52 százalékot, ami sötét adat. Ehelyett pontosan határozzuk meg, melyek a felhőben működő szolgáltatások számára szükséges adatok és csak azokat vigyük át az új platformra.
Az adatnak teljes életciklusa van, melyre már keletkezése előtt gondolni tudunk, és megfelelően előkészíthetjük az egyes életciklusra jellemző tennivalókat. Ha az adattal kapcsolatban tervezünk, akkor például időszakosan felülvizsgáljuk adatvagyonunkat, meghatározzuk mit kell törölni és mit érdemes megtartani. Ha ezt rendszeresen végezzük, akkor az adatok felhőbe történő migrálásakor könnyű dolgunk lesz.
(A vállalati adatok életciklusával három blogbejegyzésben is foglalkoztunk, az elsőben a vállalati adat életciklusával kapcsolatos kategóriákat határoztuk meg, a másodikban és a harmadikban az adattal kapcsolatos teendőket soroltuk fel.)
Fontos, hogy meglegyen a kilépési stratégiánk is
Még mielőtt a felhő szolgáltatás használata elkezdődne, érdemes leszögezni, hogyan végződik ez az utazás. A felhő szolgáltatók piacán egyre másra jelennek meg a kisebb-nagyobb szolgáltatók, így a verseny komollyá válása jó anyagi és technológiai indokot szolgáltat a váltásra. Már a szolgáltató kiválasztásakor meg kell győződjünk, hogy az tanúsítottan és véglegesen töröli adatainkat is, miután már megszüntettük a szolgáltatóval a kapcsolatot. Az is fontos, hogy az adatok szakszerű törlése egy jövőbeli auditon is jó szolgálatot tesz, hiszen be tudjuk bizonyítani, mit tettünk az ügyfeleink személyes adataival.
Ne láncoljon magához a szolgáltató
A szolgáltatás megszüntetésekor derülnek ki a kompatibilitási és migrálási problémák nagy része, hiszen ekkor jövünk rá, hogy a szolgáltató nyitott vagy zárt technológiát használ az adataink menedzselésére. A zárt technológia azt jelenti, hogy az új szolgáltatóra való átváltás igencsak fájdalmas lehet. Még mielőtt elköteleződünk egyik vagy másik szolgáltató mellett, kérjük meg, hogy mutassák meg nekünk, egyébként adatainkat hogyan tudjuk visszanyerni, ha már nem kívánjuk a megoldásukat használni – a teszt minden buktatót felderít.
És a régi adatokkal mi lesz?
Már felhőbe költözött a szolgáltatás, minden tökéletesen sikerült, mindenki elégedett. A régi szerver azonban ott a sarokban foglalja a helyet, ideje lenne már kidobni, újra hasznosítani, netán eladni. Bármit is teszünk a régi vassal, ne feledkezzünk meg a merevlemezen tárolt adatokról, azokat szakszerűen, tanúsítottan töröljük őket. Mert ha nem akkor a konkurencia kezébe kerülhetnek féltve őrzött adataink.
ápr 26, 2019 | Adatbiztonsági cikkek, hírek
Álljunk meg egy percre és gondoljuk csak át: hány és hány internetre kapcsolt eszközt használunk otthonunkban és a munkahelyen? Ha nem más, pár számítógép, több okostelefon, nyomtató, táblagép mindenképp szerepel listánkon. Nagyon sokan munka és személyes célokra is használják ugyanazt az eszközt: az otthoni gépünkről lépünk be a vállalati hálózatba, hogy egy vagy két feladatot még elvégezzünk, de fordítva, a munkahelyi gépen tárolunk pár kedvenc fotót (egyik közülük épp a háttérkép).
ÉS még nem beszéltünk a különböző kütyükről, mely naponta generálják a személyes adatokat rólunk. Elég egy okos órára vagy fitness karkötőre gondolni, vagy egy okos konnektorra, mellyel az interneten keresztül is tudjuk egyes eszközeinket menedzselni. Vagy az internetre csatlakozó tévé, set-top-box, játékkonzol is adatokat generál. Vagy központi fűtési rendszer? Mosógép? Hifi rendszer? Teafőző? Nem vicc, ezek az eszközök is csatlakozhatnak az internetre és akarva akaratlanul adatot tárolnak rólunk –minimum a hálózati ID-t és jelszavát már elmentették.
