+36304177429 info@datad.hu

Válasszuk külön az adatok és a gépek menedzselését!

A cégeknek jó esetben már kidolgoztak szabályzatot az IT vagyon fizikai részének menedzselésére, azonban az adatokról nagyvonalúan megfeledkeznek. Fontos az adatok kezelésével is foglalkoznunk, ha nyugodtan szeretnénk aludni éjjel, ebben automatizmusok is segítenek.

A technológia gyors változása, az eszközök elévülési ideje miatt három-öt évente az irodai munkához használt számítógépeket cseréljük. A régi szerverek, adatrendszerek üzemeltetési költsége egy idő után olyan magas, hogy ha találunk is hozzáértő szakembert, egyszerűbb és kifizetődőbb, ha inkább cseréljük a rendszereket. Az IT rendszerek cseréjére, felújítására menetrendszerűen, szabályzat szerint kerül sor. Az adattörlési szabályzat végrehajtása a fizikai gépek cseréjéhez kötött, az előírások garantálják, hogy minden bizalmas adatot megfelelően eltávolítottak azokról az eszközökről, melyek véglegesen elhagyják cégünket.

A hatékony adatkezelés érdekében szét kellene választani a fizikai eszközök és az adatok menedzselését, és ne ragaszkodjunk a fizikai eszköz és az adat együttes kezeléséhez. A gépek és adatok életciklusa különbözik, nem logikus csak azért egymáshoz kötni őket, mert egymásnak kiegészítői. Az adat nemcsak egy adott eszközön létezik, hanem a felhő technológiának köszönhetően egy olyan gépen is megtalálható, mely kívül esik a vállalat eszközkezelési szabályzatán. Az adat és fizikai hordozójának útja szétváltak.

A gyakorlatban az adat életciklusa sokkal rövidebb vagy sokkal hosszabb, mint az eszköz életciklusa, persze, mindez az adat típusától függ. Amikor összekötjük a két eseményt, akkor rengeteg fejfájást és manuális munkát generálunk IT rendszergazdáink számára.

A hatékony adatmenedzsment, mely az adatok keletkezésétől, azok megtartását és törlését is magába foglalja, átgondolt folyamatokból áll. Olyan alkalmazásokat vonhatunk be az adatok menedzselésébe, melyek precízen végrehajtják az adatmenedzselési szabályzatba leírtakat – automatikusan. Ha tudjuk, hogy mi történik egy panaszos ügyfélemaillel kezdve megérkezésétől és végezve a panaszos ügy lezártáig, ismerjük a kötelező adatmegőrzési periódusokat, automatikus ütemezéssel, adatfertőtlenítéssel biztosíthatjuk, hogy az adatokat kellőképpen megsemmisítettük.

Az automatizmusnak pedig elsőnek értékes munkatársunk örül majd, akinek időt takarítottunk meg, értékteremtő munkát biztosítottunk helyette. Ugyanakkor az esetleges adatvédelmi auditoknak is nyugodt szívvel nézhetünk elébe, hiszen az automatizmusok dokumentáltan biztosítják, hogy az adatokat csak azok lássák, akiknek szánták.

Felhasználónként százezer forintot is érhet az adat

Korábbi cikkünkben már foglalkoztunk azzal, hogy egy-egy adatszivárgási esetben milyen költségekkel kell számolnia egy vállalatnak. Vagyis, hogy mennyit is érhet az a bizonyos adat. A közelmúlt eseményei alapján most már konkrét számokat tehetünk az adat értéke mellé.

Nemcsak az adatok értékével kell számolnia egy vállalatnak, amikor adatait elhagyja, elveszíti, hanem a presztízsveszteség következtében létrejövő bevételkieséssel, az ügyfélveszteség miatti elmaradt bevételekkel, az esetleges tőzsdei értékcsökkenéssel – minderről egy korábbi cikkünkben már beszámoltunk. Emiatt nehéz egy pontos számot tenni az adatveszteségek tétel mellé. A közelmúltban több gigabírságot is kiszabtak a hatóságok adatszivárgás miatt, így végre sikerült árcédulát tenni az adatokra. Lássuk hát az eseteket.

