Az internet miatt lassan teljesen megszűnik a magánszféra
Facebook's CEO Mark Zuckerberg smiles during his speech during the VivaTech (Viva Technology) trade fair in Paris, on May 24, 2018. (Photo by GERARD JULIEN / POOL / AFP)
Nézze meg a sporthíreket is
Iratkozzon fel hírlevelünkre Nézze meg a sporthíreket is
Csatlakozzon hozzánk közösségi oldalainkon is!
Pár éve hangzott el egy információbiztonsági konferencián, hogy lassan már nincs értelme a magánszféra kifejezésnek, mert egyszerűen nincs mit megvédeni, minden nyilvánosan elérhető az interneten – egyre gyakrabban sajnos valamilyen adatszivárgásnak vagy hekkelésnek köszönhetően.
Nemrég látott napvilágot a hír, miszerint egy 540 milliós, Facebook-felhasználói adatokkal teli adatbázis volt elérhető nyilvánosan egy tárhelyszolgáltató szerverein. Nem kellett sokat várni, pár nappal később ismét arról szóltak a hírek, hogy szintén ezen cég a felhasználók tudta nélkül begyűjtött pár millió kontakt adatot, most pedig kiderült, hogy a Facebook sok millió Instagram-felhasználó jelszavát tárolta nyílt szövegállományként. Ezek az incidensek sok-sok kérdést felvetnek. Ezeket a kérdéseket boncolgattuk egy kicsit Solymos Ákos, a Quadron Kibervédelmi Kft. egyik szakértője segítségével.
Hol vannak a szakemberek?
Ez a kérdés az, ami az első pillanatban felmerül, hiszen egy akkora cég, mint a Facebook, olyan óriási forrásokkal rendelkezik, hogy a legjobb szakértőket is megengedhetné magának. Azért használunk itt feltételes módot, mert az utóbbi, adatlopásos esetében
nem volt olyan biztonsági szakértő a teljes Facebooknál, aki azt mondta volna, hogy ez így nincs rendben.
Másrészt elgondolkodtató, hogy mennyi adatot osztunk meg, töltünk fel vagy állítunk elő a közösségi létünkkel napi szinten – milliós számú adatrekordokról beszélünk! Harmadrészt pedig felmerül az adatkezelők felelőssége, akik nem gondoskodnak megfelelően az adatok védelméről, és nem győződnek meg arról, hogy a partnerük vagy alvállalkozójuk – nem beszélve önmagukról - mennyire biztonságosan kezeli az adatokat – és úgy általában, milyen biztonsági érettségi szinten van?
Nem védekezünk eléggé - de többnyire sajnos sehogy sem
Sajnos óriási a felhasználói tudatlanság az információvédelem terén: az emberek jelentős részének fogalma sincs, milyen eszköz vagy alkalmazás gyűjt róla vagy a családjáról adatokat, és hogy azok hol vannak, ki fér hozzájuk. Gigabájtos méretekben töltik fel az adataikat különböző szolgáltatókhoz, akik pedig valós kontroll nélkül engednek hozzáférést ezekhez, hiszen
a felhasználók úgyis elfogadják a Felhasználási és Adatvédelmi feltételeket, kvázi tudnak erről – sőt, jóváhagyták.
Ez persze nincs így - a felhasználó görget, nem olvas, kattint, csak legyen már túl ezeken a formaságokon. De arra, hogy a világ legnagyobb közösségi oldala nyílt szövegként tárolja a jelszavát, nem lehet felkészülni.
A fenti 540 millió rekordot érintő Facebook-ügy kapcsán azonban felmerül egy másik kérdés is – amit a GDPR is külön követelményként és szabályként fogalmaz meg - miszerint az adatkezelő felelős az adatfeldolgozónál történt személyes adatokat érintő incidensekért is! És itt bukkan fel az a kérdés, mennyire vannak tisztában az adatkezelők – legyenek azok cégek, állami szervek vagy egyéb szervezetek - azzal, hogy azon cégek, partnerek, akik nekik dolgoznak, akik hozzáférnek felhasználói adatokhoz, milyen biztonsági szinten vannak?
Az elmúlt évek audit és kockázatelemzési tapasztalatai alapján nagyon nincsenek képben. Solymos Ákos véleménye szerint ma a cégek jelentős része a saját biztonsági helyzetével sincs tisztában, nemhogy a beszállító, alvállalkozó vagy partner biztonsági kockázataival. És ez óriási hazardírozás. Felelősséget vállalni egy szervezetért úgy, hogy semmit nem tudunk róluk. Megelégedni azzal, hogy a szerződésben vállaltak mindent, ma már nem elég.
Mi a megoldás?
Nagyon egyszerű. Információvédelmi követelményeket kell támasztani, és meg kell bizonyosodni arról, hogy ezek a követelmények megvalósulnak. Ennek a legegyszerűbb módja egy kérdőív összeállítása és kitöltetése az adatainkhoz hozzáférő alvállalkozóval, partnerrel. Már ez is egy nagyságrendi előrelépés a szerződésekben szereplő általános vállalások elfogadásához képest. Persze a papír sok mindent elbír. A másik véglet - ehhez kell a legtöbb erőforrás, de a legátfogóbb képet is ez adja – az a saját magunk által, vagy megbízott információbiztonsági szakértő cég által elvégzett teljes körű audit – vagy annak megkövetelése, hogy a partner vagy alvállalkozó rendelkezzen legalább egy ISO27001-es információbiztonság-irányítási rendszer szabványtanúsítással. Érdemes elgondolkodni azon, hogy egy audit kerül-e többe, vagy egy tízmilliós nagyságrendű adatvédelmi bírság.
Ha szeretne még több érdekes techhírt olvasni, akkor kövesse az Origo Techbázis Facebook-oldalát, kattintson ide!
origo.hu
Figyelmeztetést adtak ki az autósoknak: sokba kerülhet, ha ezt elmulasztják
magyarnemzet.hu
Készletkisöprést hirdetett az IKEA, megőrültek a vásárlók
borsonline.hu
„Mégsem vagyunk megfelelő partnerek...” – drámai döntés született a Házasság első látásra műsorában
vg.hu
Nem tetszenek Brüsszelnek a magyar autópályák: eljárás indul, de a kormány sem hagyja annyiban
ripost.hu
Nem kérnek többet Manuelből: kiverte a biztosítékot a koncertje után a botrányos sztár
magyarnemzet.hu
Rossi remek állásajánlatott kapott – ezért mondott nemet
borsonline.hu
Nagy lehet a baj: komoly döntést hozott a királyi család Katalin hercegné állapota miatt
mindmegette.hu
Bezárja az összes önkiszolgáló kasszáját, visszahozza a hagyományos pénztárakat ez a bolt
jegkorongjatek.origo.hu
Játssz és nyerj páros belépőt a Magyarország-Kanada jégkorongmeccsre (hirdetés)
origo.hu
Hazakerülhet Suhajda Szilárd holtteste a Mount Everestről
origo.hu
Az aljas zenediktátor évekig kínozta, az élete tönkrement, borzalmas kínok közt halt meg - a csodálatos Cserháti Zsuzsa szenvedései
origo.hu
