szept 10, 2019 | Adatbiztonsági cikkek, hírek
Előző bejegyzésünkben részletesen írtunk arról, hogyan kell előkészíteni az adatok mentését. Arról is szóltunk, mit jelent a 3-2-1 stratégia: a fontos adatokból legyen legalább 3 másolat, 2 különböző adathordozón, melyikből 1 nem csatlakozik az internetre. Volt szó arról is, hogy a merevlemez és a felhőszolgáltató szerverére történő mentés legyen rendszeres, lehetőleg szoftverrel támogatott. Fontos tanulság továbbá, hogy a merevlemezt egy biztonságos helyen tároljuk, például egy tűz- és vízbiztos széfben.
Ha ezeken a lépéseken túl vagyunk, akkor már összeállt adatmentési stratégiánk. A feladatunk azonban itt nem ér véget, hiszen nem szeretnénk éles helyzetben, egy zsarolóvírusos támadás után rájönni arra, hogy egyetlen adatmentés sem működik. Ezt pedig csak úgy tudjuk kivédeni, ha rendszeresen teszteljük az adatmentéseket, gyakoroljuk az adatvisszaállítás folyamatát.
Hogy pontosan mi is a teendőnk? Menjünk végig az alábbi lépéseken:
- Negyedévente készítsünk egy ideiglenes mappát számítógépünkön. Majd indítsuk el az adatmentő szoftvert, és válasszunk ki pár fájlt, melyet vissza szeretnénk állítani. Mentsük el őket az ideiglenes mappába. Majd nyissuk meg őket, hogy győződjünk meg, nem károsodott a fájl, minden információt tartalmaz. Hiba esetén töröljük az adott mentést, mentsük el újra az adatokat és indítsuk el újból a tesztet. Ha újból sikertelenül zárul a folyamat, akkor a mentést végző szoftverrel vagy a külső merevlemezzel lehet gond – kérjünk segítséget az ügyfélszolgálattól.
- Ha sikeresen visszaállítottunk pár fájlt és a benne lévő adatok is stimmelnek, akkor próbálkozzunk egy olyan mappa visszaállításával, melynek almappái is vannak. A sikeres visszaállítás azt jelenti, hogy a teljes mappastruktúrát visszanyertük, az össze fájlokkal együtt, és ezeket a fájlokat meg tudjuk nyitni, van benne információ.
- Évente kétszer teszteljük adataink teljes visszaállítását. Ha nincs elegendő hely számítógépünkön ehhez a művelethez, akkor ehhez egy másik, esetleg régebbi számítógépet használhatunk vagy egy virtuális gépen tesztelhetünk. Amint az adatvisszaállításnak vége, nézzük meg, hogy a fájlstruktúra stimmel, ellenőrizzünk pár fájlt, hogy nem sérültek. Ugyanakkor hasonlítsuk össze a visszaállított adatmennyiséget a meglévő adatok mennyiségével, ha nagy lenne a különbség, akkor járjunk utána a különbség okának.
És ennyi. Most már a számítógép adatainak mentése és visszaállítása biztosan nem okoz gondot alváskor.
szept 3, 2019 | Adatbiztonsági cikkek, hírek
Sokat írtunk a minősített adattörlés fontosságáról blogunkon, de ez a fontos adattörlési folyamat az adatok életciklusának menedzselésének csupán egyik szakasza. Mostani bejegyzésünkben egy másik szakaszról, az adatok mentéséről írunk.
A zsarolóvírusok korában, melyek választás nélkül titkosítanak minden adatot, fontos az adatok rendszeres mentéséről gondoskodni. Nagyvállalati környezetben két-három fős csapatok mellett automatizmusok és megoldások sora foglalkozik a kérdéssel, azonban a kisebb, pár fős vállalatoknál, magánszemélyeknél ennyi erőforrás nem áll rendelkezésünkre. Azonban nekünk sem kell lemondani az adatok mentéséről, melyben a 3-2-1 stratégiát javasoljuk követni.