A Mariott Hotel 2018 novemberében egy hacker támadás következtében 399 millió vendégének válogatott adatait veszítette el (vendégenként változott, hogy milyen adatok kerültek idegenek kezébe, de név, postai cím, telefonszám, email cím, útlevélszám, születési adatok, nem, érkezési és távozási adatok, foglalási adatok, bankkártya adatok is közöttük voltak). Az üggyel kapcsolatban nemrég született egy gigabírság: a GDPR szellemében 99,2 millió font büntetést szabott ki az angol adatvédelmi hatóság. Hogy ezt csak az érintett 7 millió brit lakos miatt tette volna, akkor azt jelenti, hogy személyenként 14,17 fontot (vagyis 5135 forintot) érnek az adatok. Ha a 399 millió vendéget vesszük figyelembe, akkor ez csupán 0,24 fontot (vagyis 86 forintot) jelent személyenként.

A British Airways ennél sokkal, de sokkal rosszabbul járt, hiszen ugyancsak a brit adatvédelmi hatóság 183 millió fontos bírságot szabott ki a társaságra, amiért tavaly szeptemberben egy hackertámadás következtében 500 ezer ügyféladatot loptak el – minden esetben a jegyek vásárlásához használt bankkártyák adatairól van szó. A hatóság azért volt ennyire szigorú, mert szerintük a társaság hanyag volt az IT biztonság tekintetében. Ezzel a büntetéssel akartak példát statuálni, üzenetet küldeni a piacnak: a vállalatoknak komoly lépéseket kell tenniük annak érdekében, hogy az alapvető emberi jogokat, a személyes adatainkat védelmezzék. És akkor számoljunk, ez ügyfelenként 366 fontot jelent, ami forintban kifejezve szemmel is látható, még távolról is: 132600 forintról van szó.

És ez még nem minden, a Facebook 5 milliárd dolláros büntetéssel néz szembe, igaz, ott a Cambridge Analytica-val kapcsolatos, engedély nélküli adatátadásról van szó. (A Facebook-on futó, különböző ártalmatlan játékokon keresztül adatokat szívtak el a felhasználók közösségi oldal profiljáról, majd a játékosok ismerőseinek adatait is begyűjtötték. Ezeket az adatokat használta fel a Cambridge Analytica a szavazók pszichológiai profiljának kialakítására, ennek a profilnak az ismeretében az amerikai elnökválasztás idején, Donald Trump stábja mikro célzott üzenetekkel győzte meg a szavazókat, hogy mellettük voksoljanak.) Az amerikai fogyasztóvédelmi felügyelet 5 milliárd dolláros bírságot szabott ki a Facebookra, 500 millió érintett felhasználóval számolva ez csekély 10 dollárt (2941 forint) jelent.

 

Fertőtlenítsünk felülírással

Miért kell adatfertőtlenítés is a titkosítás mellé?

Adataink titkosított tárolása csak megnehezíti, de nem teszi lehetetlenné az adatokhoz való hozzáférést. Az adatok titkosítása csak kiegészíti, de nem helyettesíti az adathordozók fertőtlenítését.

Az adatok vagy a merevlemezek titkosítása fontos eszköz az adatszivárgás elleni küzdelemben, az értékes adatvagyon házon belüli tartásában. Az adatok titkosítása azonban hamis biztonságérzet kialakulásához is vezethet, gyakori az az elképzelés, hogy ezután már könnyen hátra dőlhetünk, semmi teendőnk sincs, adatainkhoz végképp csak az illetékes fér hozzá.