Bármennyire is trendik és izgalmasok is ezek az internetre csatlakoztatott készülékek, komoly kihívást jelentenek adatvédelmi szempontból. Első körben, a fogyasztók meg sem vásárolják ezeket a készülékeket, ha úgy érzik, nem bízhatnak meg bennük. A kutatások azt mutatják például a brit háztartások kétharmada aggódik amiatt, hogy valaki hozzáfér személyes adataikhoz, ha a használt laptopot vagy mobilkészüléket eladnák. És joggal. Mert a legtöbb fogyasztó nem tudja, hogyan lehet az adatok biztonságosan eltávolítani a régi készülékről. Ezért inkább a fiók mélyére süllyesztik a régi készüléket mintsem értékesítsék. Vagy a tudatlanok bátorságával felfegyverkezve teljes bizalommal adják el adataikat is idegeneknek.
Ezért mi a Data Destroynál úgy gondoljuk, a gyártók felelőssége olyan technológiákat kidolgozni, melyek könnyedén és gyorsan, de mégis biztonságosan lehetővé teszik az adatok egyszerű eltávolítását. Ez nemcsak a fogyasztók bizalmát növelné, hanem fellendítené a használt eszközök piacát is, melynek komoly ökológiai hatása lehet környezetünkre. Az okos eszközöket gyártó vállalatok felelőssége oktatni a fogyasztókat az adatvédelem, az adatok tárolásának területén – egyszerűen azzal, hogy elmondjuk, milyen adatokat hol, mennyi ideig tárol az adott eszköz.
Az adatok tárolásában és megsemmisítésében érdekelt piaci szereplők összefogására van szükség annak érdekében, hogy termék és operációs rendszer szintjén találjanak ki egyszerű tervezési elveket, mely segítené az ügyfeleket adatvagyonuk felelős kezelésében, felelős megsemmisítésében. Például közvetlenül a lapkagyártókkal dolgozva a chipre égethetnénk be a minősített törlési protokollokat, így biztosítva az adatok biztonságos és minősített megsemmisítését. És így mindenki nyugodtan aludhat este, az adatok biztonságban lesznek.
ápr 14, 2019 | Adatbiztonsági cikkek, hírek
Újrahasznosított anyagok e-termékekben
Több óriási gyártó is követendő példát mutat azzal, hogy egyre növekvő mennyiségben újrahasznosított anyagokat használ új termékeinek gyártásakor. Itthon még gyermekcipőben jár az e-hulladék feldolgozása, de odafigyeléssel meg tudjuk hosszabbítani a gépek élettartamát.
Amikor új számítógépet vásárolunk, akkor a régi e-hulladékká válik. Az e-hulladék szakszerű feldolgozásáról, elhelyezéséről nekünk kell gondoskodnunk, de ebben a nagy vállalatok, kereskedők is segítenek. A lakossági e-hulladék szakszerű kezelésében a szeméttelepek, az elektronikai kereskedők is segítségünkre vannak. A vállalatok e-hulladékának felvásárlásában a különböző erre szakosodott cégek segítenek.
Az Amerikai Egyesült Államokban a nagy laptop gyártók is felkarolták az e-hulladék ügyét, és egyre nagyobb mértékben építik be termékeikbe az újrahasznosított anyagokat. Legutóbb a Dell jelentette be, hogy a 2020-as céldátum előtt, 2018 végén sikerült elérniük a 2 milliárd font (közel 1 milliárd kilogramm) újrahasznosított e-hulladék mennyiséget. A projektben műanyagot, szénszálat, és az alaplapban felhasznált aranyat sikerült kinyerniük. Ezeket az alapanyagokat az új termékek készítésekor használják fel.
Az amerikai PC gyártó arra is figyel, hogy a dízel generátorok által kibocsátott füstöt is újra hasznosítsa, egy indiai start-up céggel karöltve nyomtatótintát varázsolnak belőle. Az Apple-nak is van egy hasonló programja, amelynek keretén belül az új MacBook Air és Mac Mini kizárólag, vagyis 100 százalékban újrahasznosított alumíniumból készül.
Ha vállalatunk számára vagy magánemberként fontos a környezetünk védelme, akkor érdemes az elavult számítógépeket felújítani és egy karitatív szervezetnek adományozni. Mi, a Data Destroy-nál azzal óvjuk környezetünket, hogy felvásároljuk a használt laptopokat, számítógépeket, adathordozókat és az arra érdemes gépeket felújítjuk, majd újból értékesítjük. Nyilván, mindezek előtt, az adathordozókat szakszerűen, minősített adattörléssel fertőtlenítjük.
