Külföldön egyre több vállalat keveredik adatlopási botrányba. Tavaly ősszel derült ki, hogy az Uber szándékosan eltitkolta felhasználói elől, hogy 2016 októberében közel 57 millió felhasználó (köztük sofőrök és utasok) adatait veszítette el egy hekkertámadásban. A cég még fizetett is a támadóknak az adatok törléséért és a támadás titokban tartásáért. 2013-ban egymilliárd Yahoo-ügyfél adatai kerültek veszélybe, de történt már adatszivárgás például az Europol terrorizmusellenes csoportjánál is.
Az adathalász támadások növekedését a biztonsági szoftvereket fejlesztő orosz Kaspersky Lab felmérése is kutatta, több mint 246 millió alkalommal észleltek adathalász oldallátogatásokat, amelyek 53 százaléka pénzügyekkel kapcsolatos honlapokra próbálta átirányítani a felhasználókat.
A holland digitális biztonsági cég, a Gemalto adatbiztonsági bizalmi indexe hasonló trendeket mutat, eszerint is folyamatosan emelkedik az adatszivárgások száma (2016-ban 1,4 milliárd adat került illetéktelen kezekbe), mégis a cégek 69 százaléka véli, hogy az általa kezelt adatok biztonságban vannak. A vezetők 94 százaléka szerint elég a megfelelő tűzfalakra, antivírusprogramokra, behatolásészlelő és -megelőző rendszerekre költeni, pedig a hatékony adatvédelemhez ennél több kell, például a titkosítás vagy álnevesítés.
A vizsgált időszakban kiszivárgott adatok mindössze nyolc százaléka volt titkosítva, így a hekkereknek nem volt nehéz dolguk.
Ezen szeretne változtatni a május 25-én életbe lépő általános adatvédelmi rendelet (GDPR), amely minden korábbi szabályozásnál komolyabb adatbiztonsági szintet vár el a cégektől, és tágítja a magánszemélyek önrendelkezési jogát adataikkal kapcsolatban. Jelenleg az unió több országában jelen lévő cégeknek 28-féle adatvédelmi törvénynek kell megfelelniük, és ez nehézségeket okozhat, a GDPR nyomán azonban az unió teljes területén azonos szabályozás lesz érvényes.
A hatályos adatbiztonsági szabályokat betartó hazai cégek szerencsés helyzetben vannak, mivel a magyar infotörvény a legszigorúbbak közé tartozik az Európai Unióban, az adatvédelmi hatóság (NAIH) pedig az egyik legrigorózusabb hatóság, amely már eddig is alkalmazott számos, az új rendeletbe beépített ajánlást, amelyet az Európai Bizottság adatvédelmi munkacsoportja, az Article 29 Munkacsoport fogalmazott meg. Ugyanakkor épp a magyar cégek vannak leginkább lemaradva Kelet-Közép-Európában a GDPR-ra való felkészülésben.
A Microsoft tavalyi felmérése szerint a régióban a cégek 12 százaléka nem hallott a rendeletről, Magyarországon viszont 30 százalék, és a maradéknak nagy hányada nem tudja, hogyan lehet megfelelően felkészülni a változásokra.
A vállalkozások negyede informatikai beruházással oldaná meg a problémát. Érdekes különbség továbbá, hogy míg az európai vállalkozások 53 százaléka leginkább a kiberbűnözőktől tart, a magyarok 40 százaléka az alkalmazottak hozzá nem értésétől fél.
– Számos egészségügyi szolgáltató cég vagy például könyvelők és óvodák csak az informatikai alaprendszereket tudják használni. Egy külsős számítástechnikai cég egy hónapban egyszer ellenőrzi a gépparkot, de folyamatos kontroll nincs. Ezen is az adatvédelmi tudatosság növelésével lehetne segíteni – magyarázza Kulcsár Zoltán, a PPOS adatvédelmi szakértője.
A Microsoft felmérésével egybecseng a Sár és Társai Ügyvédi Iroda kutatása is, amely kimutatta, hogy minél kisebb ma Magyarországon egy cég, annál kevésbé tartja fontosnak a GDPR-ra való felkészülést. Míg a multinacionális és a komoly árbevétellel rendelkező hazai vállalkozások szerint a rendeletre való felkészülés komoly feladat, a válaszadók fele szerint elég legfeljebb egy-két hónap, közel egynegyed pedig csak két-három hetet akar szánni az új szabályoknak való megfelelésre.
– A legfontosabb változás, hogy a szigorú adatbiztonsági előírások nemcsak jogi szinten érvényesek, hanem informatikai biztonsági előírásokat is tartalmaz a rendelet – mondja Horváth Katalin, a Sár és Társa Ügyvédi Iroda partner ügyvédje.
– Eddig a magyar szabályozás 20 millió forintos felső bírságlimitet állapított meg, amely május 25-e után a kisebb súlyú jogsértés esetén 10 millió euróra vagy az előző év teljes éves világpiaci forgalmának két százalékára, a súlyos jogsértés esetén pedig 20 millió euróra és négy százalékra nő. Májustól minden cég, amely munkavállalókat vagy alvállalkozókat foglalkoztat, adatkezelőnek fog minősülni, így a HR-osztályoknak sokkal nagyobb felelősségük lesz. A hétköznapi ember számára a legszembetűnőbb változás az online marketinggel foglalkozó cégek esetében történik majd, mivel új hozzájárulási formulák, checkboxok, szabályzatok lépnek életbe, így módosul a felhasználói felület.