Ez sajnos nem így van. Aki biztosra akar menni, az a korábban titkosított merevlemezeket is felülírással fertőtleníti eladás, továbbadás előtt. A titkosítás használata azt jelenti, hogy tudatos IT vezető vagy cégvezető van a vállalatnál, aki nem szeretné, hogy az adatok könnyen kiszivárogjanak a vállalattól. A titkosítás hozzásegít ahhoz is, hogy picit nyugodtabban alszunk éjjel, nem aggódunk feleslegesen.

Amikor viszont a merevlemez életciklusa végéhez ért, leselejteznénk, a titkosítás mellett az adatot szakszerű eltávolításáról is gondoskodnunk kell. A titkosítás a gyakorlatban egy jelszót jelent, amit adathalászat, fenyegetés vagy csak egy ajándék sör hatására elárulhat nekünk az adatgazda. A titkosítási technológiák sem mindig jelentenek bombabiztos adattárolást, időnként kiderül, hogy komoly biztonsági rés tátong egyik vagy másik technológián.

Ezek a titkosítási hibák ismertek

A Windows operációs rendszerekbe alapból beépített Bitlocker titkosítási eljárásról kiderült, hogy firmware-beli hiba miatt könnyen feltörhető kulcspárokat generált a rendszer. A problémát tovább fokozza, hogy nem könnyű ezt a hibás firmware-t frissíteni – már ha eszébe jut ez a rendszergazdának.  A 2017-ben feltárt hibához vannak frissítések, ezen a linken lehet megnézni, hogy a különböző hardverekhez honnan, hogyan kell azt telepíteni.

A méltán népszerű Western Digital titkosítási eljárásába is hiba csúszott, ezen a linken olvashatják el az összes hibát. Egyet kiemelünk: a titkosításban a sózás technológia arra szolgál, hogy a gyenge jelszavakat lenyomatait megváltoztassák, úgy, hogy a hackerek ne ismerjék fel, ne tudják visszafejteni, Ehhez azonban változó vagy módosítható sóra van szükség, amit az eredeti gyenge jelszóhoz kevernek. A WD merevlemezei a sózáshoz három betűből álló, nem módosítható karaktert használnak: WDC.

Milliós károkat okoznak az elavult IT eszközök

A vállalatoknak nincs idejük foglalkozni az idős eszközökkel, ami viszont egyre nagyobb fenntartási költségeket generálnak. A Blancco év eleji kutatása szerint a vállalatoknak milliókba kerül a régi, idejétmúlt IT eszközök tárolása.

Az európai, amerikai és ázsiai vállalatok megkérdezésével készült kutatás szerint a Blancco azt a következtetést vonhatta le, hogy 100 ezer dollárt (több mint 28 millió forint) költenek a szervezetek az adatközpontjukban működő régi eszközök fenntartására, az elavult technológia okozta zavarok elhárítására. A régi hardver eszközök ezen felül biztonsági és megfelelőségi kockázatot is jelentenek a vállalatnak: gyakori, hogy az elavult hardver operációs rendszerét már nem frissítik, de mégis tovább üzemeltetik, nyílt utat biztosítva az adatokat ellopni kívánó hackereknek.

A 600 vállalat megkérdezésével készített kutatás szerint a cégek több mint felének (54 százaléka) akadt gondja az adatvédelmi hatóságokkal, legalább egyszer, de voltak olyanok is, akik kétszer. Az európai GDPR és amerikai ágazati (például egészségügy) adatvédelmi szabályozások értelmében ezek a vállalatok 20 millió eurós vagy 1,5 millió dolláros büntetést kockáztatnak viselkedésükkel.

