NIS2 és eszközök selejtezése: miért vált vezetői felelősségi kérdéssé a leselejtezett eszközök adatbiztonsága
Egy közép- vagy nagyvállalatnál a leselejtezés ritkán látványos döntés. Többnyire notebookflotta-cseréhez, szervermodernizációhoz, irodaköltözéshez, telephelyi racionalizáláshoz vagy egy régebbi rendszer kivezetéséhez kapcsolódik. Ilyenkor a vezetői figyelem érthetően az új működés elindítására irányul. A kivont eszközökön maradt adatok sorsa könnyen háttérbe szorul.
Pedig vezetői szempontból ez nem mellékes kérdés. Ha egy vállalat nem tudja igazolható módon lezárni az adatok életciklusát a használatból kivont eszközökön, akkor a kockázat nem szűnik meg, csak kevésbé láthatóvá válik. A régi laptop, a szerver, az SSD, a mobiltelefon vagy a multifunkciós nyomtató ilyenkor már nem termelési eszköz, de adatbiztonsági szempontból továbbra is felelősséget hordoz.
A NIS2 ezt a problémát nem technikai részletként, hanem irányítási kérdésként teszi láthatóvá. A szabályozási logika lényege nem az, hogy a vezetésnek adattörlő módszereket kellene kiválasztania, hanem az, hogy a kockázatkezelési intézkedéseket jóvá kell hagynia, a végrehajtást felügyelnie kell, és a hiányosságokért a vezetői felelősség sem zárható ki. Innen nézve a leselejtezett eszközök adatbiztonsága már nem háttérirodai ügy, hanem vezetői relevanciájú kockázat.
Miért lett ebből vezetői kérdés?
A vállalati gyakorlatban az egyik leggyakoribb tévedés az, hogy a selejtezést logisztikai utófolyamatként kezelik. Az eszköz kikerül a használatból, átmenetileg raktárba kerül, majd elszállítják, továbbértékesítik, bontásra adják vagy megsemmisítésre előkészítik. Sok szervezet itt fejben már lezártnak tekinti a kérdést.
Valójában azonban éppen ekkor kezdődik az a szakasz, ahol a felelősségi lánc a legkönnyebben fellazul. A beszerzés mást lát, mint az üzemeltetés. A helyi telephely mást, mint a központ. A compliance másképp tekint a kockázatra, mint a napi operáció. Külső partner bevonásakor pedig különösen könnyű összetéveszteni a kiszervezést a felelősség átadásával.
A NIS2 vezetői logikája ezt a kényelmes önfelmentést zárja le. A szabályozás azt üzeni, hogy a kiberkockázat-kezelés nem maradhat kizárólag az IT vagy a beszállító belső ügye. Ha egy szervezet adatokat kezel, akkor az adatok életciklusának lezárása ugyanúgy a felelős működés része, mint a hozzáférés-kezelés, a biztonsági mentés vagy a beszállítói kockázatok kezelése.
Nem az eszköz a probléma, hanem az adatok lezáratlan életciklusa
A felsővezetői nézőpont szempontjából a kérdés egyszerűbben fogalmazható meg, mint ahogy az sok szakmai anyagban szerepel. Nem az a döntő, hogy egy régi eszköz fizikailag hol van, hanem az, hogy a rajta kezelt adatok sorsa igazolhatóan lezárult-e.
Ha egy notebookflotta-csere után a kivont gépek hónapokig egy raktárban állnak, a kockázat nincs lezárva. Ha egy szervercsere során a régi háttértárakat külső partner szállítja el, de a megsemmisítés vagy adattörlés eredménye nem ellenőrizhető, a kockázat nincs lezárva. Ha egy nyomtató vagy multifunkciós eszköz belső tárhelye felett a vállalat nem rendelkezik világos eljárással, a kockázat nincs lezárva. Ugyanez igaz az okostelefonokra, táblagépekre, tartalék háttértárakra és a papíralapú iratokra is.
Ez azért lényeges vezetői felismerés, mert a reputációs és megfelelési károk jelentős része nem abból ered, hogy egy szervezetet rendkívüli technikai támadás ér, hanem abból, hogy egy alapvető működési folyamat végén nem tudja bizonyítani a kellő gondosságot. A különbség jogi, üzleti és reputációs értelemben is jelentős.
Mit mond erről a szabályozási környezet?
A NIS2 szövege a vezető testületek szintjén ír elő felelősséget: a vezetésnek jóvá kell hagynia a kiberbiztonsági kockázatkezelési intézkedéseket, felügyelnie kell azok végrehajtását, és a jogsértésekért felelősség is terhelheti. Ezzel a kiberbiztonságot egyértelműen vezetői szintre emeli.
Az uniós végrehajtási rendelet ennél is gyakorlatiasabb irányba megy tovább bizonyos érintett szervezetek esetében: az eszközkezelési szabályzatnak a teljes életciklust le kell fednie, beleértve a beszerzést, használatot, tárolást, szállítást és selejtezést, továbbá szabályokat kell adnia a biztonságos használatra, tárolásra, szállításra, valamint az eszközök vissza nem állítható törlésére és fizikai megsemmisítésére is.
Ez vezetői szempontból nem azt jelenti, hogy minden szervezetnél ugyanaz a technológiai módszer lenne az elvárt. Azt jelenti, hogy az eszközkivonás és adattörlés nem maradhat informális, dokumentálatlan vagy ellenőrizhetetlen folyamat. A kérdés a felelős irányítás szintjén dől el: van-e világos rend, van-e nyomon követhetőség, és van-e utólag bemutatható bizonyíték.
