Dél-Korea ideiglenesen betiltotta a DeepSeek AI alkalmazást adatvédelmi aggályok miatt

febr 17, 2025 | Adatbiztonsági cikkek, hírek

DeepseekAI ban


Dél-Korea ideiglenesen betiltotta a DeepSeek AI alkalmazást adatvédelmi aggályok miatt

DeepSeek AI betiltása Dél-Koreában: adatvédelmi aggályok és vállalati kockázatok

A DeepSeek AI betiltása rávilágít a harmadik-feles AI-szolgáltatások adatvédelmi kockázataira. Mit tehetnek a vállalatok a hasonló incidensek megelőzéséért?

A DeepSeek AI betiltása Dél-Koreában újabb figyelmeztetés arra, hogy a mesterséges intelligenciát használó szervezeteknek
nem csupán a funkcionalitásra, hanem a szigorú adatvédelmi megfelelésre is összpontosítaniuk kell. A koreai
Personal Information Protection Commission (PIPC) februári döntése nyomán a kínai fejlesztésű alkalmazás
mobilverzióját törölték az Apple és a Google helyi piacteréről, miután kiderült, hogy jogosulatlanul továbbította
a felhasználói adatokat külföldi szerverekre. A DeepSeek AI betiltása nemcsak az ázsiai technológiai
piacot rázta meg, hanem globális vitát is generált az AI-megoldások transzparenciájáról. A következőkben bemutatjuk
a döntés hátterét, a nemzetközi reakciókat, valamint azt, milyen gyakorlati lépésekkel csökkenthetik a döntéshozók
a hasonló incidensekből fakadó adatbiztonsági kockázatokat.

A dél-koreai döntés háttere és a PIPA szigorú szabályrendszere

Dél-Korea adatvédelmi keretrendszerét a 2020-ban kibővített PIPA (Personal Information Protection Act) határozza meg,
amely – a GDPR-hoz hasonlóan – szigorú előírásokat tartalmaz a felhasználói hozzájárulás, a célhoz kötöttség és
a minimális adatkezelés elveire. A PIPC állásfoglalása szerint a DeepSeek AI rendszere:

  • felhasználói hozzájárulás nélkül továbbított személyes adatokat Kínába és az Egyesült Államokba;
  • túlzott mennyiségű metaadatot (például billentyűleütés-mintákat és IP-címet) gyűjtött;
  • a felhasználói prompteket is elemzési céllal exportálta külföldre.

A hatóság 30 napos határidőt szabott a hibák kijavítására, kötelezővé tette a korábban továbbított adatok törlését
(„végleges törlés”) és részletes törlési jegyzőkönyv benyújtását írta elő. Ez jól illeszkedik a DataD-n
gyakran tárgyalt minősített törlés és végleges adattörlés gyakorlatához, amelyet a vállalatoknak
informatikai eszközeik leselejtezésekor is követniük kell.

Mit tárt fel a PIPC vizsgálata?

Jogosulatlan adattovábbítás külföldre

A vizsgálat kimutatta, hogy a DeepSeek AI háttérben futó modulja minden egyes felhasználói kérdést – beleértve az
esetleges bizalmas üzleti információkat – továbbított egy pekingi felhőszerverre, ahonnan a kínai joghatóság alatt
álló partnerek is hozzáférhettek. A PIPA szerint bármilyen határon átnyúló adatáramláshoz előzetes,
tájékoztatáson alapuló hozzájárulás szükséges, amelyet a vállalat nem teljesített.

Metaadat-gyűjtés és profilalkotás

A PIPC külön kifogásolta, hogy az alkalmazás az eszközmodell, az operációs rendszer verziója, a hálózati konfiguráció,
sőt a billentyűleütések időzítéséből származó biometrikus információk alapján részletes felhasználói profilt
állíthatott össze. Ezek az adatok – összevetve a GDPR 35. cikkelye szerinti kötelező kockázatelemzéssel –
már magas kockázatú adatkezelésnek minősülnek, ami további Data Protection Impact Assessment (DPIA)
lefolytatását indokolta volna.

