információbiztonság

Informatikai eszközök, laptopok selejtezése előtt 7 kérdés, amit minden IT-vezetőnek fel kell tennie

ápr 1, 2026 | Adatbiztonsági cikkek, hírek

IT eszköz selejtezés előtti vezetői checklist áttekintése modern vállalati környezetben

Informatikai eszközök, laptopok selejtezése előtt 7 kérdés, amit minden IT-vezetőnek fel kell tennie

Az IT-eszközök selejtezése a magyar kis-, közép- és nagyvállalatoknál egyszerre adatvédelmi, információbiztonsági és irányítási kérdés. A GDPR elszámoltathatósági, korlátozott tárolhatósági és biztonsági elvei alapján nem elég törölni az adatokat: a szervezetnek azt is igazolnia kell, hogy a kivezetés folyamata kontrollált, dokumentált és a kockázattal arányos volt. A téma a datad.hu szakmai fókuszához azért kapcsolódik szorosan, mert a gyakorlatban a tanúsított adattörlés és a bizonyítható átadási lánc csökkenti leginkább a selejtezésből eredő vezetői kitettséget.

Legfontosabb megállapítások:

  • Az eszközselejtezés nem raktári feladat, hanem adat- és kockázatkezelési döntés.
  • A tényleges törlés önmagában kevés, ha a szervezet nem tudja hitelesen igazolni, hogy mikor, min és milyen eljárással történt meg.
  • A jó selejtezési folyamat végpontja nem egy kipipált adminisztratív lépés, hanem a dokumentált, auditálható és felelősségileg lezárt adattörlés.

Az IT-ben a selejtezés sok szervezetnél még mindig az életciklus legkevésbé stratégiai része. Új eszköz beszerzésére van folyamat, üzembe állításra van folyamat, jogosultságkezelésre is többnyire van folyamat. Amikor viszont egy notebook, szerver, SSD vagy mobiltelefon eléri a kivezetés pontját, a szervezet hajlamos ezt egyszerű logisztikai feladatként kezelni.

Ez hiba.

A leselejtezett eszköz ugyanis nem attól válik alacsony kockázatúvá, hogy már nem használják. Sokszor éppen ekkor a legnagyobb a kitettség: gazdátlanná válik a felelősség, fellazul az átadási lánc, és a döntéshozó utólag már csak azt látja, hogy egy hordozó eltűnt, egy adattartalom visszaállítható volt, vagy egy audit során nincs meg a bizonyíték arra, hogy a törlés valóban megtörtént.

A GDPR 5. cikke a korlátozott tárolhatóságot és az integritás-bizalmasság elvét is rögzíti, míg a 32. cikk megfelelő technikai és szervezési intézkedéseket vár el a kockázattal arányos védelemhez. A gyakorlatban ez azt jelenti: a selejtezés nem lehet vakfolt.

Az alábbi hét kérdés jó vezetői minimum. Nem technikai mélyfúrás, hanem olyan checklist, amely segít eldönteni, hogy a szervezet valóban lezár egy kockázatot, vagy csak arrébb tolja.

1. Pontosan tudjuk, milyen eszközöket vezetünk ki, és ki a felelős értük?

A selejtezési hibák jelentős része nem a törlési módszernél kezdődik, hanem sokkal korábban: az eszköznyilvántartás és a felelősségi lánc hiányánál. Ha nincs egyértelműen megmondva, hogy melyik eszköz melyik üzleti területhez, felhasználóhoz, telephelyhez vagy rendszerhez tartozik, akkor a kivezetés sem lesz kontrollált.

Az ICO eszközkezelési útmutatója külön is kiemeli az eszközök azonosítását, osztályozását, tulajdonosi kijelölését és a biztonságos megsemmisítés bizonyítékainak megőrzését. Ez nem brit sajátosság, hanem józan irányítási minimum.

Vezetői szempontból az első kérdés ezért nem az, hogy „hogyan törlünk”, hanem az, hogy van-e pontos listánk arról, mit vezetünk ki, és ki írja alá, hogy az adott eszköz valóban lezárható.