Európai példák: amikor a háttérfolyamatból incidens lett
A probléma nem elméleti. Az Egyesült Királyságban a Brighton and Sussex University Hospitals NHS Trust ügyében az információs hatóság 325 000 fontos bírságot szabott ki nem biztonságos hardverselejtezés miatt. A nyilvános beszámolók szerint a szervezet kontrollköréből kikerülő merevlemezeken érzékeny személyes adatok maradtak. Vezetői szempontból ennek tanulsága nem pusztán annyi, hogy „hibás volt a törlés”, hanem az, hogy a szervezet nem rendelkezett kellően szigorú, ellenőrzött végrehajtási lánccal.
Az ír adatvédelmi hatóság esettanulmányai más oldalról mutatják meg ugyanennek a kérdésnek a lényegét. Az egyik ügyben otthoni munkavégzés során toborzási dokumentumok és önéletrajzok kerültek nem megfelelő módon a háztartási hulladékba. A tanulság itt az, hogy a vezetői felelősség nem merül ki abban, hogy a szervezet általános utasítást ad a helyes eljárásra. A megfelelő folyamat, eszköz és elszámoltathatóság hiánya önmagában kockázat.
A két ügy közös tanulsága, hogy az adatbiztonság gyenge pontja gyakran nem a központi rendszer, hanem az a pillanat, amikor a szervezet úgy érzi: az adott eszköz, dokumentum vagy adathordozó már kívül esik a valódi üzleti működésen. A legtöbb hiba itt nem rosszindulatból, hanem laza folyamatokból, hézagos felelősségből és nem kellően ellenőrzött kiszervezésből ered.
Dokumentált, kontrollált selejtezési folyamat: az adatbiztonság ott kezdődik, ahol a napi működés véget ér.
Miért különösen érzékeny ez a magyar közép- és nagyvállalati szegmensben?
A nagyobb szervezeteknél a kockázat tipikusan nem azért nő meg, mert a vezetés ne értené az adatbiztonság fontosságát. Inkább azért, mert az eszközök kivonása több szervezeti egységet, telephelyet, külső partnert és döntési pontot érint. Minél nagyobb a szervezet, annál könnyebb azt feltételezni, hogy „valaki biztosan kezeli” ezt a területet.
Ez a feltételezés különösen veszélyes. Egy telephelybezárás, egy rendszerkivezetés, egy irodaköltözés vagy egy eszközfrissítési projekt során gyakran éppen az időnyomás, a felelősségi határok és a külső partnerek koordinációja miatt keletkezik kockázat. A későbbi kérdés pedig rendszerint nem az lesz, hogy történt-e selejtezés, hanem az, hogy az egész folyamat visszanézhető, ellenőrizhető és igazolható volt-e.
Magyar vállalati környezetben ez külön jelentőséget kap, mert a megfelelési elvárások és az auditálhatóság iránti igény egyszerre erősödik. A felsővezetés számára ezért a helyes kérdés ma nem az, hogy van-e erre szolgáltató vagy technológia, hanem az, hogy a vállalat rendelkezik-e olyan működési renddel, amely a selejtezéstől az adattörlésen át a megsemmisítés igazolásáig végig egyértelmű.
Mi számít jó vezetői gyakorlatnak?
A jó gyakorlat nem az eszköz kiválasztásánál, hanem a felelős működési rendnél kezdődik. Egy felsővezetőnek nem adattörlő szoftvert kell választania, hanem olyan rendszert kell megkövetelnie, amelyben az adatéletciklus vége ugyanolyan fegyelmezetten kezelt, mint a működés többi kritikus pontja.
Ennek a gyakorlatnak legalább öt alapelve van.
1. Egyértelmű felelősségi rend.
Az eszközkivonásnak és adattörlésnek legyen világos tulajdonosa. Ne maradjon szürke zóna a beszerzés, az IT, az üzemeltetés, a compliance és a külső partner között.
2. Naprakész nyilvántartás.
A szervezet tudja pontosan, milyen eszközök kerülnek kivonásra, hol vannak, milyen adatot hordozhatnak, és mi történik velük a folyamat egyes szakaszaiban.
3. Szabályozott törlési vagy megsemmisítési eljárás.
Ne improvizáció, helyi gyakorlat vagy szóbeli rutin alapján történjen az adathordozók kezelése. A minősített szoftveres adattörlés vagy a fizikai megsemmisítés szabályozott keretek között legyen végrehajtva. A döntéshez segítséget nyújthat a fizikai megsemmisítés és tanúsított adattörlés közötti választás szempontjainak áttekintése.
4. Igazolható partnerkezelés.
Ha külső fél végzi az elszállítást, adattörlést vagy fizikai megsemmisítést, annak szerződéses, működési és bizonyítási oldala is legyen rendezett.
5. Auditálhatóság.
A folyamat eredménye utólag is legyen bemutatható. Az utólagos igazolhatóság ma már nem adminisztratív kényelmi elem, hanem vezetői védelem is.
Mit mutat a vállalati gyakorlat?
A Data Destroy több mint tíz éves tapasztalata alapján a kis-, közép- és nagyvállalati környezetben a leggyakoribb hiányosság nem az, hogy a szervezetek ne tekintenék érzékenynek az adataikat. A gyenge pont jellemzően ott jelenik meg, ahol az eszköz már kikerült a napi működés fókuszából, ezért a folyamat fegyelme is lazulni kezd.
A vállalatok többségénél nem technológiai, hanem irányítási hiányosságok okozzák a legnagyobb bizonytalanságot. Nincs minden szereplő számára egyértelmű felelősségi lánc, eltérő gyakorlatok működnek telephelyenként, és nem mindig készül olyan igazolási rend, amely audit vagy incidens esetén kellő biztonságot adna. Ezért válik a selejtezés sokszor jóval nagyobb vezetői kérdéssé, mint amilyennek elsőre látszik.