Így menedzseljük az adatokat
Még a stratégia ismertetése előtt, az adatok menedzseléséről írunk pár sort. Archiválás előtt az adatokat érdemes kiválogatni, és azokat, melyekről úgy határozunk, hogy már nincs rá szükségünk, töröljünk minősítetten. Az adatmentés menedzselésének másik szakasza, mikor előkészítjük, kiválogatjuk, hogy pontosan MELY ADATOKAT mentjük le: például a cuki cicás fotókat semmiképp, a vállalati rendezvényről szólókat azonban mindenképp. Ha kevés adatot szeretnénk menteni, akkor célszerű egy adott mappába rendszerezni az archiválásra szánt fájlokat, majd egy felhőszolgáltatás segítségével szinkronban tartjuk a változásokat. Ha egy egész merevlemezt szándékozunk backup-olni, akkor már érdemes egy külső tárolóegységet és egy szoftvert is beszerezni.
Ugyanakkor azt is el kell dönteni, hogy MELY ESZKÖZÖKET mentjük el: a vállalati mobiltelefon például szinte már fontosabb adatforrás, mint a laptop vagy az asztali számítógép, úgy, hogy érdemes erről az eszközről is rendszeres másolatokat készíteni.
Mi is az a stratégia?
Miután eldöntöttünk, hogy mely eszközökről milyen adatok fontosak, akkor ne feledkezzünk el, hogy az adatokat több példányban és több adathordozón tároljuk. Itt már beszélhetünk a cikk elején emlegetett 3-2-1- stratégiáról, mely szerint a fontos adatokból legyen legalább 3 másolat, 2 különböző adathordozón, melyikből 1 nem csatlakozik az internetre.
A több példányra azért van szükség, mert a háromból egy biztosan működik, ha a többi valamiért olvashatatlan lesz. Ugyanezért a logika miatt van szükség két különböző adathordozóra, ha az egyik nem működne, akkor a másikról csak olvasható marad az információ. És ezekből az eszközökből azért kell egy offline legyen, mert ha valaki behatol számítógépünkbe és titkosítja, tönkreteszi adatainkat, akkor legyen egy offline másolat, melyet az internetes támadás nem érinthet és melyről visszaállíthatjuk adatainkat. A zsarolóvírusok nemcsak a számítógép, hanem a hozzá csatlakoztatott külső tároló adatait is titkosítja. Ez az offline másolat helyettesíthető egy felhő szolgáltatással is – ennek belépési adatait azonban semmiképp se mentsük el a böngésző vagy számítógép jelszókezelőjével.
Na, de hogy is van ez a gyakorlatban?
A gyakorlatban mindez azt jelenti, hogy például egy laptop adatainak mentéséhez használjunk egy külső merevlemezt, és fizessünk elő (vagy használjuk az ingyenes verziót kevesebb adat esetén) egy online backup szolgáltatásra. A külső merevlemezhez érdemes egy backup szoftvert is vásárolni, mert az megkönnyíti az adatok rendszerek mentését – ha csak néha-néha mentjük el őket, megfeledkezünk róla, akkor semmit sem ér az egész.
Amikor adatainkat külső merevlemezre mentjük, érdemes laptopunkat lecsatlakoztatni a hálózatról ideiglenesen, és lehetőség szerint ne dolgozzunk rajta. Így biztosak lehetünk abban, hogy minden adatot lementünk, és közben még véletlenül sem kezdi el egyetlen zsarolóvírus sem a titkosítást. Az adatmentés végén a külső merevlemezt tároljuk egy biztonságos helyen: egy zárható, tűz és vízbiztos széf a legjobb megoldás.
A felhő szolgáltatással ennél is egyszerűbb az adatmentés: a felhasználónév és jelszó birtokában telepítjük gépünkre a cloud szolgáltató szoftverét, Majd beállítjuk, mely fájlokat milyen gyakorisággal mentse. Persze, az online szolgáltatás mindig is magában foglalja azt a kockázatot, hogy a külső partner szervereit feltörik és ellopják adatainkat. Ezért érdemes egy megbízható szolgáltatót választani, például a Google Drive 15 GB-nyi adatot tárol teljesen ingyen. Adatainkat egy újabb lépéssel védhetjük meg: titkosítva tároljuk a felhőszolgáltatónál – így, ha be is jutnak a szerverekre, csak értelmezhetetlen kódokat látnak a hackerek.
