Az internet miatt lassan teljesen megszűnik a magánszféra

2019.05.27. 14:43

Pár éve hangzott el egy információbiztonsági konferencián, hogy lassan már nincs értelme a magánszféra kifejezésnek, mert egyszerűen nincs mit megvédeni, minden nyilvánosan elérhető az interneten – egyre gyakrabban sajnos valamilyen adatszivárgásnak vagy hekkelésnek köszönhetően.

Nemrég látott napvilágot a hír, miszerint egy 540 milliós, Facebook-felhasználói adatokkal teli adatbázis volt elérhető nyilvánosan egy tárhelyszolgáltató szerverein. Nem kellett sokat várni, pár nappal később ismét arról szóltak a hírek, hogy szintén ezen cég a felhasználók tudta nélkül begyűjtött pár millió kontakt adatot, most pedig kiderült, hogy a Facebook sok millió Instagram-felhasználó jelszavát tárolta nyílt szövegállományként. Ezek az incidensek sok-sok kérdést felvetnek. Ezeket a kérdéseket boncolgattuk egy kicsit Solymos Ákos,Quadron Kibervédelmi Kft. egyik szakértője segítségével.

Hol vannak a szakemberek?

Ez a kérdés az, ami az első pillanatban felmerül, hiszen egy akkora cég, mint a Facebook, olyan óriási forrásokkal rendelkezik, hogy a legjobb szakértőket is megengedhetné magának. Azért használunk itt feltételes módot, mert az utóbbi, adatlopásos esetében 

nem volt olyan biztonsági szakértő a teljes Facebooknál, aki azt mondta volna, hogy ez így nincs rendben. 

Másrészt elgondolkodtató, hogy mennyi adatot osztunk meg, töltünk fel vagy állítunk elő a közösségi létünkkel napi szinten – milliós számú adatrekordokról beszélünk! Harmadrészt pedig felmerül az adatkezelők felelőssége, akik nem gondoskodnak megfelelően az adatok védelméről, és nem győződnek meg arról, hogy a partnerük vagy alvállalkozójuk – nem beszélve önmagukról - mennyire biztonságosan kezeli az adatokat – és úgy általában, milyen biztonsági érettségi szinten van?

Nem védekezünk eléggé - de többnyire sajnos sehogy sem

Sajnos óriási a felhasználói tudatlanság az információvédelem terén: az emberek jelentős részének fogalma sincs, milyen eszköz vagy alkalmazás gyűjt róla vagy a családjáról adatokat, és hogy azok hol vannak, ki fér hozzájuk. Gigabájtos méretekben töltik fel az adataikat különböző szolgáltatókhoz, akik pedig valós kontroll nélkül engednek hozzáférést ezekhez, hiszen 

a felhasználók úgyis elfogadják a Felhasználási és Adatvédelmi feltételeket, kvázi tudnak erről – sőt, jóváhagyták. 

Ez persze nincs így - a felhasználó görget, nem olvas, kattint, csak legyen már túl ezeken a formaságokon. De arra, hogy a világ legnagyobb közösségi oldala nyílt szövegként tárolja a jelszavát, nem lehet felkészülni.

A fenti 540 millió rekordot érintő Facebook-ügy kapcsán azonban felmerül egy másik kérdés is – amit a GDPR is külön követelményként és szabályként fogalmaz meg - miszerint az adatkezelő felelős az adatfeldolgozónál történt személyes adatokat érintő incidensekért is! És itt bukkan fel az a kérdés, mennyire vannak tisztában az adatkezelők – legyenek azok cégek, állami szervek vagy egyéb szervezetek - azzal, hogy azon cégek, partnerek, akik nekik dolgoznak, akik hozzáférnek felhasználói adatokhoz, milyen biztonsági szinten vannak?

A jövő talán privát, de a jelen nem nagyonForrás: Facebook

Az elmúlt évek audit és kockázatelemzési tapasztalatai alapján nagyon nincsenek képben. Solymos Ákos véleménye szerint ma a cégek jelentős része a saját biztonsági helyzetével sincs tisztában, nemhogy a beszállító, alvállalkozó vagy partner biztonsági kockázataival. És ez óriási hazardírozás. Felelősséget vállalni egy szervezetért úgy, hogy semmit nem tudunk róluk. Megelégedni azzal, hogy a szerződésben vállaltak mindent, ma már nem elég.

Mi a megoldás?

Nagyon egyszerű. Információvédelmi követelményeket kell támasztani, és meg kell bizonyosodni arról, hogy ezek a követelmények megvalósulnak. Ennek a legegyszerűbb módja egy kérdőív összeállítása és kitöltetése az adatainkhoz hozzáférő alvállalkozóval, partnerrel. Már ez is egy nagyságrendi előrelépés a szerződésekben szereplő általános vállalások elfogadásához képest. Persze a papír sok mindent elbír. A másik véglet - ehhez kell a legtöbb erőforrás, de a legátfogóbb képet is ez adja – az a saját magunk által, vagy megbízott információbiztonsági szakértő cég által elvégzett teljes körű audit – vagy annak megkövetelése, hogy a partner vagy alvállalkozó rendelkezzen legalább egy ISO27001-es információbiztonság-irányítási rendszer szabványtanúsítással. Érdemes elgondolkodni azon, hogy egy audit kerül-e többe, vagy egy tízmilliós nagyságrendű adatvédelmi bírság.

Ha szeretne még több érdekes techhírt olvasni, akkor kövesse az Origo Techbázis Facebook-oldalát, kattintson ide!