ápr 5, 2019 | Adatbiztonsági cikkek, hírek
Nemcsak a számítógépek újbóli értékesítése, hanem azok adományozása is meghosszabbítja a gépek életét. Adomány esetében se feledkezzünk el adataink minősített törléséről.
Jó hírrel szolgálhatunk! A felelős gondolkodás már nemcsak a számítógépek értékesítése, hanem azok adományozása során is megjelent a magyar vállalatoknál. Az utóbbi időben egyre több olyan vállalat fordul hozzánk szakmai segítségért, akik nem értékesíteni, hanem a használt számítógépeket egy kiszemelt alapítványnak, jótékonysági szervezetnek szeretnék adományozni. Ezek a számítógépek semmi másban sem különböznek az értékesítésre szánt társaikról, ahogy a velük való bánásmód is ugyanaz: szakmai odafigyeléssel, minősített adattörlést végzünk a számítógép adathordozóján.
Az adományozásra szánt számítógépek, laptopok esetében is ugyanolyan érzékeny, vállalati adatokról van szó, melyeket nem szeretnénk a konkurencia kezében viszontlátni. Még ha tudjuk is, melyik szervezetnek adományozzuk használt gépjeinket, még ha feltétlenül meg is bízunk bennük, adataink szakszerű, minősített megsemmisítéséről gondoskodnunk kell. (Zárójelben jegyzem meg, ha esetleg még nincs meg a kiszemelt alapítvány vagy társaság, a Magyar Máltai Szeretetszolgálat hazai szervezete szívesen fogadja az IT adományokat – melyek elhelyezéséről természetesen gondoskodik.)
Az adományozott számítógépen maradt adatok is gyorsan gazdát cserélhetnek, és egy nap arra ébredünk, hogy teljes titkos ügyféllistánk az interneten publikusan elérhető. Az ehhez hasonló, egyébként megelőzhető adatszivárgás az európai adatvédelmi rendelet értelmében biztonsági incidensnek számít, melyet a Nemzeti Adatvédelmi és Információszabadság Hatóságnak (NAIH) be kell jelentenünk. A kár nemcsak az üzleti előny elvesztéséből jelentkezik, hanem az üzleti renomé megtépázása is helyrehozhatatlan károkkal járhat.
Szerencsére, megjelent a magyar vállalati kultúrában az a réteg, akik komolyan veszik társadalmi felelősségvállalásukat – és adományként adják tovább használt számítógépjeiket. Ez a vállalkozói réteg azt is tudja, hogy az adatok tekintetében is felelősséggel tartozik a hatóságok és főként az ügyfelek felé. Az utóbbi időben egyre gyakrabban fordulnak hozzánk minősített adattörlési szolgáltatásunkat igénybe véve. Esély adva ezáltal az új életet kezdő számítógépeknek, hogy tényleg tiszta lappal induljanak.
márc 23, 2019 | Adatbiztonsági cikkek, hírek
Aki egy konkrét összegre kíváncsi, nos annak már az elején elárulhatjuk, pontos, minden vállalat esetében érvényes összeget nem mondhatunk. Adat és adat között is óriási különbség van, így az adattól, a vállalat méretétől, tevékenységétől függ, hogy mennyibe kerül az adatok kiszivárgása. Míg a gyerkőcünk szülinapi meghívottjairól készült lista számunkra érdekes és fontos, a külvilágot cseppent sem érdekli, ezzel szemben beszerzési listánk vagy ügyfeleink adatai sokak számára hasznos üzleti információt jelent.
Komoly bírságra számíthatunk
Adatszivárgás nagyon sok esetben megtörténhet: kezdve attól a banális esettől, hogy véletlenül egy külső partnernek küldjük el az érzékeny adatokat tartalmazó dokumentumot emailen, és végezve azzal, hogy az eladott használt számítógép merevlemezét nem megfelelőképpen töröltük le. A lényeg mindkét esetben, hogy olyan információ kerülhet külső partnerünk, vagy idegen személy, vállalat kezébe, melyet eleve nem nekik szántunk.
A hasonló adatszivárgási esetek az európai adatvédelmi rendelkezés, a GDPR szerint adatvédelmi incidensnek számít, amit kötelező módon az adatkezelő nemzeti hatóságnak jelentenünk kell. Az adatszivárgás komolyságának függvényében a hatóság eljárást indíthat cégünk ellen, mely komoly pénzbírsággal is végződhet. Ez az első költség, mellyel számolnunk kell – a nagysága 20 millió euró vagy a vállalat éves bevételének 4 százalékát is elérheti. Attól függően, hogy milyen területen tevékenykedik vállalatunk, további hatóságok vizsgálódására és bírságára számíthatunk.