Ezután nem feledkezzünk meg az adatok visszaállításának teszteléséről – erről egy következő, és ígérem rövidebb blogposztban írunk.
aug 26, 2019 | Adatbiztonsági cikkek, hírek
Három-négy évente biztosan vásárolunk egy új nyomtató, telefont vagy számítógépet. A régi eszköz adathordozóján meg ott maradnak az adatok, amelyek így idegenek kezébe kerülhetnek. Nemcsak a laptop és a mobiltelefon érintett, személyes és vállalati adatok maradhatnak a nyomtatóban, a céges autóban és a DVD lejátszón is.
Nem a képzelet szüleménye, megtörtént esetek: egy vidéki város piacán vásárolt használt számítógép merevlemezén kórházi adatokat, zárójelentéseket, boncolási jegyzőkönyveket találtak – ezek mind-mind kiemelten védett egészségügyi adatoknak számítanak. Vagy ugyancsak a másodkézből beszerzett merevlemezen egy repülőtér biztonsági rendszereinek a tervrajza volt elérhető. Harmadik példánk pedig egy olyan számítógépről szól, melynek a lomtárában ott voltak egy egész iskola összes évfolyamának adatai, családlátogatások jelentéseivel, osztályfőnökök beszámolóival, rászorultsági kérelmekkel és rendezvényfotókkal együtt.
Adatok meglepő helyeken
Személyesen is találkoztam hasonló esettel. Amikor pályafutásom alatt mobiltelefonok tesztelésével foglalkoztam, minden második teszttelefon úgy került hozzám, hogy az előző újságíró személyes családi fotói, adatai rajta voltak – szerencsére akkor még a mobiltelefonok nem csatlakoztak a közösségi oldalakhoz, így azokhoz az adatokhoz nem volt hozzáférésem.
Olyan eszközökön is találhatunk vállalati vagy személyes adatokat, amire nem is gondolnánk első körben. A belső merevlemezzel rendelkező DVD lejátszón adathordozóján privát filmek és képek is ottmaradnak. A komolyabb vállalati nyomtatók is rendelkeznek merevlemezekkel, adathordozókkal, ha ezeket kidobjuk, az adathordozón ottmaradhatnak a kinyomtatott fájlok. Vagy hogy az autó navigációs és médiaközpontja is elmenti adatainkat, így amikor továbbadjuk a következő tulajdonosnak, az bizony szabadon kutakodhat a lementett zenefájlok, kapcsolatok és telefonszámok között. Egy komoly vállalat vezetőjének telefonszámai, kapcsolatai mindenki számára kincsesbányát jelenthetnek.
Szoftverrel fertőtlenítsünk
Mit tehetünk ez ellen? Ne csak töröljük, hanem megfelelő szoftverrel fertőtlenítsük az adatokat. Ahogy a példák között olvashattuk, ha az adat a lomtárba kerül, attól még nem semmisül meg. Sőt, akkor sem törlődik a merevlemezről, ha kiürítjük a lomtárat – a rendszer időspórlás miatt csak az adott információra való hivatkozást töröli, és csak később, mikor máshol nincs hely, írja felül az adatokat.
A vállalatok számára a tanúsított adatmegsemmisítés a záloga annak, hogy a rájuk bízott személyes adatokkal az előírások szerint jártak el. Nem kell mindig az adathordozó fizikai megsemmisítését választani, gyakran sokkal kifizetődőbb, ha az adatot hordozó eszközt egy elektronikai eszközök újrahasznosítására szakosodott vállalatnak adjuk át.
aug 12, 2019 | Adatbiztonsági cikkek, hírek
Az Auchan a legutóbbi partnere a Data Destroy-nak: az áruházlánc a környezettudatosság és az előírások betartása miatt kért meg minket, hogy felvásároljuk, szakszerűen adatfertőtlenítsük és ezek után az alkalmazottaknak értékesítsük számítógépes flottájukat. A döntéssel mindenki, de legjobban környezetünk járt jól.
Mint nagyon sok vállalatnál, az Auchan-nál is eljött az az idő, amikor a régi számítógépek megérettek a cserére. Az átlagosan 4 éves számítógépflotta szakszerű és környezetvédő menedzseléséhez az áruházlánc a Data Destroyt választotta. A Auchan komplex szolgáltatást vett igénybe cégünktől, mely magába foglalta a gépek felvásárlását, azok szakszerű kezelését, majd a használható gépek visszaértékesítését is. És hogy pontosan ez mit is jelent? Hamarosan kiderül.