Mire figyeljen az IT-vezető?

  • szerepel-e az eszköz az aktuális nyilvántartásban;
  • ismert-e a tulajdonos, felhasználó vagy rendszergazda oldali felelős;
  • megvan-e az üzleti jóváhagyás a kivezetésre;
  • azonosítható-e az eszköz típusa, sorozatszáma, adattárolója és állapota.

Ha már ezen a ponton hiányos a kép, a selejtezés később sem lesz bizonyítható.

2. Tudjuk, milyen adat lehet még az adott eszközön?

Nem minden eszköz jelent azonos kockázatot. Egy vékonykliens, egy irodai monitor és egy vezetői notebook selejtezése nem ugyanaz a kategória. Ugyanígy más megítélés alá esik egy olyan mobiltelefon, amely többfaktoros hitelesítésre is használt alkalmazásokat futtatott, mint egy olyan laptop, amelyben helyi gyorsítótárak, e-mail-adatok, böngésző-tokenek vagy offline exportok maradhattak.

Az eszközkivezetés előtt tehát nem pusztán eszközt kell látni, hanem adathordozót és lehetséges adattartalmat. Ez különösen fontos a magyar KKV-knál, ahol az informatikai környezet sokszor hibrid: részben felhős, részben helyi, részben felhasználói szokásokra épülő működéssel. Ilyenkor könnyű azt feltételezni, hogy „úgyis minden a felhőben van”, miközben az eszközön továbbra is maradhatnak helyi másolatok, exportok vagy szinkronizált állományok.

A NIST SP 800-88 Rev. 2 abból indul ki, hogy az adathordozó törlési vagy megsemmisítési döntését a bizalmassági szinthez és a kockázathoz kell igazítani. Ez vezetői nyelvre lefordítva annyit jelent: nem minden eszközt ugyanazzal a rutinlépéssel szabad kezelni.

Mire figyeljen az IT-vezető?

  • milyen típusú adatok lehetnek az eszközön;
  • volt-e rajta személyes adat, ügyféladat, pénzügyi adat vagy belső bizalmas tartalom;
  • maradhattak-e lokális mentések, ideiglenes fájlok, gyorsítótárak, kulcsok vagy naplók;
  • az eszköz belső tárhelye mellett van-e másodlagos adathordozó is.

A rossz selejtezési döntések gyakran abból születnek, hogy a szervezet csak az eszköz értékét nézi, nem az adat értékét.

3. Biztosan a megfelelő törlési vagy megsemmisítési módszert választjuk?

A selejtezés egyik legveszélyesebb tévhite, hogy az adattörlés egységes művelet. Nem az.

Más kockázati profil tartozik a szoftveres törléshez, más a kriptográfiai törléshez, más a fizikai megsemmisítéshez. Az is számít, hogy HDD-ről, SSD-ről, mobil eszközről, szervermeghajtóról vagy hibás adathordozóról van szó. A NIST iránymutatása kifejezetten azért fontos, mert nem egyetlen „varázsmódszert” ajánl, hanem a hordozó típusa és a kockázat alapján választ módszert.

Vezetői szempontból itt nem az a kérdés, hogy az IT-csapat ismer-e törlőszoftvert. Az a kérdés, hogy a kiválasztott eljárás arányos-e azzal a kockázattal, amelyet az adott adathordozó jelent.

Tipikus vezetői hibák

  • az SSD-ket ugyanazzal a logikával kezelik, mint a hagyományos merevlemezeket;
  • a hibás vagy nem bootoló eszközökre nincs külön forgatókönyv;
  • a visszaértékesíthető és a fizikailag megsemmisítendő eszközök nincsenek szétválasztva;
  • a döntés kizárólag költségalapon születik, nem kockázatalapon.

A selejtezés itt válik valódi vezetői kérdéssé: a túl gyenge eljárás kitettséget termel, a túlzó eljárás pedig felesleges költséget.

dokumentált IT eszköz selejtezési és adattörlési folyamat vállalati környezetben
Dokumentált, kontrollált selejtezési folyamat: az adatbiztonság ott kezdődik, ahol az operatív működés véget ér.