Új védelem, új reputáció
Az adatszivárgás következtében át kell gondolnunk az IT biztonsági infrastruktúránk bizonyos elemeit, ezzel is biztosítva, hogy az eset nem fordulhat újra elő többé. Ha hiányosságokat fedezünk fel az IT-biztonsági infrastruktúránkban, akkor azt frissíteni kell, új rendszerek, megoldásokat kell vásárolnunk – újabb kiadások.
A harmadik költségtétel a reputációs veszteségből származik. Ha ügyfeleink körében elterjed, hogy nem vigyázunk megfelelően adatainkra, akkor eleshetünk megbízásoktól, szerződésektől, csupán azért, mert hiányzik felénk a bizalom. A bizalom felépítése, új ügyfelek szerzése mind-mind idő- és pénzigényes folyamat.
Ha tőzsdei cégről van szó, akkor az árfolyam csökkenése is kimutatható pénzügyi veszteséggel jár. Azzal is számolhatunk, hogy az adatszivárgás következtében az üzleti partnerek vagy a magánfelhasználók peres eljárást indíthatnak adataik nem megfelelő védelme miatt – ennek is komoly költségei lehetnek.
márc 11, 2019 | Adatbiztonsági cikkek, hírek
Rengeteg adatot generálunk nap mint nap, így nem csoda, ha gyorsan elfogy a hely a merevlemezen vagy már nem vagyunk képesek újabb fotót készíteni – mert nincs tárhely a telefonon. Ahogy évente egészségi állapotunkat is megvizsgáljuk, érdemes évente egyszer – mondjuk tavaszkor – nagytakarítást tartani adataink között is.
Nemcsak egészségünkre, hanem adatainkra is vigyáznunk kell. Az éves egészségügyi állapotfelméréshez hasonlóan évente egyszer adataink között is végezzünk nagytakarítást – erre a tavasz első hónapja igazán jó kifogást biztosít.
Van biztonsági mentés az adatainkról?
Az első dolog, amit az emberek egy égő házból kimenekítenének, azok a fotók. Ennek ellenére, digitálisan tárolt emlékeinkkel nem bánunk körültekintően, hiszen az emberek gyakran csak azután gondolnak biztonsági mentés készítésére, miután adataik egy részét elveszítették, netán ellopták.
A legegyszerűbb, ha egy külső merevlemezre mentjük adatainkat. Ennek két hátulütője van: emlékezni kell, hogy rendszeresen mentsük ki adatainkat. Az is hátrány, hogy a külső merevlemezt is ugyanott tároljuk, mint a számítógépet – vagyis tűz esetén mindkettő elpusztulhat.
Felhő alapú szolgáltatásokra is bízhatjuk adatainkat, ennek előnye, hogy az adatmentés automatikusan történik, az adatokat meg tőlünk földrajzilag távol tárolják, így, ha az eredeti adatok elpusztulnak, a felhő szolgáltatásban megmaradnak. Hátrányuk, hogy előfizetéses szolgáltatásokról van szó, amit rendszeresen fizetni kell.
Harmadik megoldás egy olyan háttértároló vásárlása, mely vezeték nélkül csatlakozik a számítógéphez, és automatikus mentéseket végez. Ezek neve Network Attached Storage vagy NAS, egyszeri befektetésként 70-80 ezer forint körül kezdődik az áruk, beállításuk is igényel némi informatikai szaktudást. De legalább nem kell folyamatos előfizetést fizetnünk.
Letöröltük a digitális porcicákat?
Digitális porcicának nevezzük azt a digitális maradékot, melynek semmi haszna, csak valamiért ott felejtődtek számítógépünkön. A digitális porcicák között találhatunk elfelejtett letöltött fájlokat, ősrégi emailekhez csatolt dokumentumokat, törölt alkalmazások után fennmaradt fájlok. Nemcsak fölöslegesen foglalja a helyet a gépen, egy idő után gépünket is lassíthatja.
Szerencsére, a nagy operációs rendszerek gyártói – Apple, Google, Microsoft – figyelnek erre a jelenségre, így operációs rendszerük része a digitális porcica takarító.