Szakszerűen adatfertőtlenítettünk
Az áruházlánc életciklusuk végén lecserélte számítógépes flottáját, ez laptopokat, asztali gépeket egyaránt magába foglalt. Munkatársaink összecsomagolták, majd a Data Destroy raktárába szállították a számítógépeket. Az adathordozókon lévő adatokat a Blancco megoldásával szakszerűen és tanúsítottan adatfertőtlenítettük, az adatok felülírásáról készült jegyzőkönyveket átadtuk az áruháznak. A laptopokat felújítottuk, kitakarítottuk, többek között új hűtőpasztával vontuk be a hűtőbordák és a processzor közötti felületet.
Minden számítógépre egységes operációs rendszert telepítettünk. Az egységes gépeket egy, erre a célra kialakított webáruházba töltöttük fel, ahonnan az Auchan alkalmazottai vásárolhatták meg személyes használatra a felújított gépeket.
Komplex szolgáltatás gépekért cserébe
Mindezt a komplex szolgáltatást úgy bonyolítottuk le, hogy az az Auchan áruházláncnak nem kellett érte fizetnie. A számítógépek értéke fedezte a régi laptopok felújításával, szakszerű adatfertőtlenítésével járó költségeket, cégünk, a Data Destroy a számítógépek eladásából jutott bevételhez. Cserébe viszont az áruházlánc a jogszabályoknak megfelelően kezelte a gépeken található adatokat, mikor azokat számukra tanúsítottan, felülírással, a Blancco megoldásának segítségével fertőtlenítettünk. Az Auchan alkalmazottai jogtiszta operációs rendszerű, felújított gépekhez jutottak hozzá a piaci árnál kedvezőbben.
És amit legnagyobb eredményünknek tartunk, hogy felesleges szeméttől kíméltük meg környezetünket.
aug 1, 2019 | Adatbiztonsági cikkek, hírek
A cégeknek jó esetben már kidolgoztak szabályzatot az IT vagyon fizikai részének menedzselésére, azonban az adatokról nagyvonalúan megfeledkeznek. Fontos az adatok kezelésével is foglalkoznunk, ha nyugodtan szeretnénk aludni éjjel, ebben automatizmusok is segítenek.
A technológia gyors változása, az eszközök elévülési ideje miatt három-öt évente az irodai munkához használt számítógépeket cseréljük. A régi szerverek, adatrendszerek üzemeltetési költsége egy idő után olyan magas, hogy ha találunk is hozzáértő szakembert, egyszerűbb és kifizetődőbb, ha inkább cseréljük a rendszereket. Az IT rendszerek cseréjére, felújítására menetrendszerűen, szabályzat szerint kerül sor. Az adattörlési szabályzat végrehajtása a fizikai gépek cseréjéhez kötött, az előírások garantálják, hogy minden bizalmas adatot megfelelően eltávolítottak azokról az eszközökről, melyek véglegesen elhagyják cégünket.
A hatékony adatkezelés érdekében szét kellene választani a fizikai eszközök és az adatok menedzselését, és ne ragaszkodjunk a fizikai eszköz és az adat együttes kezeléséhez. A gépek és adatok életciklusa különbözik, nem logikus csak azért egymáshoz kötni őket, mert egymásnak kiegészítői. Az adat nemcsak egy adott eszközön létezik, hanem a felhő technológiának köszönhetően egy olyan gépen is megtalálható, mely kívül esik a vállalat eszközkezelési szabályzatán. Az adat és fizikai hordozójának útja szétváltak.
A gyakorlatban az adat életciklusa sokkal rövidebb vagy sokkal hosszabb, mint az eszköz életciklusa, persze, mindez az adat típusától függ. Amikor összekötjük a két eseményt, akkor rengeteg fejfájást és manuális munkát generálunk IT rendszergazdáink számára.
A hatékony adatmenedzsment, mely az adatok keletkezésétől, azok megtartását és törlését is magába foglalja, átgondolt folyamatokból áll. Olyan alkalmazásokat vonhatunk be az adatok menedzselésébe, melyek precízen végrehajtják az adatmenedzselési szabályzatba leírtakat – automatikusan. Ha tudjuk, hogy mi történik egy panaszos ügyfélemaillel kezdve megérkezésétől és végezve a panaszos ügy lezártáig, ismerjük a kötelező adatmegőrzési periódusokat, automatikus ütemezéssel, adatfertőtlenítéssel biztosíthatjuk, hogy az adatokat kellőképpen megsemmisítettük.