4. Bizonyítani is tudjuk majd, hogy a törlés megtörtént?

Ez az a pont, ahol a legtöbb szervezetnél elválik egymástól a „remélhetően megtörtént” és a „bizonyíthatóan megtörtént” kategória.

A GDPR nem csupán megfelelést, hanem elszámoltathatóságot is elvár. A rendelet szerint az adatkezelőnek képesnek kell lennie igazolni a megfelelést. Ez selejtezésnél azt jelenti, hogy nem elég egy belső állítás vagy szóbeli megerősítés. Kell valamilyen nyom, napló, azonosító, jegyzőkönyv, jóváhagyás vagy tanúsítvány, amelyből visszakereshető, hogy melyik eszközzel mi történt.

Az ICO selejtezési és törlési útmutatója egyértelműen arra mutat rá, hogy az elektronikus és fizikai nyilvántartásokat úgy kell megsemmisíteni, hogy az adatok ne legyenek helyreállíthatók, és a szervezetnek checklist-, illetve retentionlogikával kell tudnia követni a lezárást.

Mit érdemes minimumként keresni?

  • eszközazonosítóhoz kötött törlési nyom;
  • időbélyegzett végrehajtás;
  • kezelő vagy szolgáltató azonosíthatósága;
  • vezetői vagy folyamatgazdai jóváhagyás;
  • visszakereshető dokumentum a lezárásról.

Ahol ez nincs meg, ott az adattörlés jogi és auditértelemben gyakran nem lezárt, csak feltételezett.

5. Kontroll alatt van az átadási lánc a kivonástól a végső lezárásig?

Sok adatvédelmi és biztonsági incidens nem a törlés technikai pillanatában történik, hanem az előtte lévő átmeneti zónában. Az eszköz kikerül a felhasználótól, bekerül egy dobozba, átmegy egy raktárba, vár a bevizsgálásra, majd hetekkel később kerül sor a tényleges adattörlésre vagy megsemmisítésre.

Ez az időszak sok cégnél adminisztratív szürkezóna. Pedig itt dől el, hogy az eszköz valóban kontrollált státuszban van-e. Az ICO útmutatása erre is kitér: a megsemmisítésre váró hardvereket korlátozott hozzáférésű, zárt területen kell tárolni, a folyamatot dokumentálni kell, és harmadik fél esetén due diligence vagy audit is indokolt lehet.

A vezetői checklist itt így hangzik

  • ki veszi át az eszközt a felhasználótól;
  • hol tárolják a törlésig vagy megsemmisítésig;
  • ki férhet hozzá közben;
  • van-e tételes átadás-átvételi nyom;
  • harmadik fél bevonásánál tisztázott-e a felelősség és az ellenőrizhetőség.

A gyenge átadási lánc azért veszélyes, mert ilyenkor hiába jó a végső törlési eljárás, a szervezet közben elveszítheti az eszköz feletti bizonyítható kontrollt.

6. Külön kezeljük a kivételeket és a problémás eseteket?

A selejtezési folyamatok sokszor a „normál” eszközökre vannak optimalizálva. A valós kockázat viszont általában a kivételekben rejtőzik.

Ilyen kivétel például:

  • a sérült vagy nem olvasható meghajtó;
  • a titkosított, de nem dokumentált állapotú eszköz;
  • a hiányos azonosítóval visszaérkező notebook;
  • a nem szabványos adattárolót tartalmazó ipari vagy speciális berendezés;
  • a vezetői vagy érzékeny üzleti környezetből származó eszköz.

A jó folyamat itt nem gyorsítani akar, hanem megállni egy pillanatra. A vezetői kérdés az, hogy van-e külön döntési út a kivételekre, vagy minden ugyanabba a dobozba kerül.