Windows 10 operációs rendszer esetében a Start menü Settings System majd Storage menüpontban érhető el ez a lehetőség.
iOS esetén (High Sierra vagy későbbi verziónál) az About this Mac / Storage és majd Manage menüpont segíthet.
Android esetében az Oreo verziótól későbbi rendszerek esetében a Settings / Storage & Memory majd a Free up Space lehetőséget kell választanunk.
Az Apple telefonok vagy táblagépek esetén a Settings / General / iPhone Storage a kiindulási pont.
A legújabb frissítést is telepítettük?
A szoftvergyártók rendszeresen frissítik operációs rendszerüket, telefon és számítógép esetébe egyaránt. Ezeknek az ingyenes frissítéseknek a célja, hogy jobban és szebben dolgozzunk, miközben a legújabb biztonsági kockázatok ellen is védettek vagyunk. Néha utáljuk őket, mert a kedvenc beállításunkat vagy menüpontunkat eltüntetik, vagy a megszokott kinézetet megváltoztatják. De ez mind nem ok arra, hogy ne telepítsük a legújabb frissítéseket. Hiszen a gyártó elégedett vásárlót szeretne, akinek gépe biztonságban és hatékonyan, gyorsan működik. Ezeket a célokat szolgálják a frissítések is.
márc 1, 2019 | Adatbiztonsági cikkek, hírek
A vállalati adat életciklusa – a végső teendők 3. rész
Minél több információt menedzselünk, annál nagyobb kockázatnak tesszük ki vállalatunkat. Az adatvezérelt üzleti világban érdemes tisztában lenni, milyen vállalati adataink vannak, és életciklusuknak megfelelően meddig érdemes őket tárolni, hogyan lehet biztonságosan és minősítetten törölni őket.
Korábbi posztunkban a vállalati adatok életciklusának első három fázisáról írtunk részletesen, az adat létrehozásának, tárolásának és használatának a fázisáról. Ebben a bejegyzésben a fennmaradó három ciklust tárgyaljuk részletesebben.
Adatok megosztása
Az adatokat egy adott ponton meg kell osszuk a felhasználók között, történjen ez a vállalat falain belül vagy kívül. A megosztás egy adott hálózaton történik, ami lehet a belső hálózat vagy a külső világ számára is elérhető internet, a maga tipikus megjelenési formáin keresztül: közösségi média, szaksajtó, kiállítások, prezentációk, reklámanyagok stb.
Szállítható adathordozók segítségével is történhet az adatok megosztása, a külső merevlemezek, USB-s meghajtó használatát vállalati szabályzatban érdemes rögzíteni. Minden megosztás azzal a kockázattal jár, hogy az adat illetéktelen kezébe kerül, miután az adathordozót elveszítjük, elhagyjuk.
Ebben az esetben külön figyeljünk partnereinkre: az adatokhoz olyan jogosultságokkal férhetnek hozzá, mint alkalmazottjaink, ám az adatokat védő IT-s megoldásaik, a szabályzatok sokkal gyengébbek lehetnek – és emiatt nő az adatszivárgás kockázata. Ne feledjük: a mi IT biztonságunk olyan erős, mint leggyengébb partnerünk IT biztonsága.
Az adatok megosztását biztonságosabbá tevő technológiák, megoldások között említhetjük az hozzáférés ellenőrzését, a titkosítást, az adatszivárgást megelőző megoldásokat. Fizikai formájában hálózatbiztonságról, tűzfalról, behatolásvédelemről beszélünk.
Adat archiválása
Míg az adatok rövid távú biztonságát szolgálja az időzített biztonsági mentések készítése, hosszú távú biztonság esetén az adatok archiválásáról beszélünk. Ahhoz, hogy törvényi kötelezettségünknek eleget tehessünk, a már nem használt, ámde fontos adatokat érdemes merevlemezre vagy szalagra menteni. Ezeket az archivált adatokat tipikusan a vállalat székhelyétől földrajzilag távol tárolják, erre a célra kialakított adatközpontokban. Míg ezekhez az adatokhoz nem könnyű hozzáférni, alacsonyabb a tárolási költségük és nagyobb biztonságban vannak.
Az adatok archiválása tipikusan a vállalatot működtető csapat feladata, és nem igazán az IT felelőssége. Ebben a fázisban a hozzáférési jogosultságok szabályozásával és titkosítással védhetjük meg az adatokat.