Vezetői összegzés
A leselejtezés nem logisztikai utómunka, hanem az adatkezelés utolsó, vezetői szempontból is releváns szakasza. Ahol az adattörlés vagy megsemmisítés nem igazolható, ott a kockázat valójában nincs lezárva. A vezetés feladata ezért nem a technológiai részletek eldöntése, hanem egy olyan működési rend megkövetelése, amelyben a felelősség egyértelmű, a végrehajtás nyomon követhető, az eredmény pedig bizonyítható.
Gyakori kérdések
Miért vezetői kérdés a leselejtezett IT-eszközök kezelése?
Mert a kockázat nem ér véget az eszköz használatának lezárásával. Ha a selejtezés, adattörlés vagy megsemmisítés nem ellenőrizhető és nem igazolható, abból üzleti, reputációs és megfelelési kockázat keletkezhet, amely már egyértelműen vezetői relevanciájú ügy.
Elég a fájlokat törölni vagy a meghajtót formázni?
Nem. A hagyományos törlés vagy formázás önmagában nem biztosítja, hogy az adatok ne legyenek visszaállíthatók. Vállalati környezetben a megfelelő megoldás mindig szabályozott, igazolható és a kockázati környezethez illesztett eljárást jelent.
Mely eszközök jelenthetnek kockázatot selejtezéskor?
Nemcsak a szerverek és a merevlemezek. Laptopok, SSD-k, mobiltelefonok, táblagépek, hálózati tárolók, nyomtatók, multifunkciós eszközök és más adathordozók is tartalmazhatnak üzleti vagy személyes adatokat.
Mi a legnagyobb hiba a vállalati gyakorlatban?
Az, amikor a selejtezést adminisztratív mellékfolyamatként kezelik. Ilyenkor sokszor nincs egyértelmű felelős, nincs zárt folyamat, nincs megfelelő igazolás, és a szervezet valójában nem tudja bemutatni, mi történt az adatokkal.
Mit érdemes elsőként felülvizsgálni?
A teljes eszközkivonási és selejtezési folyamatot: ki dönt, ki hagy jóvá, hogyan történik az adattörlés vagy megsemmisítés, milyen igazolás készül róla, és mit vállal a külső partner. A legtöbb kockázat nem technológiai, hanem folyamat- és felelősségi hiányosságból ered.
A Windows 10 támogatásának 2025. október 14-imegszűnése komoly kockázatokat jelent.
Mit tehetnek a felhasználók a biztonság fenntartásáért?
2025. október 14-én hivatalosan véget ér a Windows 10 operációs rendszer támogatása. Ez azt jelenti, hogy a Microsoft többé nem biztosít biztonsági frissítéseket, hibajavításokat vagy technikai támogatást ehhez a verzióhoz. Bár a rendszer működőképes marad, a felhasználók és vállalatok számára komoly adatbiztonsági és működési kockázatok jelennek meg. A kérdés az, hogyan lehet felkészülni erre a változásra,
és mit érdemes tenni a zökkenőmentes átállás érdekében.
A támogatás megszűnésének folyamata
A Microsoft minden operációs rendszer esetében előre meghatározza a támogatási időszak végét. A Windows 10 esetében ez a dátum 2025. október 14., amelyet a gyártó évekkel ezelőtt nyilvánosságra hozott. A folyamat részeként a rendszer a megszűnésig folyamatosan kapja a havi biztonsági frissítéseket, de az időpont elérését követően ezek teljesen leállnak.
A támogatás vége után a Windows 10 ugyan továbbra is használható, de egyre inkább elavulttá válik. Az új hardverek és szoftverek már nem lesznek kompatibilisek, a rendszer pedig fokozatosan háttérbe szorul. A felhasználóknak ezért időben kell dönteniük arról, hogy frissítenek egy újabb operációs rendszerre, vagy alternatív megoldást keresnek.
Extended Security Updates program
Bizonyos vállalati ügyfelek számára a Microsoft úgynevezett Kiterjesztett Biztonsági Frissítéseket (Extended Security Updates – ESU) kínál. Ez ideiglenes védelmet nyújt, mivel a programon keresztül meghosszabbítható a biztonsági frissítések elérhetősége. Fontos azonban tudni, hogy ez csak átmeneti megoldás, és hosszú távon nem helyettesíti az újabb operációs rendszerre való áttérést.
Felhasználókra gyakorolt hatások
Biztonsági kockázatok
A legnagyobb veszélyt a biztonsági frissítések megszűnése jelenti. Minden nap új sebezhetőségeket fedeznek fel, amelyeket a támadók kihasználhatnak. Amíg a rendszer támogatott, ezekhez gyorsan érkeznek javítások, ám a támogatás megszűnése után a Windows 10 nyitott célponttá válik a kiberbűnözők számára. Ez adatvesztéshez, zsarolóvírusokhoz vagy jogosulatlan hozzáféréshez vezethet, különösen akkor, ha hiányzik a biztonságos adattörlés gyakorlata.
Kompatibilitási problémák
A szoftver- és hardvergyártók is követik a Microsoft iránymutatását. Amint a Windows 10 kikerül a támogatási időszakból, egyre kevesebb alkalmazás és eszköz lesz kompatibilis vele. Ez nemcsak otthoni felhasználóknak jelent gondot, hanem a vállalatoknak is, ahol az üzletmenet folytonosságát veszélyezteti egy elavuló rendszer.
Stabilitás és teljesítmény
A támogatás megszűnése után előfordulhat, hogy a Windows 10 bizonyos funkciói idővel kevésbé stabilan működnek. Új driverek hiányában egyes hardverelemek hibásan működhetnek, a kompatibilitási gondok pedig fokozatosan lassítják és bizonytalanná teszik a rendszert.
Lehetséges megoldások
Frissítés Windows 11-re
A legkézenfekvőbb megoldás a Windows 11-re való frissítés. Ez a rendszer hosszabb távú támogatást kínál, modernebb biztonsági mechanizmusokkal és fejlettebb funkciókkal rendelkezik. Amennyiben a számítógép hardvere megfelel a Windows 11 követelményeinek, érdemes időben megtenni a váltást, így a adatbiztonság is garantálható.
Új eszköz beszerzése
Sok régebbi számítógép nem alkalmas a Windows 11 futtatására. Ebben az esetben indokolt lehet új eszköz vásárlása. Bár ez nagyobb beruházást igényel, hosszú távon biztonságosabb és költséghatékonyabb megoldás, mint egy elavult rendszer használata. Az elavult gépek felelős kezelése, például informatikai hulladék szakszerű feldolgozása is fontos szempont.
Alternatív operációs rendszerek
Vannak, akik a Windows helyett más operációs rendszerekre, például Linux disztribúciókra váltanak. Ezek gyakran kevesebb erőforrást igényelnek, és hosszabb távon is stabil, biztonságos működést kínálnak. Bár a váltás tanulási görbével jár, bizonyos környezetekben hatékony alternatíva lehet.
Biztonsági mentések és óvintézkedések
Akár Windows 10 marad a gépen, akár más rendszerre történik az átállás, kiemelten fontos a rendszeres biztonsági mentés. Ez védi a felhasználói adatokat egy esetleges támadás vagy rendszerhiba esetén. Emellett ajánlott megbízható vírusirtó és tűzfal használata, valamint a tudatos internethasználat is.
Döntéshozói szempontok vállalati környezetben
A cégek számára a Windows 10 támogatásának megszűnése nem csupán technológiai, hanem üzleti kérdés is. Egy elavult rendszer fokozott kockázatot jelenthet az üzleti adatokra nézve, valamint megfelelőségi problémákat okozhat, például a GDPR követelmények kapcsán. Ezért a döntéshozóknak már most el kell kezdeniük a migrációs stratégiák kidolgozását, a költségvetés tervezését, és a munkatársak felkészítését. A biztonságos adattörlés és az eszközök megfelelő leselejtezése szintén kulcskérdés a vállalatok számára.
Összefoglalás
A Windows 10 támogatásának megszűnése 2025. október 14-én mérföldkő lesz az operációs rendszert használók életében. Bár a rendszer továbbra is működni fog, a frissítések hiánya miatt egyre nagyobb adatbiztonsági és működési kockázatokkal kell számolni. Az átállás Windows 11-re, új hardver beszerzése vagy alternatív rendszerek kipróbálása mind olyan lehetőségek, amelyekkel a felhasználók és vállalatok biztosíthatják adataik védelmét és az üzletmenet folytonosságát. A legfontosabb üzenet: nem szabad az utolsó pillanatra hagyni a döntést. Aki időben lép, az minimalizálhatja a kockázatokat és hosszú távon stabil, biztonságos környezetet teremthet.
Készüljön fel időben, és gondoskodjon arról, hogy az átállás ne veszélyeztesse sem a mindennapi munkát, sem az értékes adatokat.
Wipeout: Az adatmegsemmisítő malware térhódítása és védekezési stratégiák
A cikk bemutatja az adatmegsemmisítő malware támadásokat, esettanulmányokat és gyakorlatias védekezési ajánlásokat, hogy szervezete biztonságban legyen.
Amikor egy szervezetet kibertámadás ér, gyakran az adatok titkosítása és zsarolás az elsődleges veszély. Azonban az utóbbi években egyre nagyobb kockázatot jelent az adatmegsemmisítő malware, amely nem csak zárolja, hanem véglegesen törli a kritikus információkat. A megsemmisítés következtében ügyféladatok, pénzügyi jelentések és szerződések tűnhetnek el visszafordíthatatlanul, még akkor is, ha a váltságdíjat kifizetik. A cikk bemutatja a legfontosabb jellemzőket, esettanulmányokat és a megelőzést szolgáló gyakorlatokat annak érdekében, hogy a döntéshozók és informatikusok felkészülhessenek ezekre a támadásokra.
Mi az adatmegsemmisítő malware?
Az adatmegsemmisítő malware olyan kártékony szoftver, amelynek kizárólagos célja az adatok végleges törlése vagy korrupciója. Ellentétben a hagyományos ransomware-rel, amely az adatokat titkosítja és váltságdíjat követel a dekódolásért, az adatmegsemmisítő malware a fájlok helyreállíthatatlan törlésére összpontosít. A támadás során a rosszindulatú kód felismeri és felülírja az adattárolókon található fájlokat, gyakran több szálon párhuzamosan futtatva a folyamatot. A végeredmény: a vállalat nem képes visszaállítani az elveszett információkat, még akkor sem, ha hajlandó lenne fizetni a támadóknak.
Az adatmegsemmisítés és a hagyományos zsarolóvírus közötti különbség
Míg a zsarolóvírus (ransomware) célja a pénzügyi haszonszerzés adatvisszaváltás útján, az adatmegsemmisítő malware „hide and destroy” stratégiát alkalmaz: előbb behatol a hálózatba, felderíti a kritikus fájlokat, majd gyors ütemben törli vagy sérti meg azokat. A fizetési igény ebben az esetben irreleváns, hiszen az adatok már helyreállíthatatlanok. A vállalatok emiatt úgy érezhetik, hogy a támadás második fázisa a legpusztítóbb, hiszen hiába rendelkeznek biztonsági mentésekkel, a támadó akár a mentési rendszereket is megcélzhatja, vagy a mentéseket is tönkreteheti.
Ismert esettanulmányok
A legelső nagy port kavart támadás a 2012-es Shamoon incidens volt, amikor a világ egyik legnagyobb olajvállalata, a Saudi Aramco, illetve a RasGas több mint 30 000 számítógépe esett áldozatul. A kártevő fertőzött gépről gépre terjedve végleg eltávolította az adatokat a hálózaton belül. Két évvel később a Sony Pictures szenvedte el a következményeket, amikor egy Észak-Koreához köthető csoport „wiper” kártevőt juttatott be a rendszerekbe, és nemcsak átmeneti leállást, hanem nagy mennyiségű bizalmas anyag kiszivárgását is eredményezte. A 2017-es NotPetya támadás eredetileg Ukrajna kritikus infrastruktúráját célozta, de globális kihatása világszerte rendszerleállásokat okozott, és súlyos pénzügyi károkat generált.
Motivációk és hatások
Az adatmegsemmisítő malware mögött álló indíték gyakran politikai vagy geopolitikai. A támadók infrastrukturális káoszt kívánnak előidézni, gazdasági folyamatokat akarnak megbénítani vagy hírnevüknek ártani. Ezen túlmenően belső rosszakarat vagy elégedetlenség is kiválthatja az incidenseket: egy korábbi munkavállaló vagy rendszergazda akár bosszúból is üzembe helyezhet „wiper” kódot. Az okozott kár mértéke a vállalat méretétől és a védekezés hatékonyságától függ: az adatvesztés nemcsak pénzügyi veszteséget, hanem jogi következményeket és komoly reputációs károkat is eredményezhet.
Kockázatcsökkentés és védekezés
Az adatmegsemmisítő malware elleni védekezés több szinten történik. Először is rendszeres és elkülönített biztonsági mentésekre van szükség: a backup példányokat fizikailag vagy hálózatilag izolált eszközökön kell tárolni, lehetőleg olyan médiákon, amelyek nem állandóan kapcsolódnak a fő hálózathoz. Másodszor folyamatosan monitorozni kell a hálózati forgalmat és a szerverek folyamatait kiberfenyegetés-elemző eszközökkel, és valós idejű riasztásokat kell beállítani a gyanús viselkedéshez. Harmadszor erős incident response (incidenskezelési) tervre van szükség: a szervezetnek „playbookot” kell kidolgoznia, amely tartalmazza a fertőzött rendszerek gyors izolálását, a helyreállítási forgatókönyveket és a rendszeres gyakorlatokat. Végül, de nem utolsósorban, oktatási programokat kell szervezni a munkatársak számára, hogy ismerjék a phishing, a social engineering és más támadási módszerek elleni védekezés lépéseit.
Összefoglalás
Az adatmegsemmisítő malware egyre gyakrabban alkalmazott eszköz a támadók kezében, hiszen a pusztító képessége révén akár egyetlen sikeres betöréssel is helyreállíthatatlan károkat okozhat. A hagyományos zsarolóvírusokkal szemben itt nem a váltságdíj kifizetése, hanem a megelőzés és a helyreállítható mentési stratégiák kialakítása a kulcs. A szervezeteknek több rétegű védelmet kell kiépíteniük – elkülönített biztonsági mentésekkel, folyamatos monitorozással, incidenskezelési tervvel és képzésekkel. Csak így lehet csökkenteni a súlyos adatvesztés kockázatát, és megőrizni az üzletmenet folytonosságát. Érdemes rendszeresen felülvizsgálni és gyakorolni a vészhelyzeti forgatókönyveket, hogy a csapat bármelyik pillanatban készen álljon a gyors reagálásra.
Adathordozó megsemmisítés és újrahasznosítás a vállalati adatkezelési szabályzatban
A biztonságos adathordozó megsemmisítés és adatmegsemmisítés módszerei vállalatok számára
Gyakorlati útmutató informatikusoknak és döntéshozóknak a szabványos adathordozó megsemmisítés és adatmegsemmisítés lépéseiről, dokumentációjáról és jogi követelményeiről.
Az adathordozó megsemmisítés és adatmegsemmisítés tervezése és kivitelezése kulcsfontosságú a vállalati adatbiztonság és a jogi megfelelés szempontjából. A szabályzatok betartása csökkenti a kiszivárgás, az adatsértés és a jelentős bírságok kockázatát. A megfelelően dokumentált, minősített szoftveres törlés és a tanúsítvánnyal alátámasztott fizikai megsemmisítés kombinációja biztosítja, hogy a személyes és üzleti adatok véglegesen visszaállíthatatlanul törlésre kerüljenek. A cikk bemutatja a legfontosabb technikai, jogi és fenntarthatósági szempontokat.
Szakmai példák: mi történhet jó és rossz adatmegsemmisítési gyakorlat esetén?
Egy pénzügyi szolgáltató súlyos hibát követett el, amikor tapasztalatlan külső cégre bízta a leselejtezett szerverei adathordozó megsemmisítését. Több ezer merevlemez maradt ép állapotban, így szakértők speciális helyreállító eszközökkel hozhatták vissza az érzékeny adatokat – ez 15 millió ügyfél adatait tette kockára, és 35 millió dolláros bírságot eredményezett. Más szervezeteknél a belső, képzett csapat és akkreditált laboratórium közös munkája biztosította a minősített, tanúsítványokkal megerősített fizikai megsemmisítést és auditálhatóságot.
Egy másik esetben egy pénzintézet a megbízható Blancco szoftverrel végezte el a többszörös felülírásos logikai törlést, majd aprítógéppel darálta a hibás merevlemezeket, SSD-ket mechanikusan aprította. Minden lépést jegyzőkönyvben rögzítettek, így audit során hiteles bizonyítékkal szolgálták a törlési folyamatot, elkerülve az adatvédelmi incidenseket és erősítve ügyfeleik bizalmát.
Technikai részletek: fizikai vs. logikai adatmegsemmisítés
Fizikai megsemmisítés
A fizikai adatmegsemmisítés során az adathordozót véglegesen elpusztítják: merevlemezek darálása, lemeztányérok átfúrása, SSD-k mechanikus aprítása. Mágneses adathordozóknál a demagnetizáció (degauss) alkalmazása is elterjedt, amely erős mágneses térben rendezetlenné teszi a tároló részecskéit. Ez a módszer garantálja, hogy az adatok visszaállítása lehetetlen, azonban az eszköz újrahasznosítását kizárja.
Logikai (szoftveres) törlés
A logikai adatmegsemmisítés során minősített adattörlő programok (például Blancco, open-source erasure-tools) többszörös felülírást hajtanak végre véletlenszerű vagy szabványos bitmintákkal (DoD 5220.22-M, NIST SP 800-88). SSD-k esetén a kontrollertools vagy a vezérlőcsip szintű parancsok (Secure Erase) kombinálása biztosítja a NAND-flash speciális tulajdonságai miatt szükséges teljes törlést. A logikai módszer előnye az eszköz újrahasznosíthatósága; hátránya, hogy dokumentáció és független validálás nélkül nem garantált a visszaállíthatatlanság.
Legjobb gyakorlatok és döntéshozói szempontok
A vállalati adatmegsemmisítési szabályzatban rögzíteni kell a felelősségi köröket, a chain of custody-t és az ellenőrzési pontokat. Javasolt rendszeres belső és külső auditokkal felülvizsgálni a folyamatokat, valamint képzéseket szervezni az IT- és biztonsági csapatoknak.
Chain of custody: minden adathordozó mozgását és kezelését naplózni kell a folyamatos nyomon követés érdekében.
Törlési jegyzőkönyv: minden törlési művelethez részletes jegyzőkönyvet és tanúsítványt kell készíteni, amely auditálható és hitelesíthető.
Szállítói megállapodások: akkreditált, ISO/IEC 27001 tanúsítvánnyal rendelkező szolgáltatókkal érdemes szerződni az adathordozó megsemmisítésre.
Kockázatelemzés: az érzékeny adatokat tartalmazó eszközök esetében magasabb biztonsági szinteket kell alkalmazni.
Jogszabályi követelmények: GDPR és nemzetközi előírások
A GDPR 17. cikke (“elfeledtetéshez való jog”) és az adatminimalizálás elve kötelezi a vállalatokat az adatok törlésére, ha az adattárolás célja megszűnt. Magyarországon az Infotv. kiegészíti a GDPR követelményeit, előírva a jegyzőkönyv, tanúsítvány és belső audit dokumentálását. A pénzügyi ágazatban a GLBA, az egészségügyben a HIPAA, valamint a NIST 800-88 ajánlásai is részletes útmutatót adnak a biztonságos adatmegsemmisítésre.
Az ISO/IEC 27001 Annex A.11.2.7 kontrollja az eszközök biztonságos megsemmisítését írja elő; az ISO/IEC 27040 szabvány pedig részletes utasításokat tartalmaz mind logikai, mind fizikai eljárásokra vonatkozóan.
Fenntarthatósági szempontok és újrahasznosítás
2022-ben világszerte 62 millió tonna e-hulladék keletkezett, s a Nemzetközi E-hulladék Szövetség előrejelzése szerint ez 2030-ra 82 millió tonnára nő. Mindössze 22 % kerül újrahasznosításra, pedig az e-hulladék évente 90 milliárd dollárnyi értékes nyersanyagot tartalmaz.
Élettartam-hosszabbítás: moduláris hardverek, rendszeres karbantartás és szoftverfrissítés.
Újrahasznosítás: akkreditált e-hulladék-újrahasznosítók bevonása a fémek és veszélyes anyagok biztonságos visszanyeréséhez.
Adományozás: működő, de lecserélt eszközök felújítása és adattörlés utáni átadása oktatási vagy non-profit szervezeteknek.
Gyártói visszavétel: WEEE-irányelv szerinti gyártói csereprogramok kihasználása.
Összefoglalás
A szabványos adathordozó megsemmisítés és adatmegsemmisítés együttes alkalmazása csökkenti az adatvédelmi kockázatokat, biztosítja a jogi megfelelést (GDPR, NIST, ISO/IEC) és támogatja a fenntarthatósági célokat. A minősített szoftveres törlés, a tanúsítvánnyal igazolt fizikai megsemmisítés, a részletes törlési jegyzőkönyvek, valamint a belső és külső auditok integrálása a vállalati folyamatokba erősíti az üzleti bizalmat, miközben csökkenti a környezeti terhelést. Vegye fontolóra szolgáltatóink auditált e-hulladék-újrahasznosító partnereit és építse be a törlési jegyzőkönyvet a belső szabályzataiba még ma!
Ha mélyebben érdekli az adatmegsemmisítés alapelveinek és lépéseinek áttekintése, tekintse meg korábbi írásunkat: Mi is az az adatmegsemmisítés?, ahol részletesen bemutatjuk a folyamatokat és legjobb gyakorlatokat.
Az RSA titkosítás kihívásai a kvantumszámítás korában
Kína kvantumszámítással feltörte az RSA titkosítást, alapjaiban rengetve meg a globális adatbiztonságot. A cikk bemutatja az áttörés következményeit és a felkészülési lépéseket.
A közelmúltban Kína bejelentette, hogy kvantumszámítás segítségével sikeresen feltörte az RSA titkosítást, amely a digitális kommunikáció és az adatvédelem sarokkövét jelenti. Ez az áttörés nem csupán elmélet—valódi, laboratóriumi környezetben demonstrálták, hogy a több száz qubitből álló kvantumszámítógépek képesek törni a hagyományos, 2048 bites RSA kulcsokat is. Ezzel egy új korszak küszöbén állunk, amely a már jól bevált RSA titkosítás helyett postkvantum megoldásokat követel meg.
Kína kvantumszámítással feltörte az RSA-t – veszélyben a globális adatbiztonság
A kvantumszámítás forradalma és Kína áttörése
A kvantumszámítás olyan új paradigma a számítástechnika világában, mely a klasszikus bitek helyett qubitek (kvantumbitek) segítségével dolgozik. A qubitek szuperpozíciója és összefonódása speciális kvantumalapú algoritmusok számára nyitja meg az ajtót, amelyek exponenciálisan gyorsabbak lehetnek bizonyos feladatok—például a számok faktorizációja—megoldásában. Shor-algoritmusa 1994-ben már elméleti alapot adott, de csak a közelmúltban vált lehetővé a kísérleti megvalósítás. A kínai kutatók legújabb kvantumszámítógépe több száz, hibakorrekcióra optimalizált qubitet használ, amellyel egy 2048 bites RSA kulcsot mindössze néhány óra alatt lebontottak.
RSA titkosítás és a kvantumkockázat
Az RSA (Rivest–Shamir–Adleman) algoritmus a nyilvános kulcsú titkosítás egyik legismertebb formája. Működése azon a matematikai tényen alapszik, hogy két nagy prímszám szorzatának visszafejtése klasszikus eszközökkel rendkívül idő- és erőforrás-igényes. A kvantumszámítás azonban Shor-algoritmusa révén radikálisan lerövidítheti ezt az időt. Amennyiben a kvantumszámítógépek elérik a szükséges qubit-számot és a hibaarányt a gyakorlatban is kontroll alá tudják vonni, az RSA kulcsok már nem nyújtanak megfelelő védelmet. Ez a kockázat nem csupán elméleti: a kínai áttörés rámutat arra, hogy a gyakorlatban is közelebb kerültünk a postkvantum korban elengedhetetlen biztonsági átálláshoz.
Globális biztonsági következmények
A kvantumszámítási áttörés közvetlenül fenyegeti a pénzügyi tranzakciók, a kormányzati kommunikációk és a felhőalapú szolgáltatások titkosítását. A pénzintézetek által használt SSL/TLS kapcsolatok, VPN-alagutak és digitális aláírások mind kockázat alá kerülnek, amennyiben az RSA kulcsok kompromittálódnak. Ugyancsak veszélybe kerülhetnek az egészségügyi adatok és a kritikus infrastruktúrák vezérlőrendszerei, ahol az adatvédelem és integritás kiemelt fontosságú.
A helyzet súlyosságát jelzi, hogy több nemzetközi szervezet már sürgeti a postkvantum kriptográfia szabványosítását. Az Európai Unió és az Egyesült Államok kormányzati ügynökségei közös kvantumbiztonsági irányelveket dolgoznak ki, míg a NATO-tagállamok közötti együttműködés is megerősödött a kvantumkockázatok kezelése érdekében.
Vállalati és állami felkészülés
Kockázatelemzés és prioritások meghatározása
A szervezeteknek elsőként fel kell térképezniük, mely rendszerek és adatfolyamok használják az RSA titkosítást. A kockázatelemzés során érdemes:
Azonosítani az RSA-alapú kulcskezelő rendszereket és TLS/SSL konfigurációkat.
Felmérni a kritikus tranzakciók és adatbázisok kvantumkitettségét.
Prioritási sorrendet felállítani a beavatkozás mértéke szerint.
Postkvantum prototípusok tesztelése
Az IT-biztonsági döntéshozóknak együtt kell működniük a beszállítókkal és szolgáltatókkal annak érdekében, hogy pilot környezetben már most kipróbálják a lattice-alapú, kód-alapú vagy polinomiális többváltozós megoldásokat. A kulcsforgatás rendszeres gyakorlata és a hibrid módszerek bevezetése — ahol a meglévő RSA mellé postkvantum algoritmusokat párosítunk — segíthet a zökkenőmentes átállásban.
Szabályozási és jogi kihívások
A kvantumszámítás jogi keretrendszere még kialakulóban van. Számos ország adatvédelmi törvénye (pl. GDPR) előírja, hogy a személyes adatok védelme “az állapot-of-the-art technológiának” feleljen meg. A postkvantum biztonsági követelmények beemelése ebbe a szabályozásba sürgető feladat: a kriptográfiai algoritmusok minősítését és auditálását új protokollok szerint kell elvégezni, hogy megfeleljenek a kvantumtámadások elleni védelem normáinak.
Technológiai átállási stratégiák
A gyors és biztonságos átállás érdekében a szervezeteknek érdemes a következő stratégiákat alkalmazni:
Hibrid titkosítás: RSA titkosítás mellé bevezetni postkvantum algoritmusokat.
Fokozatos kulcsváltás: 2025–2030 között lépésenként lecserélni a kulcsokat.
Szabványosítás nyomon követése: NIST és ISO javaslatok követése.
Jövőbeli kilátások: postkvantum titkosítás
A postkvantum titkosítás olyan algoritmusokat ölel fel, melyek ellenállnak a kvantumszámítógépek által kínált faktorizációs és diszkrét logaritmus-problémák gyorsításának. Nemzetközi szervezetek, mint az NIST, már folyamatban lévő szabványosítási versenyt folytatnak ezekre a módszerekre. A közeljövőben várhatóan több protokoll ér el gyakorlati érettséget, amelyek az internetes forgalom, az IoT-eszközök és a felhőszolgáltatások terén is alkalmazhatók lesznek.