Ha nincs kivételkezelés, akkor a szervezet valójában nem kockázatot menedzsel, hanem átlagot. Az átlag viszont nem védi meg attól az egyetlen esettől, amelyből incidens, vizsgálat vagy reputációs probléma lesz.

7. A selejtezés végén valóban lezárjuk a kockázatot, vagy csak túl vagyunk rajta?

Ez a legfontosabb vezetői kérdés, mert ez különbözteti meg az adminisztratív kipipálást a valódi kontrolltól.

Egy jó selejtezési folyamat végén a szervezet nemcsak azt tudja, hogy az eszköz már nincs használatban, hanem azt is, hogy:

  • az adattartalom kockázata lezárult;
  • a módszer arányos volt a kockázattal;
  • az átadási lánc dokumentált volt;
  • a végrehajtás visszakereshető;
  • az ellenőrzéshez szükséges bizonyíték rendelkezésre áll.

Itt válik érthetővé, miért jut el sok érett szervezet a tanúsított adattörlésig. Nem azért, mert ez „szebben hangzik”, hanem azért, mert a vezetői elvárás ma már nem pusztán a törlés ténye, hanem annak igazolhatósága. A GDPR 32. cikke szerint a biztonsági intézkedéseknek a kockázathoz kell igazodniuk, és a jóváhagyott tanúsítási mechanizmusok a megfelelés egyik bizonyítási elemeként is szolgálhatnak. Ezt a logikát erősíti az auditálható eszközkezelés és adattörlés gyakorlata is.

Mire jó ez a 7 kérdés a gyakorlatban?

Ez a checklist nem arra való, hogy az IT-vezető technikai műveleteket végezzen. Arra való, hogy gyorsan megítélje, mennyire érett a szervezet selejtezési folyamata.

Ha a hét kérdésből többnél bizonytalan a válasz, az jellemzően három problémát jelez:

  1. nincs teljes kontroll az eszközéletciklus végpontján;
  2. az adattörlés nincs összekötve az igazolhatósággal;
  3. a selejtezés operatív rutinként fut, miközben valójában compliance- és reputációs kockázatot hordoz.

A magyar kis- és középvállalatoknál ez gyakran kapacitásprobléma, a nagyvállalatoknál pedig koordinációs probléma. Az ok különbözhet, a kitettség logikája viszont ugyanaz: amikor az eszköz kikerül a napi használatból, attól az adat még nem kerül ki automatikusan a szervezeti kockázati térből.

Rövid vezetői összegzés

Selejtezés előtt nem azt kell elsőként megkérdezni, hogy „hova tesszük a régi gépeket”, hanem azt, hogy a szervezet hogyan bizonyítja a kockázat lezárását. Aki ezt a kérdést időben felteszi, az nemcsak adatvesztést vagy auditvitát előz meg, hanem irányítási fegyelmet is épít.

A tanúsított adattörlés felé vezető út valójában nem technológiai divat, hanem vezetői következetesség: annak belátása, hogy a selejtezés akkor zárul le, amikor a törlés nemcsak megtörtént, hanem hitelesen igazolható is.

Gyakori kérdések

Miért nem elég egyszerűen gyári visszaállítást végezni a leselejtezett eszközön?

A gyári visszaállítás sok esetben nem ad elégséges bizonyosságot arra, hogy az adatok ne legyenek helyreállíthatók. Vezetői szempontból különösen az a kérdés, hogy a módszer arányos-e az adott eszköz és adattartalom kockázatával.

Mely eszközök jelentenek a legnagyobb kockázatot selejtezéskor?

Jellemzően azok, amelyek helyi tárolón személyes, pénzügyi vagy üzletileg érzékeny adatot hordozhattak, illetve amelyeknél a hozzáférési tokenek, gyorsítótárak vagy mentések is megmaradhattak. A mobil eszközök, notebookok, szervermeghajtók és SSD-k ezért kiemelt figyelmet igényelnek.

Miért fontos a dokumentált átadási lánc?

Mert a kockázat nemcsak a törlés pillanatában, hanem az azt megelőző tárolás, szállítás és átadás során is fennáll. Ha nincs visszakereshető lánc, a szervezet nehezebben tudja igazolni, hogy végig kontroll alatt tartotta az eszközt.