Nemzetközi reakciók és párhuzamos tiltások

A DeepSeek AI betiltása nem elszigetelt jelenség. Tajvan, Ausztrália és Olaszország korábban már blokkolta az
alkalmazást a kormányzati eszközökön, míg Németországban a szövetségi kiberbiztonsági hatóság indított előzetes
vizsgálatot az adatkezelési gyakorlat miatt. Az Egyesült Államokban New York állam kormányzója végrehajtási utasítást adott
ki, amely megtiltja a DeepSeek használatát minden állami hálózaton, a kongresszus előtt pedig olyan törvényjavaslat fekszik,
amely országos szintű tiltást írna elő kormányzati szerveknél.

USA: állami eszközök védelme a technológiai kémkedéstől

A döntést az a félelem motiválta, hogy a szenzitív kormányzati dokumentumok prompt formájában a kínai szerverekre
kerülhetnek, ahol – a nemzetbiztonsági törvények értelmében – a helyi hatóságok is hozzáférhetnek. A tiltás egyben precedenst
teremt más generatív AI-szolgáltatások állami alkalmazásának szabályozására.

Európai Unió: a GDPR és az EU–USA adatvédelmi keretrendszer szerepe

Bár az EU-s hatóságok még nem rendeltek el teljes tiltást, több tagállam vizsgálja, hogy a DeepSeek adatkezelése megfelel-e
az EU–USA Adatvédelmi Keretre, illetve a kínai jogrenddel fennálló összeütközések miként oldhatók fel.
A szóban forgó transzfer nem sorolható a szükséges „megfelelő garanciák” közé, ezért a szolgáltatás európai terjeszkedése
komoly akadályokba ütközhet.

Tanulságok és ajánlások döntéshozóknak

A történet nemcsak egyetlen alkalmazásról szól, hanem a third-party AI-szolgáltatásokkal járó általános kockázatokról.
Az alábbi ellenőrzőlista segíthet a CIO-knak és CISO-knak megelőzni a kellemetlen meglepetéseket:

  • Adattérkép készítése: pontosan rögzítsük, milyen adat hagyja el a szervezetet, és hová kerül.
  • Szerződéses garanciák: minden AI-beszállítóval kössünk Data Processing Agreementet,
    amely tartalmazza a törlési határidőket és a törlési jegyzőkönyvvel igazolt fizikai vagy logikai törlést.
  • DPIA lefolytatása: nagy volumenű vagy különleges kategóriájú adat esetén kötelező kockázatelemzést végezni.
  • Zero trust elv: blokkoljuk a beépített kamera- és mikrofonhozzáférést, vezessünk be
    application sandboxingot.
  • Mentési stratégia: tiltsuk az érzékeny információk AI-modellbe írását; jelöljük meg technológiával
    (DLP) a bizalmas adatokat.
  • Esemény-naplózás: auditáljuk a felhasználók promptjait és a hálózati forgalmat, hogy kimutatható legyen,
    ha adatszivárgás történik.
  • Fizikai megsemmisítés: mobil- vagy edge eszközöknél szükség esetén merevlemez megsemmisítés
    vagy SSD törlés is indokolt.

Összefoglalás

A DeepSeek AI betiltása ismét rávilágított arra, hogy az AI-alapú szolgáltatások értéke csak addig tart, amíg
képesek megfelelni a szigorú helyi és nemzetközi adatvédelmi előírásoknak. A döntéshozóknak most kell lépniük: vizsgálják
felül AI-partnereik szerződéseit, implementáljanak átlátható adattörlési folyamatokat, és gondoskodjanak arról, hogy
a végleges törlés – legyen az minősített szoftveres törlés vagy adathordozó fizikai
megsemmisítése – a vállalat teljes életciklus-menedzsmentjének részévé váljon. Amennyiben szakértői
támogatásra van szüksége, lépjen kapcsolatba a DataD csapatával, és kérjen ingyenes kockázatfelmérést még ma!

Felhőalapú megoldások: Adatbiztonság a modern üzleti világban

aug 10, 2023 | Adatbiztonsági cikkek, hírek

A felhőtechnológia nagyszerű lépés előre, de az adatbiztonságot és a feleslegessé vált információk eltávolítását sem szabad figyelmen kívül hagyni.

