A KIBERVÉDELEMRŐL
Shadow
Slider

A jog és az informatika találkozásánál két olyan terület helyezkedik el, amelyek évről évre nagyobb jelentőségnek örvendenek. Ezek az információbiztonság és az adatvédelem. Hasonlóknak tűnnek, hiszen az adat és az információ, mint fogalmak, első hallásra ugyanarról a tőről fakadnak. Ugyanakkor két olyan ágazatról beszélünk, amelyek lényegesen különböznek, szakmailag és tartalmilag egyaránt.

Míg az információbiztonság (vagy népszerűbb nevén kibervédelem) a hackertámadások megelőzésében, a támadások okozta károk elkerülésében, az IT eszközökben rejlő sérülékenységek feltárásában és a biztonságtudatos felhasználói magatartás ösztökélésében merül ki, addig az adatvédelem egy inkább jogi, mintsem informatikai terület: azzal hivatott foglalkozni, hogy az adatkezelők szabályozott módon kezelik-e a birtokukba kerülő személyes adatokat, elkerülve az esetleges adatszivárgásokat, illetve ezen műveletek megfelelnek-e a jogszabályoknak.

Az információbiztonsági és adatvédelemi szolgáltatások között nagyok sok az átfedés: az adatvédelmi követelmények jogilag letisztultak, ugyanakkor a megvalósítás nem csak az adatkezelők, de számos esetben az adatvédelmi hatóság előtt is függőben lévő kérdésnek minősül. Emiatt informatikai, kibervédelmi szakemberekre van szükség, akik utat mutatnak a követelmények teljesítéséhez. Az információbiztonság másrészről egy mélységesen gyakorlatias, elsősorban informatikai szakértelmet megkövetelő terület. Számos jogi lépés kell, hogy megelőzzön egy-egy vizsgálatot (pl. meghatalmazások, titoktartási nyilatkozatok aláírása, adatvédelmi rendelkezések rögzítése a szerződésben), illetve a teljesítést is folyamatosan dokumentálni kell, mely inkább a jogászi, mintsem az informatikai szakma sajátossága.
 
Mindkét terület vonatkozásában rövid időn belül a kötelező jogi és technikai követelmények szigorodása, ennélfogva a szolgáltatások felértékelődése várható mind Magyarországon, mind külföldön, köszönhetően az alábbi feltételeknek:
  • Az adatvédelem szempontjából az utóbbi harminc év technológiai változásaihoz való jogszabályi felzárkózást ratifikál a 2018. május 25. napján életbe lépő GDPR (Általános adatvédelmi rendelet) nevű uniós direktíva, mely Magyarországon a hatályos Infotv.-t módosítva teljesen átalakítja az adatkezelőkkel szemben támasztott követelményrendszert: sokkal szigorúbbak lesznek a feltételek, a hazai vállalkozásoknak, szervezeteknek tudatosabban kell eljárniuk a személyes adatok vonatkozásában, és amennyiben nem teszik meg a megfelelő intézkedéseket, és ez reparálhatatlan adatvédelmi incidenshez vezet, úgy az árbevételük 4%-ára vagy 20.000.000,- euróra bírságolhatók (a nagyobb tétel alkalmazandó).
  • Az információbiztonság tekintetében egyrészről a nyilvánvaló technológiai fejlődés, az egyre gyakoribb, globális hackertámadások, és az okoseszközök (Internet of Things) jelentőségének növekedése eredményez meghatározó változást a piacon. Másrészről minderre a közösségi jogalkotás is megfelelő módon reagált: a 2017. júniusi EU-csúcs egyik fő napirendi pontja a közös védelem, nevezetesen a PESCO (Permanent Structured Cooperation) nevű együttműködési program alapjainak mielőbbi meghatározása volt. A PESCO kidolgozására három hónapot szabtak meg, létrehozásának célja pedig részben Európa védelmének és biztonságának megerősítése volt napjaink geopolitikai környezetében. A 2018-ban implementálandó feltételek és kötelezettségek közös listájának várhatóan fő pillére lesz a tagállamok kiberbiztonsági együttműködése is, mely kihatással bír majd a hazai vállalati szférára.