Mikor indokolt a tanúsított adattörlés?

Akkor, amikor az eszközön kezelt adatok érzékenysége, az auditelvárás vagy a szervezeti kitettség miatt már nem elég egy informális belső igazolás. Ilyenkor a bizonyíthatóság legalább olyan fontos, mint maga a törlési művelet.

Kisvállalatoknál is szükség van formális selejtezési folyamatra?

Igen, csak az arányosság más lehet. A kisebb szervezeteknél is szükség van egyértelmű nyilvántartásra, felelősre, döntési logikára és igazolható lezárásra, még ha a folyamat egyszerűbb is, mint egy nagyvállalatnál.

A kibertámadások típusai, példák és megelőzési módszerek

szept 30, 2024 | Adatbiztonsági cikkek, hírek

A kibertámadások típusai, példák és megelőzési módszerek

A kibertámadások típusai, példák és megelőzési módszerek

A kibertámadások egyre növekvő fenyegetést jelentenek a digitális korban, ahol az online tevékenységek és az adatok növekvő mértékű digitalizációja miatt minden szervezet potenciális célponttá válik. A támadók kifinomult módszereket alkalmaznak a védelmi rendszerek kijátszására, az adatok ellopására vagy a rendszerek megbénítására. Ebben a környezetben elengedhetetlen, hogy a szervezetek és egyének proaktívan védekezzenek a kibertámadások ellen, alkalmazva a legújabb biztonsági technológiákat és módszereket.

A kibertámadások különböző formái és azok hatásai

Kártevők (Malware): A kártevők, beleértve a vírusokat, trójaiakat, férgeket, kém- és reklámprogramokat, az egyik leggyakoribb támadási forma. Ezek a programok kárt tehetnek a számítógépekben, adatlopást hajthatnak végre, és akár az egész hálózatot képesek leállítani.

  1. Elosztott szolgáltatásmegtagadásos támadás (DDoS): Ezek a támadások a szervereket és hálózatokat célozzák meg, túlterhelésükkel megakadályozva azok normál működését, ami súlyos zavarokat okozhat a vállalati műveletekben.
  2. Adathalászat (Phishing): Az adathalászat az egyik leggyakoribb módszer, amellyel a hackerek hitelesnek tűnő üzenetekkel próbálnak hozzáférni jelszavakhoz, banki adatokhoz, és egyéb érzékeny információkhoz.
  3. SQL-injektálás: Ez a támadási forma az adatbázisok sebezhetőségeit használja ki, amivel a támadók hozzáférhetnek védett adatokhoz, ellopják vagy módosítják azokat.
  4. Cross-Site Scripting (XSS): Az XSS támadások a weboldalak biztonsági réseit használják ki, ahol a támadók rosszindulatú szkripteket futtatnak a felhasználók böngészőiben.
  5. Botnetek: Ezek a robotokból álló hálózatok képesek spamet küldeni, további kártevőket terjeszteni, vagy DDoS támadásokat végrehajtani.
  6. Zsarolóvírusok (Ransomware): Ezek a vírusok az áldozat fájljait zárolják és váltságdíjat követelnek az adatok visszaállításáért.

A kibertámadások megelőzésének módszerei

A kibertámadások megelőzésének alapja a biztonsági protokollok szigorú betartása, a rendszerek folyamatos frissítése és a biztonsági mentések rendszeres elkészítése. Emellett a többtényezős hitelesítés bevezetése, a biztonsági bővítmények használata, és a megbízható tárhelyszolgáltatók kiválasztása mind hozzájárulhatnak a biztonság növeléséhez.

A szervezeteknek és egyéneknek ébernek kell lenniük az új kiberfenyegetésekkel szemben, és proaktívan kell fellépniük a kibertámadások elkerülése érdekében. Ez magában foglalja a dolgozók oktatását a kiberbiztonsági legjobb gyakorlatokról, a biztonsági eszközök naprakész tartását, és a hálózati forgalom folyamatos monitorozását.