Adat megsemmisítés
Az adat életciklusának végén jut el a megsemmisítés fázisába. A tipikus esetekben az adat addig ül egy adatközpont mélyén, míg valaki véletlenül ki nem dobja az adott tárolót vagy a cég megfeledkezik a szolgáltatás megújításáról. Magyarul, nagyon nehezen szabadulunk meg az adatoktól, inkább pénzt, pénzt és még több pénzt költünk tárolásukra.
Hogy pontosan mely adatot töröljünk véglegesen és minősítetten, attól függ, hogy milyen típusú az adat, gyakran használjuk vagy sem, illetve mit ír elő a törvény. Ebben a fázisban érdemes alaposan átnézni az adatokat, és ha elavultnak minősítjük őket, nem köt már törvényi szabályozás sem, akkor nyugodtan szabaduljunk meg tőle.
Az adatmegsemmisítés a működtetési osztály feladata, azonban egy felelős vállalatnál az IT-n keresztül át az összes érdekel félig mindenkit érdemes bevonni a folyamatba.
Következő blogbejegyzésünkben arról írunk, hogy mit érdemes egy adatvédelmi szabályzatba bele foglani, hol érdemes adatvédelmi felelőst kinevezni és ki is felelős az adatokért – reméljük, belefér egy bejegyzésbe.
febr 16, 2019 | Adatbiztonsági cikkek, hírek
Használt mobilok az új telefonok ellen
A fogyasztók egy rétege a használt mobiltelefonokat preferálja az új készülékekkel szemben. Az adatok azt mutatják, hogy a használt készülékek esetében az Apple telefonokat részesítik előnyben a fogyasztók. A Blancco kutatása a legrosszabb készülékeket is felsorolja, mind a két operációs rendszer érintett.
Nem új keletű dolog, hogy a fogyasztók egy része a használt okostelefonokat részesítik előnyben, legyen az környezetvédelmi vagy gazdasági szempont miatt. Úgy tűnik, a használt mobiltelefon piac sikere az új készülékek iránti kereslet csökkenését idézte elő. Az IDC adatai szerint 2018 harmadik negyedévében 355,2 millió okostelefon talált gazdára, 6 százalékkal kevesebb, mint egy évvel előtte. A piacvesztés a kínai piac gyenge teljesítményének tudható be, de a csökkenéshez a használt mobilpiac sikere is hozzájárult.
Szépen növekszik a használt piac
A Persistence Market Research jelentése szerint a globális használt mobilkészülék piac 9,8 százalékos ütemben bővül 2018 és 2026 között. A vállalat becslése szerint 2025 végéig 277 millió használt készülék talál gazdára – ami azért már, lássuk be, jelentős szám.
Az okok is változnak, hogy ki miért vásárol inkább használt okostelefont. Az ázsiai vásárlók inkább gazdasági okokból fordulnak ezekhez a készülékekhez. Észak-Amerikában, Európában inkább a szigorú környezetvédelmi előírások miatt választják az újrahasznosított telefonokat.
A márkanév fontos marad
Érdekes adalék, hogy a használt okostelefonok piacán a márkanév továbbra is fontos marad. A Yale Egyetem kutatói által készített tanulmány azt a következtetést vonta le félmillió, eBay-en kínált használt készülék adatainak elemzése után, hogy az márkanév fontosabb, mint a készülék memóriájának mérete vagy az eszköz javíthatósága. A jellemzőikben megegyező Apple és Samsung készülékek közül az almás cég termékeit egy évvel tovább használják, mint az androidos társukat.
A Blancco adattörlő és mobiltelefon-diagnosztikai szoftverjeinek segítségével évente több millió használt mobilkészüléket átvizsgálnak, és az adatokból a problémás modellekre is lehet következtetni. Az androidos készülékek közül a leggyakrabban (az esetek 7,4 százalékában) az OPPO Realme modelljénél észleltek hibát, a meghibásodási toplista másik két dobogós szereplője a OnePlus 6 és a Xiaomi Redmi Y2 (5,7, illetve 4,6 százalékos meghibásodási aránnyal). A negyedik és ötödik helyezett a Huawei Honor 7X, illetve a Xiaomi Redmi 5-ös modellje.
Az iPhone-ok közül a 6 és a 6S modelleknél már a készülékek 20,8, illetve 17 százalékánál tapasztalható valamilyen hiba – igaz, hogy ebben az esetben korábbi modellekről beszélünk, így a tesztelt telefonok életkora sem ugyanaz. Az almás meghibásodási toplistán a harmadik helyezett az iPhone 7, a negyedik az iPhone 7 Plus, az ötödik pedig az iPhone 6S Plus.