Az információ-technológia rohamos fejlődésével a hacker-támadások színvonala is már szinte követhetetlen léptékkel változik. Nem véletlen, hogy néha úgy tűnik, az IT szféra az, ami igyekszik felzárkózni a “fekete kalapos” támadókhoz, és nem fordítva. Az utóbbi idők legnagyobb visszhangot kiválót incidensei a WannaCry és a Petya nevű zsarolóvírusok globális feltűnése volt, mely egyvalamire biztosan rávilágított: a kiberbűnözők közelebb vannak hozzánk, mint hinnénk, és ez alól a közszféra, sőt, a vállalati szektor és az egyedi felhasználók sem kivételek.

A tapasztalt etikus hackerek már jól tudják, milyen következményekre számíthat egy felhasználó, ha kibertámadás áldozatává válik: a károk helyreállításával járó költségek esetenként felfoghatatlan méreteket ölthetnek, nem beszélve adott esetben a személyes [vállalati] adataink elvesztésével, vagy illetéktelenek birtokába kerülésével járó károkról, amely ugyancsak túlmutat a pénzben kifejezhető értékcsökkenés fogalmán, és még ha sikerül is reparálni mindezt, ritkán fordul elő olyan, hogy a támadó csak úgy elengedje áldozatát. Eszközei végérvényesen egy zombihálózat [bot net] fertőzött tagjai közt ragadhatnak, melyeket az ismeretlen gazda belátása szerint használhat egyéb grandiózus támadások kivitelezése érdekében.

Ezek ma a legnagyobb kiberfenyegetettségek:

  • Zsarolóvírusok [Ransomware]
  • Okos eszközök [IoT] meghackelése
  • Adathalászat [Phishing]
  • Online bankolás ellen indított támadások
  • Adatszivárogtatás

Az egyre csak terebélyesedő online alvilág ellen viszont sokkal egyszerűbb és költséghatékonyabb a megelőző védekezés, szemben az utólagos helyrehozatallal, feltéve, ha előzékenyek vagyunk.

A kibervédelem kulcsszava tehát a megelőzés!

Társaságunk hatékony megoldásokat kínál a rendszerében rejlő sérülékenységek feltárására, valamint azok javítására, legyen szó a hálózatában, a webes alkalmazásaiban, sőt, akár saját cégének szervezetében rejlő sérülékenységekről. Szakmai szempontok szerint, a legnagyobb diszkréció mellett vizsgáljuk meg az Ön eszközeit, rendszer architektúráját, fizikai biztonságát és beosztottjainak felkészültségét is. Ahhoz, hogy a szervezet megelőzze a sikeresen végbe vitt támadásokat, a számos alapvető intézkedés közül talán az egyik legjelentősebb a sérülékenységvizsgálat lefolytatása. Ennek keretében a megbízott szakértők különböző irányból érkező hacker támadásokat szimulálnak egy izolált laborkörnyezetben, melyet követően egy vizsgálati jelentésben kerülnek bemutatásra azon észlelt sérülések, melyeket egy támadó akár ki is használhatna. A vizsgálatot lefolytató vállalkozás természetesen ajánlatot is tesz a feltárt sérülékenységek javítására. Ugyanilyen megelőző lépésnek tekinthető a social engineering (emberi tényező) tesztelése, ahol a beosztottak alapvető hozzáállásában, viselkedési normáiban rejlő kockázatok kerülnek kiszűrésre bizonyos gyakorlati módszerekkel (pl. telefonhívások, az épületbe történő illetéktelen belépés megkísérlése). Bizonyos szervek (állami és önkormányzati hivatalok, kormányhivatalok stb.) ex lege kötelesek információbiztonsági felelőst kijelölni vagy megbízni, valamint ezen személy közreműködésével informatikai biztonsági szabályzatot készíteni.