A távmunka növekedése felgyorsította a vállalatok felhőalapú szolgáltatások felé történő elmozdulását. Fontos a vállalati adatok biztonságos és tanúsított törlése ebben a folyamatban.

A pandémia mélyen érintette munkavégzési és vásárlási módszereinket, az online tér lett a fő színtér. A vállalatok egyre nagyobb beruházásokat eszközölnek a felhőszolgáltatásokban, és a Gartner becslései szerint ez a tendencia 2024-ig folytatódik.

Látványos növekedés

2021-ben a felhőalapú szolgáltatásokba történő beruházások 18,4%-kal emelkedtek, összesítve 304,9 milliárd dollár bevételt globális szinten. A Gartner előrejelzése szerint a vállalatok 75%-a továbbra is fenntartja a távmunka gyakorlatát.

Adatok eltávolítása a felhőbe költözés után

A felhőalapú megoldások bevezetésével a vállalati adatok már nem helyi tárolóegységeken, hanem külső felhőszolgáltatónál helyezkednek el. Ezért kritikus a nem aktuális adatok biztonságos eltávolítása.

A megfelelő törlés csökkenti az adatszivárgás kockázatát. A megszabadult tárhelyet más célokra is felhasználhatjuk, így spórolhatunk az új tárolók beszerzésén.

Adatvédelmünk előtérben

Bár a felhőalapú megoldások hatékonyságot és rugalmasságot kínálnak, új kihívásokkal is szembesülünk, különösen a kényes információk kezelésekor.

A Blancco adattörlő rendszerek biztosítják a vállalati adatok védelmét az illetéktelen behatolásokkal szemben. Ha már nem szükségesek, biztonságosan eltávolíthatjuk az adatokat, így a tárolók továbbra is rendelkezésre állnak. A Blancco-val az adateltávolítás könnyen nyomon követhető és dokumentálható.

A tanúsított adateltávolítás nem csak a felhőbe költözés alkalmával fontos, de más szituációkban is, mint:

  • Eszközök bizonyos életciklusának elérésekor.
  • Aktív IT környezetben.
  • Nem releváns archivált adatoknál.

Az érzékeny információk védelme érdekében az alapos adatkezelés kulcsfontosságú. A tanúsított adattörlő megoldások megbízhatóan távolítják el az információkat. Ezáltal a vállalatok biztonságban tudhatják adataikat, miközben eleget tesznek az adatvédelmi előírásoknak és optimalizálják IT beruházásaikat.

Forrás: blancco.hu

Éjféli Hóvihar: Orosz Hackercsoport Fertőzött Microsoft Teams Fiókokat Használ

aug 7, 2023 | Adatbiztonsági cikkek, hírek

Orosz támadók a Microsoft Teams-en: Adatlopásra irányuló próbálkozások

A Microsoft információi szerint egy orosz hackertársaság, mely állítólag a kormány érdekeit szolgálja, a Microsoft Teams alkalmazást használja információk gyűjtésére különböző szervezeteknél.

Microsoft Tájékoztatása

A Microsoft nemrég tette közzé, hogy egy, az orosz államhoz köthető hackercsoport a Teams szolgáltatást veszi célkeresztbe adatszerzési céllal.

Az Redmond-i Biztonsági Csapat elemzései alapján a támadók az orosz SVR hírszerzés tagjai lehetnek. Több támadást is intéztek állami, médiás és technológiai intézmények ellen.

‘Éjféli Vihar’ Cselekményei

Az ‘Éjféli Vihar’ néven ismert társaságot korábban a Microsoft Nobeliumként azonosította. Kimutatták, hogy a társaság megfertőzött Microsoft 365 fiókokkal trükközik, és új, megtévesztő domaineket hoz létre.

Ezen hamis domainek segítségével a támadók a Teams alkalmazáson belül próbálnak meg hozzáférni információkhoz, felhasználói tevékenységeket manipulálva és az MFA azonosítását kikerülve.

Az érintett támadások száma alacsony, ami arra utal, hogy célzott kiberincidensekről van szó, főleg az USA és Európa területén.

A támadások részletesebb elemzése

A Microsoft szakemberei alapos jelentést is összeállítottak a támadásokról, különösen a támadók által használt domainnevek vizsgálatára összpontosítva.

„A támadások hatékonyságának növelése érdekében a kiszemelt kisebb vállalkozások Microsoft 365 fiókjait manipulálták. Módosították a fertőzött fiók nevét, hozzáadva egy ‘onmicrosoft.com’ végződést, és új fiókot hoztak létre ezen a domainen, ahonnan üzeneteket küldtek a célpontoknak.”

Sikeres beavatkozás esetén a támadók elérhetik a célpont Microsoft 365 fiókját és más szolgáltatásokat is, megkerülve az azonosítási procedúrát.

Bejutás után képesek információkat lopni, és elérhetik más Microsoft 365 szolgáltatásokat is, mint például az Azure platformot.

Védekezés és hatások

A Microsoft bejelentette, hogy észlelték a támadásokat és az adatszerzési kísérleteket. Néhány esetben a támadó hozzápróbált adni eszközöket a vállalati hálózathoz, amelyek a Microsoft Entra ID segítségével kommunikálnak. Ezzel a támadó képes megkerülni azokat a hozzáférési szabályokat, amelyek csak engedélyezett eszközökre érvényesek.

A cég aktívan dolgozik a támadások azonosításán és megállításán, és azt tanácsolja a felhasználóknak, hogy mindig legyenek résen minden kétes üzenettel vagy kéréssel kapcsolatban.

Forrás: www.securityweek.com

Adattörlő alkalmazást biztosít az állam a tartós adathordozókra

dec 8, 2021 | Adatbiztonsági cikkek, hírek

A Nemzeti Média- és Hírközlési Hatóság (NMHH) sajtóközleménye szerint december elsejétől minden tartós adathordozó vagy ezeket tartalmazó eszköz vásárlásakor egy adattörlő címkét is kapnak az ügyfelek.

Ezen az adattörlő címkén egy kód szerepel, melynek segítségével a veglegestorles.hu weboldalon lehet az adathordozón lévő adatokat véglegesen és visszavonhatatlanul törölni. Az oldalon ennek a kódnak a megadása és az eszköz típusának kiválasztása után egy szoftvert tölthetnek le a felhasználók, melynek segítségével törölhetik az adatokat. A kereskedőtől kapott kód egyszer használatos, egyszeri törlésre jogosít.

Amennyiben a tartós adatfertőtlenítéshez segítségre lenne szüksége felhasználóként vagy vállalkozásként egyaránt, forduljon bizalommal a DATA D szakembereihez!

Tavaly született a kormányrendelet

A hatóságok még a tavaly fogadták el a 726/2020. (XII. 31.) számú kormányrendeletet, mely a végleges adattörléshez szükséges teendőket szabja meg, többek között előírja az ingyenes adattörlő szoftver biztosítását is.

Az NMHH sajtóközleménye szerint, ha a fogyasztók a már nem használt adathordozó eszközökről nem törlik véglegesen adataikat, azok könnyen eljuthatnak a készülék következő használójához.

Ahogy mi is azt sokszor hangsúlyoztuk, nem szükséges különösebben képzettnek lenni ahhoz, hogy valaki visszaállítsa az eredeti fájlokat.

Ha a telefonhoz más okoseszközök is kapcsolódnak, akkor még könnyebben elérhetők ezek az adatok, legyenek azok fotók vagy jelenleg is használt jelszavak. Ezért különösen fontos, hogy a tartós adathordozókon alkalmazott törlési módszer visszavonhatatlan és biztonságos legyen.

Kereskedőknek igényelni kell

A kereskedők a végleges adattörlési címkével kapcsolatban a székhelye vagy telephelye szerinti illetékes járási hivatalhoz fordulhatnak. A címke átvételekor a kereskedőknek igazolniuk kell a kereskedelmi tevékenység végzéséről szóló jogosultságot. Ennek ellenőrzését a járási hivatalok végzik.

A fogyasztóvédelmi hatóság ellenőrzi, hogy a kereskedő a címkét a fogyasztónak szabályosan adta-e át, a rendelkezések betartásával vezeti-e a nyilvántartást, hogyan tárolja a címkéket és kezeli a sérült vagy használhatatlan darabokat.