Fredrik Forslund, a Blancco vállalati megoldásokért felelős alelnöke szerint a vállalatok szükségtelenül magas összegeket költenek az adatok belső tárolására. Másik oldalról a vállalatok viselkedése érthető, viszont hiszen azért nem mernek a régi IT eszközöktől megszabadulni, mert ezzel adatszivárgást kockáztathatnak – nem tudják megfelelően fertőtleníteni az adatokat tartalmazó merevlemezeket. Ezért inkább tovább tárolják, rosszabb esetben az aktív hálózatba beépítve működtetik ezeket a régi IT eszközöket is, komoly károkat okozva saját maguknak. Megoldás lehetne szakértő vállalatokra bízni az adatok szakszerű törlését, fertőtlenítését.

A kutatás további eredményei szerint a vállalatoknál dolgozók többsége egyszerűen elbukná az adatfertőtlenítési tesztet, miután 57 százalékuk úgy véli,  a gyorsformázás vagy a teljes formázás elegendő az adatok visszaállíthatatlan törléséhez. Egy másik érdekes adat, hogy a vállalatok 80 százaléka elismerte, a régi IT eszközök negyede csak ott csücsül az adatközpontban és az áramfogyasztáson kívül semmilyen aktív feladatuk nincs.

Jogunk van töröltetni a mobilunkat

A mobilszolgáltatóktól, számítógépszervizektől, de még a munkáltatónktól is kérhetjük annak igazolását, hogy a részére átadott adathordozóról megfelelően törölte személyes adatainkat, és ezt a jogunkat széles körben tudjuk érvényesíteni.

A Nemzeti Adatvédelmi és Információszabadság Hatósága állásfoglalásával egy korábbi cikkünkben már foglalkoztunk. Akkor azt emeltük ki, hogy a GDPR salátatörvénynek nevezett jogszabály 2019 áprilisi elfogadásával a munkahelyi személyes adatokat dokumentáltan kell törölni. A jogszabályok és a hatósággal történő konzultáció alapján egyértelmű, hogy a számítástechnikai eszközök adatoktól történő fertőtlenítését széles körben be kell iktatni a különböző munkahelyi és üzleti folyamatokba – emelte ki Molnár Gábor, a NAIH véleményének értelmezését elvégző L-Tender Consulting ügyvezetője.

Köteles fertőtleníteni a munkáltató
Például, ha egy munkavállaló a munkáltatója részére visszaadja céges mobiltelefonját vagy notebookját, akkor a munkáltató köteles ezt az eszközt fertőtleníteni a személyes adatoktól. Erről pedig a munkavállaló olyan törlési jegyzőkönyvet kérhet, amely tartalmazza a törlés módszerét, időpontját, eredményét, valamint a törölt adathordozó egyértelmű azonosítását lehetővé tévő sorozatszámot vagy IMEI számot.

Szintén adattörlési kötelezettsége van egy mobilszolgáltatónak vagy PC-szerviznek olyankor, ha egy mobiltelefont vagy notebookot garanciában újra cserél. Ilyenkor az ügyféltől átvett régi eszközről a cég köteles törölni a személyes adatokat, és erről törlési jegyzőkönyvet kell kiállítania.

A törlés módszereként nem fogadható el az egyszerű formázás, ehelyett olyan eljárást kell alkalmazni, amely a korábbi adatokat az adathordozó teljes felületén felülírja egy megfelelő algoritmussal, és így az adatokat visszaállíthatatlanná teszi. A törlés megtörténtét pedig részletes jegyzőkönyvvel kell igazolni mind az ügyfél, mind az ellenőrző hatóságok felé.

Több millió mobil érintett
A gyakorlatban mindez azt jelenti, hogy évente sok millió eszközt kell fertőtleníteni a személyes adatoktól, és a mobiltelefonokat, számítógépek nem lehet úgy leselejtezni, tovább adományozni vagy értékesíteni, hogy ne történjen meg a törlésük. Molnár Gábor szerint könnyen meg lehet érteni, hogy mindez miért fontos. Életszerű feltételezni például, hogy egy munkavállaló a részére rendelkezésre bocsátott notebookon magáncélból is fel fog keresni különböző weboldalakat. A böngészési előzményekből így következtetni lehet egészségügyi állapotára és betegségeire, vallási hovatartozására és politikai nézeteire, szexuális szokásaira. Ezeket az adatokat pedig – jogszerűtlenül – a vállalat HR-osztálya is felhasználhatná, például egy menedzser előléptetésének elbírálása során.