A kritikus infrastruktúrával rendelkező szervezetek számára ajánlott információbiztonsági irányítási rendszert (röviden: „IBIR”) kialakítani, mely nem csak a biztonságos működést garantálja: egyes beszerzési- vagy közbeszerzési eljárásokon való részvételhez az ajánlattevőknek adott esetben kötelező rendelkezniük bizonyos szabványok szerinti minősítéssel. Ilyen szabvány az ISO 27001:2014 is. A tanúsításra történő felkészülés rettentően időigényes, ezért a tanúsítás előtt egy felkészítő auditot célszerű lefolytatni, megelőzendő az elmarasztalással okozott károkat (pl. a szervezet hiábavaló kiérkezése miatt elpazarolt idő). Ez a feladat komoly szakmai jelenlétet igényel, mindez pedig jelentősen kiveszi az üzletmenetből a szervezet apparátusának azon tagjait, akiknek érdekében áll maga a tanúsítás (főként az ügyvezető említhető meg ebből a szempontból). A szervezetnek viszont lehetősége van külső felkészítő céget megbízni, ezáltal megbizonyosodhat arról, hogy az ISO 27001-ben megfogalmazott követelmények teljesülnek a szervezet információbiztonsági irányítási rendszerében.

A szervezetek adatvédelmi felelőssége, hasonlóan az információbiztonsághoz, a technika fejlődésével egyre csak növekszik, mely alapos szakértelmet igénylő intézkedéseket követel meg az adatkezelőktől. Ezen feladatokat tanácsosabb kiszervezni, mintsem a teljesítésükre az apparátuson belül kijelölni valakit. Az adatkezelő az adatkezelések jogszerűségének biztosítása érdekében belső szabályzatában köteles rögzíteni minden, adatbiztonsági szempontból releváns rendelkezést, ahogy az érintettek tájékoztatására irányuló kötelezettségét is megfelelő módon, megfelelő tartalommal kell teljesíteni. Mindennek alapjait a teljes adatvédelmi szabályozás kialakítása adja, mely számos adatkezelőnél egyre sürgetőbb szükség. A GDPR életbe lépésével adatkezelők igen tág köre köteles a személyes adatok kezelésére vonatkozó jogi előírások teljesítésének, az érintettek jogai érvényesülésének elősegítése érdekében adatvédelmi tisztviselőt alkalmazni, mely pozíciót egy kompetens személy megbízás alapján akár több adatkezelőnél is betölthet. A szóban forgó jogi előírások között szerepel a nyilvántartás és elektronikus napló vezetése, valamint a nem kezelhető adatok megsemmisítése is, melyek összetett, időigényes feladatok, és a teljesítésükkel együtt járó felelősség is adott esetben felesleges teher. Annak érdekében, hogy a vezető tisztább képet kapjon a szervezet adatkezeléseiről, adatvédelmi audit lefolytatására van lehetőség. Ennek keretében feltárásra kerülnek az adatvédelmi kockázatok és az adatkezelő javaslatokat kap a hiányosságok kiküszöbölésére

Minden jel arra mutat, hogy az információbiztonság és az adatvédelem pár éven belül a magán- és állami szféra számára meghatározó területek lesznek: az ezekhez fűződő kötelezettségek köre egyre csak bővül, a meglévő követelmények szigorodnak, az egyes jogszabályok tekintetében a jogalkotók pedig határozott kontrollt, és markáns számonkérést predesztinálnak a követelmények teljesítése érdekében.

Fogalmazhatunk úgy, hogy ugyanolyan egyértelmű kötelezettséget jelentenek majd, akár a könyvelés a vállalkozásoknak, vagy a közbeszerzés az állami, önkormányzati szervezetek számára.

Kérjen ajánlatot - Lépjen velünk kapcsolatba

Kapcsolat

dr. Schubert István

Adatvédelmi szakértő

Cím: 1239 Budapest, Szitás utca 123. 

Telefon: +36 30 317 2279 

Email: info@crackensys.hu

Web: www.crackensys.hu