Az automatizmusnak pedig elsőnek értékes munkatársunk örül majd, akinek időt takarítottunk meg, értékteremtő munkát biztosítottunk helyette. Ugyanakkor az esetleges adatvédelmi auditoknak is nyugodt szívvel nézhetünk elébe, hiszen az automatizmusok dokumentáltan biztosítják, hogy az adatokat csak azok lássák, akiknek szánták.
júl 28, 2019 | Adatbiztonsági cikkek, hírek
Korábbi cikkünkben már foglalkoztunk azzal, hogy egy-egy adatszivárgási esetben milyen költségekkel kell számolnia egy vállalatnak. Vagyis, hogy mennyit is érhet az a bizonyos adat. A közelmúlt eseményei alapján most már konkrét számokat tehetünk az adat értéke mellé.
Nemcsak az adatok értékével kell számolnia egy vállalatnak, amikor adatait elhagyja, elveszíti, hanem a presztízsveszteség következtében létrejövő bevételkieséssel, az ügyfélveszteség miatti elmaradt bevételekkel, az esetleges tőzsdei értékcsökkenéssel – minderről egy korábbi cikkünkben már beszámoltunk. Emiatt nehéz egy pontos számot tenni az adatveszteségek tétel mellé. A közelmúltban több gigabírságot is kiszabtak a hatóságok adatszivárgás miatt, így végre sikerült árcédulát tenni az adatokra. Lássuk hát az eseteket.
A Mariott Hotel 2018 novemberében egy hacker támadás következtében 399 millió vendégének válogatott adatait veszítette el (vendégenként változott, hogy milyen adatok kerültek idegenek kezébe, de név, postai cím, telefonszám, email cím, útlevélszám, születési adatok, nem, érkezési és távozási adatok, foglalási adatok, bankkártya adatok is közöttük voltak). Az üggyel kapcsolatban nemrég született egy gigabírság: a GDPR szellemében 99,2 millió font büntetést szabott ki az angol adatvédelmi hatóság. Hogy ezt csak az érintett 7 millió brit lakos miatt tette volna, akkor azt jelenti, hogy személyenként 14,17 fontot (vagyis 5135 forintot) érnek az adatok. Ha a 399 millió vendéget vesszük figyelembe, akkor ez csupán 0,24 fontot (vagyis 86 forintot) jelent személyenként.
A British Airways ennél sokkal, de sokkal rosszabbul járt, hiszen ugyancsak a brit adatvédelmi hatóság 183 millió fontos bírságot szabott ki a társaságra, amiért tavaly szeptemberben egy hackertámadás következtében 500 ezer ügyféladatot loptak el – minden esetben a jegyek vásárlásához használt bankkártyák adatairól van szó. A hatóság azért volt ennyire szigorú, mert szerintük a társaság hanyag volt az IT biztonság tekintetében. Ezzel a büntetéssel akartak példát statuálni, üzenetet küldeni a piacnak: a vállalatoknak komoly lépéseket kell tenniük annak érdekében, hogy az alapvető emberi jogokat, a személyes adatainkat védelmezzék. És akkor számoljunk, ez ügyfelenként 366 fontot jelent, ami forintban kifejezve szemmel is látható, még távolról is: 132600 forintról van szó.
És ez még nem minden, a Facebook 5 milliárd dolláros büntetéssel néz szembe, igaz, ott a Cambridge Analytica-val kapcsolatos, engedély nélküli adatátadásról van szó. (A Facebook-on futó, különböző ártalmatlan játékokon keresztül adatokat szívtak el a felhasználók közösségi oldal profiljáról, majd a játékosok ismerőseinek adatait is begyűjtötték. Ezeket az adatokat használta fel a Cambridge Analytica a szavazók pszichológiai profiljának kialakítására, ennek a profilnak az ismeretében az amerikai elnökválasztás idején, Donald Trump stábja mikro célzott üzenetekkel győzte meg a szavazókat, hogy mellettük voksoljanak.) Az amerikai fogyasztóvédelmi felügyelet 5 milliárd dolláros bírságot szabott ki a Facebookra, 500 millió érintett felhasználóval számolva ez csekély 10 dollárt (2941 forint) jelent.
