A hangosan, esetleg mérgesen elordított "GDPR" már önmagában is ijesztő, pontosan pedig azt jelenti: General Data Protection Regulation, vagyis Európai Adatvédelmi szabályzat. A szabályozás 2018. május 25-én élesedik - a tévhit szerint. Valójában már most is hatályos, csupán május végéig tart a türelmi időszak, ezt követően kötelező érvényű lesz. A szabályzat a magánemberek azonosítására alkalmas adatok kezelését írja elő, méghozzá nagyon szigorúan - aki ennek nem felel meg, akár 20 millió Euró büntetést is fizethet.
Cég vs. magánember
A GDPR cégekre vonatkozik, vagyis a cégeknél történő magánszemély-adatok tárolását írja elő. A szabályozástól annak érdemes nagyon megijednie, aki céget vezet és eddig egyáltalában nem törődött az adatbiztonsággal. Például jelszóvédelem nélkül, titkosítatlanul, nem elzárva tartotta a magánszemélynek minősülő ügyfelek adatait. Mielőtt azonban hátradőlnél, hogy neked ugyan nincsen céged, jobb, ha belegondolsz, ez hogyan is érint téged!
Vegyünk egy példát: szeretnénk valamit vásárolni egy cégnél, akár online, akár személyesen, amihez néhány adatunkat meg kell adni. Például a nevünket, címünket, esetleg banki adatokat vagy éppen születési dátumot, telefonszámot és még sorolhatnánk. A cég örül, hogy valamit eladott, de arra már nem vigyáz, hogy mi történik az adatainkkal és erre nem enged rálátást nekünk sem. Amennyiben a cég egy embere ezeket az adatokat jó- vagy akár rossz szándékból kimenti egy USB kulcsra és azt elhagyja, vagy feltölti egy online tárhelyre és elfelejti levédeni, titkosítani stb., a mi adataink rossz kezekbe kerülhetnek, ami nekünk okoz majd rengeteg gondot.
Adatvédelem, érted!
Az elmúlt években számtalan ilyen eset fordult elő, amikor elloptak hatalmas adatbázisokat felhasználói adatokkal megtöltve, de olyan is volt, hogy például egy banki alkalmazott jó szándékból egy USB kulcson hazavitte a kényes adatokat, hogy tovább dolgozzon, csak éppen valahol elhagyta azt a kulcsot. Nos, az EU mostantól az ilyen eseteket adatvesztési incidensként kezeli és nagyon keményen megbünteti az adott céget, plusz kötelezi arra, hogy teljes körű adatvédelmi rendszert építsen fel.
Újra fókuszban az USB
Azt gondolhatnánk, hogy manapság már minden adatot neten keresztül lopnak el - felhőből, betörve a célgépre, szerverre stb. A helyzet azonban az, hogy az USB kulcsok elhagyását, ellopását nem szabad figyelmen kívül hagyni, az elmúlt időszakban egyre több ilyen adatvesztési incidens történt. Az USB amekkora áldás, akkora veszélyforrás is, mert egy cégnél minden gépen van ilyen port, ide egyszerűen bedughatunk egy köröm-méretű tárolót, amire akár 64-128 GB adatot is átmásolhatunk gyorsan, egyszerűen. Ezt a miniatűr kütyüt pedig végtelenül egyszerű elhagyni, és ezzel máris kész az adatvesztés
Persze erre is van megoldás: ki kell önteni minden USB portot ragasztóval, el kell vágni a kábeleket és letiltani mindent a BIOS-ban. Ez azonban nem jó megoldás (billentyűzet, egér például), helyette a megfelelő monitorozás és korlátozás jöhet szóba. Egy másik megoldás - ami magánszemélyeknek is jó ötlet - a titkosított USB kulcs. Ilyenből többféle létezik, amelyek általában egy speciális szoftvert használnak az adatok biztonságos tárolásához. Itt jön be a képbe a belső, hardveres titkosítás is, illetve az olyan összeszerelés, amikor az adott tárolót nem lehet totális roncsolás nélkül szétszedni.
Van még egy ötletes megoldás az adatvédelemre, méghozzá a Kingston DataTraveler 2000, amely egy normál USB kulcshoz képest sokkal drágább, azonban kényelmes titkosítást kínál. A kulcson 0-9-ig vannak nyomógombok, odabent pedig egy apró elem és mikrochip. A kulcsot egy általunk megadott kóddal oldhatjuk fel hardveresen és amint kihúzzuk a gépből, automatikusan visszazár a titkosítás. Ráadásul a DT2000 fémből van, AES-256 titkosítást használ és megfelel a FIPS 197 előírásnak.
Jön a káosz!
A GDPR-nak csak egy kis része az adattárolók megfelelő kiválasztása és az itt alkalmazott adatvédelem, de ez egyben az egyik legfontosabb is. A megfelelő naplózásról, katalogizálásról és hozzáférhetőségről is gondoskodnia kell a cégeknek, mert például, ha mi, mint adatbirtokosok felkeresünk egy céget, amivel korábban kapcsolatban voltunk (például vásároltunk ott valamit), jogunk van kikérni az adatainkat és ha már nincsen rájuk szükség, megkövetelhetjük adataink teljes, visszaállíthatatlan törlését. Jogunk van továbbá ahhoz, hogy saját adatainkhoz hozzáférve azokat javíthassuk, vagy láthassuk, mely adatainkat dolgozták fel.
A GDPR még egy halom más szabályt is leír és betartat, ami sok-sok bonyodalmat fog okozni a cégeknek és IT-biztonsági szakembereknek egyaránt. Nekünk, végfelhasználóknak talán jobb adatbiztonságot hoz el, átláthatóbb adatkezelést na és még több kipipálandó check boxot egy-egy online regisztráció vagy vásárlás során.
Te véded valahogy adataidat, eszközeidet?