Összefoglalás
A kínai kutatók kvantumszámítási áttörése világossá teszi, hogy az RSA titkosítás hosszú távon nem nyújt elegendő védelmet a kritikus információk számára. A szervezeteknek fel kell mérniük a kvantumkockázatot, és meg kell tervezniük a postkvantum kriptográfiai átállást. A tudatos felkészüléssel minimalizálhatók a biztonsági rések, és megőrizhető az adatok bizalma. Azonnali lépés: indítsa el a kvantumbiztos titkosítási auditot szervezeténél, és kezdje el a postkvantum protokollok tesztelését!
Globális perspektívák: Miért fontos mindenki számára az amerikai kritikus infrastruktúrák kiberbiztonsága?
A „kritikus infrastruktúra” kifejezés hallatán legtöbbször hídakra, erőművekre vagy vasúti rendszerekre gondolunk. De mi a helyzet azokkal a mindennapos jelenetekkel, mint amikor egy gyermek ivóvizet iszik egy parki csapból, vagy amikor egy tanár mesterséges intelligenciát használ az oktatás során? Vagy amikor repülőre szállunk egy hosszú hétvége alkalmával?
Ezek a tevékenységek olyan rendszereken alapulnak, amelyek egyre inkább digitalizálódnak és gyakran olyan hálózatokra támaszkodnak, amelyeket nem elsősorban a biztonsági szempontok figyelembevételével terveztek meg.
Olyan területek, mint az energia, az egészségügy, a vízellátás és a mezőgazdaság kritikus infrastruktúrái ki vannak téve a kibertámadásoknak, miközben a támadók egyre fejlettebb technikákat fejlesztenek.
Az év elején az amerikai kiberbiztonsági hatóságok figyelmeztettek az államilag támogatott kibertámadókra, amelyek Kína érdekeit szolgálják, beleértve a jól ismert Volt Typhoon csoportot, amely folyamatosan hozzáfér az USA kritikus infrastruktúráihoz, és készül arra, hogy zavaró tevékenységeket hajtson végre egy lehetséges konfliktus esetén.
A Környezetvédelmi Hivatal (EPA) nemrégiben arra figyelmeztette a vízellátó rendszereket, hogy azonnali lépéseket tegyenek az ivóvíz biztonságának megőrzése érdekében. Az EPA szerint a kibertámadások károsíthatják a vízellátó rendszerek működését, zavarhatják a vízkezelést vagy tárolást, illetve veszélyes szintre emelhetik a vegyszerek koncentrációját a vízben.
Nem minden amerikai kritikus infrastruktúra képes ellenállni és helyreállni egy kibertámadás után. Egyes tulajdonosoknak több forrásra van szükségük a kiberbiztonság és az ellenálló képesség javításához. Jen Easterly, a Kiberbiztonsági és Infrastruktúra Biztonsági Ügynökség igazgatója a Kongresszus előtt hangoztatta, hogy „sajnos a kritikus infrastruktúránkat alátámasztó technológia alapvetően biztonságtalan, mivel évtizedeken keresztül a szoftverfejlesztők nem voltak felelősségre vonhatóak a hibás technológiákért.”
A vállalatoknak magas színvonalon kell eljárniuk a digitális termékek fejlesztésekor. Az Biden-Harris adminisztráció ezen a téren tett erőfeszítései dicséretre méltóak, azonban a kormányzat sürgős figyelmeztetései arra sarkallnak, hogy gyors lépéseket tegyünk a kiber-fizikai ellenállóképesség javítása érdekében.
A Colonial Pipeline esete rámutatott a kiberbiztonság fejlesztésének fontosságára. Fontos, hogy a figyelem a rendszerek szegmentálására irányuljon, így az üzleti rendszerek kompromittálása ne befolyásolja a szélesebb működést.
Szükség van egy alapvető paradigmaváltásra, amely túlmutat a digitális biztonságon és a valódi ellenállóképességre összpontosít. Ez a termékek és szolgáltatások tervezésével és építésével kezdődik, olyan rendszerekkel, amelyek támogatják a kritikus infrastruktúrákat abban, hogy a váratlan helyzetekben is a várt módon működjenek.
Képzeljük el, hogy egy kórház folyamatosan működik az internetkapcsolat megszakadása vagy egy zsarolóvírusos támadás alatt; egy vízmű kézi kezelése folyik, miközben a hatóságok vizsgálják a gyanús tevékenységeket egy tisztítóműnél; vagy egy villamos hálózat moduláris módon helyreállítható egy váratlan, széles körű áramkimaradás során egy viharban.
Eljuthatunk ide. El kell jutnunk ide.
A Tudományos és Technológiai Tanácsadó Testület nemrégiben kiadott egy jelentést, amely javasolt intézkedéseket tartalmaz minden kritikus infrastruktúra rendszer ellenállóképességének elérésére, beleértve a teljesítménycélok meghatározását, a kutatás és fejlesztés koordinálását, a kormányzati kapacitás javítását a kiber-fizikai ellenállóképesség növelése érdekében a Szektori Kockázatkezelési Ügynökségeken keresztül, valamint a tulajdonosok/üzemeltetők felelősségének növelését a kiber-fizikai ellenállóképesség terén.
A kiberhivatalok folyamatos figyelmeztetése arra utal, hogy sürgősen szükség van infrastruktúránk megerősítésére és tartós ellenállóképességünk megteremtésére. A támadások egyre csak növekednek. Készen állnak a rendszereink?
A Windows 10 támogatásának 2025. október 14-imegszűnése komoly kockázatokat jelent.