Az ingyenes adattörlési címkét a meghatározás szerint a következő tartós adathordozó eszközökre, biztosítható:

  • Android vagy IOS operációs rendszerű készülék vagy
  • önálló egységként vagy más informatikai hardver eszköz (pl. személyi számítógép, notebook, szerver stb.) részeként üzemeltetett, a felhasználó által rendeltetésszerűen szervizelhető, eltávolítható, mágneses vagy statikus elektromos (FLASH) tárolási elvű tartós adattároló,
    például

    • merevlemez (hard disk drive, HDD), szilárdtest meghajtó (solid-state drive, SSD),
    • pendrive (USB vagy egyéb csatolóval rendelkező flash memória).

A törölni kívánt eszköz csatlakoztatható kell, hogy legyen a törlést végző számítógéphez az alábbi módok egyikén:

  • USB,
  • SATA és különféle változatai,
  • SAS.

A törölni kívánt eszköz nem alkalmazhat az adatok elérését korlátozó hardveres titkosítást vagy hozzáférés-szabályozást.

A kereskedők az nmhh.hu/veglegestorles oldalon további információt kaphatnak az adattörlő címkével kapcsolatban.

 

Húszezer forint támogatással cserélhetjük le a régi mobiltelefont

okt 19, 2021 | Adatbiztonsági cikkek, hírek

Jövő év elejétől az új mobilkészülékek vásárlását 20 000 forinttal támogatja az állam. A DATA D azt tanácsolja, hogy a régi készülékek leadása előtt töröljük adatainkat.

Ideje felgyorsítani a magyar mobilnetet, ez pedig két módon valósítható meg. Első körben a mobilszolgáltatók a 4G hálózat után az 5G hálózatot építik szorgalmasan. Ezzel párhuzamosan az 3G vagy 2G hálózatot fokozatosan lekapcsolják.

Támogatással ösztönzik a cserét

A felhasználók tekintetében is ösztönöznék a gyorsítást a hatóságok. A Nemzeti Média- és Hírközlési Hatóság az Innovációs és Technológiai Minisztériummal közösen egy sajtótájékoztatón ismertette, hogy a mobilinternetezésre nem alkalmas telefonok cseréjét 20 ezer forintos támogatással ösztönzik, amit az új készülék vásárlási árába számíthatnak be a készülék forgalmazói.

A programra ötmilliárd forint támogatást szánnak, tehát 250 ezer új mobiltelefon vásárlását tudják támogatni. A használt háztartási gépek cseréjéhez hasonlóan itt is kimerülésig lehet igénybe venni a programot. Hogy pontosan milyen mobilkészülékeket terveznek támogatni, azt a Netre fel!, erre a célra létrehozott weboldalon lehet megtudni. A programhoz a mobiltelefont forgalmazó cégek csatlakozhatnak, ez rajtuk múlik.

Csere előtt töröljük az adatokat

Amikor a régi készülékeket adják le a felhasználók arra is kell figyelni, hogy a rajtuk lévő adatokat szakszerűen és tanúsítottan töröljék. Ehhez a DATA D, mint a Blancco tanúsított adattörlési megoldás partnere szakszerű segítséget tud nyújtani a magánszemélyeknek és mobiltelefon kereskedőknek egyaránt.

Ahogy erről korábban már írtunk, a Blancco Magyarország közleménye szerint online csereprogramokkal lehetne felpörgetni az 5G telefonértékesítést.

A bizalmat növelhetünk a megfelelő adatkezeléssel

A tavaly 10,5 százalékkal csökkent az okostelefonok piaca, többek között a Covid-járvány hatására, azonban idén 11 százalékos növekedésre számítanak a szolgáltatók. Nagyon sokan 5G készülékre cserélik le telefonjukat, ami a Gartner szerint az eladások 35 százalékát teszik ki.

A kutatás szerint az internetes csereprogramok sikerét növelné a nagyobb átláthatóság és a megfelelő adatkezelés, a válaszadók 31 százaléka ugyanis aggódik amiatt, hogy a használt mobiltelefonon maradó adatai rossz kézbe kerülhetnek.