Megbízható szolgáltatónak adjuk el használt mobilunkat

A telefonokat újrahasznosító vállalatoktól közvetlenül vásárolt Android telefonok tesztelése után kiderült, hogy a készülékek 19 százalékában vannak adatok. A tanulság: használt mobiltelefonunkat csak megbízható szolgáltatónak adjuk át.

A Blancco munkatársai még 2018-ban vásároltak 100 darab Android készüléket olyan vállalatoktól, akik használt mobiltelefonok eladására szakosodtak. Ez azt jelenti, hogy ezek a cégek úgy adják tovább ezeket a készülékeket, hogy gondoskodtak a rajtuk lévő adatok szakszerű eltávolításáról. Mind kiderült, elvileg. Ami biztonsággal állítható az, hogy az összes készüléket gyári beállításokra állították vissza. Arról nincs információ, hogy a gyári beállításon túl milyen eszközzel írták felül (vagy sem) az adatokat.

Annak ellenére, hogy profi vállalatoktól kerültek ki ezek a készülékek, 19 százalékuk esetében az adatokat vissza lehetett állítani. Az viszont már biztató adat, hogy csupán 9 készüléken találtak személyes, vállalati vagy egyéb olyan szenzitív adatot, mely a korábbi tulajdonos azonosítását lehetővé tette. Tíz esetben a mobilszolgáltatóhoz köthető adatot volt a készüléken, vagyis SMS-eket, hívásnaplót és kontaktokat találtak – ezekből nem lehetett azonosítani a tulajdonost.

A készülékek kilenc százalékán egyéni és vállalati adatot is találtak, voltak közöttük fotók, közösségi média profilok stb. Egy telefonon találtak vállalati adatot, ennek alapján a kutatók belőhették, hogy pontosan hol is dolgozott az illető. Ez a készülék tartalmazta a legizgalmasabb fotókat: termékek prototípusait felejtettek a készüléken, de szállítási információkat is találtak és az adott dolgozó kapcsolatai is még az eszközön maradtak.

Az adatokhoz a kutatók hol nagyon könnyen, hol viszont csak speciális eszközök bevetésével jutottak hozzá. Azt megjegyezték, hogy kevés eszközön volt azonnal látható információ – vagyis, amikor bekapcsolták, nem azonnal láthatták például az SMS-eket. A sok információt tartalmazó mobiltelefonokat kereskedelmi forgalomban is elérhető szoftveres eszközökkel állították vissza. Egy esetben már ezek a bárki számára hozzáférhető eszközök sem vezette eredményre, ott közvetlenül a telefon chipjéből olvasták ki az információkat.

Azt is láthatták, hogy a legtöbb esetben a telefonok továbbadói próbálkoztak a felhasználói adatok kézi törlésével vagy a gyári visszaállításban bíztak, de ez nem sikerült. A kutatás azt is megjegyezte, hogy a kereskedőktől vásárolt készülékek arányaiban jobban teljesítettek, mint az online aukciós portálokról megvásárolt eszközök. A tanulság: megbízható forrásnak adjuk tovább használt készülékünket, győződjünk meg eladás előtt, hogy az adatokat ténylegesen, minősített módon törlik.

Adattípusok megoszlása a használt telefonokon

Ha a kutatás részleges metodikájáról, az adatok visszanyeréséhez használt speciális eszközök megismeréséhez olvassa el az eredeti tanulmányt. https://ld7un47f5ww196i744fd5pi1-wpengine.netdna-ssl.com/wp-content/uploads/2019/04/201811-SSpaper-CircularEconomy.pdf