Egy hekkertámadás esetén az adatkezelő cégek felelőssége megállapíthatóvá válik, ha nem tettek meg mindent a támadások megelőzésére, tehát nem a legbiztonságosabb rendszerekkel dolgoznak. Kulcsár Zoltán szerint például vagyonvédelmi cégeknél előfordulhat, hogy az összes operátornak egy jelszava van, így, ha betörnek egy felügyelt lakásba, amelynek adatait épp egy órával az eset előtt kérte le egy, a tolvajokkal összejátszó operátor, nem lehet bizonyítani, mi történt. A GDPR nyomán azonban bár a személyes felelősségre vonás elmaradhat, a cég felelni fog, hogy nem tett meg mindent az adathozzáférés levédésére.
Horváth Katalin a rendelet pozitív hatásai nyomán új adatvédelmi tájékoztatókat remél, mivel ma a legtöbb kis cég az internetről vagy a hasonló vállalkozásoktól ollózza tájékoztatóit. Ezekben elvileg részletesen le kell írni a biztonsági intézkedéseket, hogy a cég milyen titkosítást használ, milyen csatornákon továbbítja az adatokat, milyen biztonsági szinteket alkalmaz szervereire és e-mailjeire, azonban előfordul, hogy „amit a felhasználó olvas, az köszönőviszonyban sincs a valósággal”. Így sérül az adatkezelés legfontosabb eleme, a bizalom.
A magánszemélyek a vállalatokkal szemben inkább utólag tudják érvényesíteni jogaikat, ám néhány alapbiztonsági lépést nekik is érdemes megtenniük. Figyelni kell, milyen honlapokon adjuk meg adatainkat (a http helyett https kezdetű URL a megfelelő), nem szabad megosztani azokat a közösségi médiában, csevegőprogramokban, igyekezni kell olyan szolgáltatásokat igénybe venni, amelyek honlapján független auditor minősítése szerepel, illetve használni a weboldalak sérülékenységét figyelő internetbiztonsági programokat. A kifejezett kémkedésnek köszönhető adatszivárgást persze nem lehet kivédeni.
– A nagyszámú adathalász, magyartalan leveleknek talán a címzettek egy ezreléke dől be. Sokkal több információt lehet célzott kutatással szerezni. Például amikor a csalók megtalálják iskolánk honlapján a gimnáziumi tablónkat, és osztálytársunk nevében regisztrálnak egy közösségi portálon, majd több embernek olyan ártatlan kérdéseket tesznek fel esetleg osztálytalálkozó szervezése címszóval, mint hogy mi volt a kedvenc állatunk, tanárunk stb. Ezek nyomán olyan információmennyiség állhat össze, amellyel akár egy banki azonosítást is meg lehet kerülni – mondja el Kulcsár Zoltán.
A szakértők minden problémával együtt azonban nem látják olyan sötéten a helyzetet. A pénzügyi szektor gyakorlatilag teljes biztonságot garantál, a nagy magyar és a multinacionális cégek is megfelelő adatvédelemmel rendelkeznek, a kisebb webshopok dolgoznak esetleg feltörhető rendszerekkel, de az adatvédelmi tudatosság növelésével várhatóan ez is csökkenni fog. Ahogy Kulcsár Zoltán fogalmaz, ma a cégek értéke egyre inkább az adatokban nyilvánul meg, így „nem az a lényeg, hogy milyen egy adott informatikai szolgáltatás, hanem hogy abba hányan regisztrálnak és róluk mit lehet felhasználni, ezért a fontos adatokat egyre inkább védeni fogják”.
Profilok
A GDPR általános jelleggel korlátozza a hozzájárulás nélküli profilalkotást. A közösségi médiumok rendszeresen profiloznak (tehát marketing- vagy egyéb okokból ügyfélprofilt készítenek), de a Facebook esetében például ez letiltható az adatkezelési beállításoknál. 2016 óta létezik a személyes adatok kereskedelmi célú transzatlanti cseréjét szabályozó Privacy Shield, amelybe belépő amerikai vállalatokat a GDPR-nak megfelelőnek kell tekinteni. A Facebook, a Google (és összes alvállalata), az Amazon már tag, de például az Apple még nem.
Így kérdés, az almás cég hogyan kezeli majd az új szabályozás kényes részét, miszerint, ha az adatkezeléshez való hozzájárulás – bármikor történt is a múltban –, illetve az adatkezelés módja nem felel meg a GDPR követelményeinek, akkor új hozzáférést kell kérni. Az e-mail-marketinges cégek ezért küldik egyre gyakrabban a megerősítést kérő leveleket, hogy továbbra is kezelhessék adatainkat. A nagy amerikai cégek esetében azonban még nem tudni, hogyan fog működni a hozzáférés új megkérése.