Összegzés

A kibertámadások elleni védekezés egy folyamatos folyamat, amely magában foglalja a technológia, az oktatás és a megfelelő biztonsági protokollok együttes alkalmazását. A kiberbiztonsági stratégiák fejlesztése és a biztonsági intézkedések szigorú végrehajtása elengedhetetlen a digitális korban, hogy megvédjük az értékes adatokat és fenntartsuk a bizalmat az online környezetben.

440 GB adatot loptak el egy kiberbiztonsági cégtől

szept 16, 2024 | Adatbiztonsági cikkek, hírek

440 GB adatot loptak el egy kiberbiztonsági cégtől

440 GB adatot loptak el egy kiberbiztonsági cégtől

Adatbiztonsági incidens Fortinet vállalatnál

A Fortinet, a kiberbiztonsági óriás, megerősítette, hogy adatbiztonsági incidens érte őket, miután egy fenyegető személy állította, hogy 440GB fájlt lopott el a cég Microsoft Sharepoint szerveréről.

Fortinet a világ egyik legnagyobb kiberbiztonsági vállalata, biztonságos hálózati termékeket, mint tűzfalak, routerek és VPN eszközök forgalmazása mellett, SIEM, hálózatmenedzsment és EDR/XDR megoldásokat, valamint tanácsadási szolgáltatásokat is kínál.

 

 

 

 

Korai reggel egy fenyegető személy egy hacker fórumon közzétette, hogy 440GB adatot lopott el a Fortinet Azure Sharepoint példányából. A fenyegető személy azt is állította, hogy megosztott hitelesítési adatokat egy állítólagos S3 tárolóhoz, ahol az ellopott adatok tárolva vannak, más fenyegető személyek számára elérhetővé téve azok letöltését.

A BleepingComputer nem fér hozzá a tárolóhelyhez, így nem erősítheti meg, hogy az tényleg tartalmazza-e a Fortinet ellopott fájljait.

A fenyegető személy, akit „Fortibitch” néven ismernek, állítja, hogy megpróbálta zsarolni a Fortinetet egy váltságdíj fizetésére, valószínűleg az adatok közzétételének megakadályozása érdekében, de a cég nem volt hajlandó fizetni.

A Fortinet válaszul megerősítette, hogy ügyféladatokat loptak el egy „harmadik fél által kezelt felhő alapú megosztott fájlmeghajtóról”.

„Egy személy jogosulatlanul hozzáférhetett korlátozott számú fájlhoz, amelyek a Fortinet egy harmadik fél által kezelt felhő alapú megosztott fájlmeghajtójának egy példányán voltak tárolva, ezek korlátozott adatokat tartalmaztak egy kis számú Fortinet ügyfélről,” – mondta a cég a BleepingComputer-nek.

Korábban ma a Fortinet nem tette közzé, hogy hány ügyfelet érintett az incidens, vagy milyen típusú adatok kerültek kompromittálásra, de jelezték, hogy „megfelelő módon közvetlenül kommunikáltak az ügyfelekkel”.

Egy későbbi frissítés, amelyet a Fortinet weboldalán osztottak meg, azt mondja, hogy az incidens kevesebb mint 0,3%-át érintette az ügyféladatoknak, és hogy ez nem eredményezett semmilyen rosszindulatú tevékenységet az ügyfelekkel szemben.

A kiberbiztonsági cég továbbá megerősítette, hogy az incidens nem járt adatok titkosításával, zsarolóvírussal vagy a Fortinet vállalati hálózatának hozzáférésével.

A BleepingComputer további kérdésekkel kereste meg a Fortinetet a biztonsági incidenssel kapcsolatban, de jelenleg még nem kapott választ.

2023 májusában egy fenyegető személy állította, hogy feltörte a Panopta GitHub tárházait, amelyet a Fortinet 2020-ban vásárolt meg, és kiszivárogtatott adatokat egy orosz nyelvű hacker fórumon.

Forrás: