Hogyan kerüljük el a csőlátást a GDPR kapcsán?

2018. május 25-én lép életbe az európai általános adatvédelmi rendelet (Global Data Privacy Regulation, GDPR). Ha valaki még nem hallott volna róla: a GDPR minden olyan vállalatra vonatkozik majd, amely uniós állampolgárok adatait dolgozza fel. Egyetemesen alkalmazandó előírás, amelynek végrehajtása nem igényel nemzeti szintű jogalkotást.

Az IDC Biztonsági Konferenciáin már egy ideje témaként szerepel a GDPR, így szakértői előadásokkal, és más módon is segít felkészülni a nemzetközi infó-kommunikációs tanácsadó cég az érintett szervezeteknek a törvényi változásra. A jogi tanácsadástól kezdve a hatástanulmányok készítéséig, számos területen partnerek bevonásával dolgoznak ügyfeleik szervezeti és technikai képességeinek megteremtésén és továbbfejlesztésén annak érdekében, hogy folyamataik a lehető legpragmatikusabb és költséghatékonyabb módon igazodjanak a GDPR követelményeihez. A hosszú és bonyolult jogszabályt tanulmányozva nagy a kockázata annak, hogy az emberben csőlátás alakul ki, és csak arra összpontosít, hogy a megfelelés hiánya az árbevétel 4%-ának megfelelő, súlyos büntetést von maga után. Ha ez történik, a vállalat egyre közelebb sodródik a végeláthatatlan biztonsági beruházások „fekete lyukához”. Az alábbi, pontokba szedett felsorolással az a célunk, hogy visszaállítsuk a szervezetek periférikus látását, amely – különösen a nagyobb vállalati környezetekben – gyakran sérül.

1. pont: Elsősorban a személyazonosság- és hozzáféréskezelésre (Identity and Access Management, IAM) kell összpontosítani.

Nyilvánvaló, hogy a GDPR elsősorban az adatokról szól, hiszen fő célja a személyes adatok védelme. Az adatvédelmi technológiák megfelelő működéséhez azonban személyazonossági adatokra van szükség. Mi több, a személyazonosságokat, szerepköröket és hozzáférési modelleket a cég kontextusához és az adatok feldolgozásának módjához kell igazítani, hiszen csak így lehet kielégíteni a GDPR „megfelelő” szintű adatvédelemre vonatkozó előírását. A „megfelelő” ebben az esetben nemcsak a konkrét adatvédelmi technológia telepítését jelenti, hanem azt is, hogy ez a technológia más technológiákkal együttműködve elfogadható szintű adatvédelmet biztosít. Még nem tudjuk, pontosan hogyan fogják értelmezni a GDPR egyes paragrafusait és rendelkezéseit a rendelet érvénybe lépése után, de láttunk olyan eseteket, amikor egyes vállalatok bizonytalan feltételezések alapján vásároltak olyan szoftvertermékeket, amelyek valószínűleg nem fogják kielégíteni a GDPR „beépített adatvédelem” (privacy by design) iránti követelményeit. E feltételezések egyike a működőképes és elégséges személyazonosság- és hozzáféréskezelés (IAM) értelmezéséhez kapcsolódik.

Ajánlás: Ellenőrizni kell a következőket:

1.) a GDRS szempontjából releváns adatokat feldolgozó alkalmazások kiforrott hozzáférés-szabályozási modellel rendelkeznek-e;

2.) rendszeresen felülvizsgálják-e a hozzáférés-szabályozás rendszerét;

3.) az IAM technológiák biztonsági kontrollmechanizmusai nem hátráltatják-e az adatokkal kapcsolatos biztonsági kontrollt.

2. pont: Nem szabad megfeledkezni a biztonsági mentésről, különös tekintettel a telephelyen kívüli mentésre.

A rendszeres biztonsági mentés fontosságát elégszer hangsúlyozták már, így senki számára nem okozhat meglepetést, hogy szerepeltetjük a listánkon. A GDPR érdekes „csavart” visz a mentési folyamatba, hiszen a mentés is tartalmazhat a GDPR szempontjából releváns adatokat. A vállalatok zsigeri reakciójukban rendszerint attól tartanak, hogy titkosítaniuk kell a helyi adószabályok szerint megőrzendő, hét vagy még több évnyi mentett adatot. Ebben az esetben is azt javasoljuk, hogy ne döntsenek elhamarkodottan a technikai (ez esetben a titkosítási) megoldásról hatástanulmány készítése nélkül. Nem árt tudni, hogy a mentés idején az adatok gyakran (újra)aggregálódnak, ami azt jelenti, hogy két vagy több forrás pszeudonimizált adatai vegyesen kerülhetnek a mentési adathordozóra. Adatbázis-szintű titkosítás hiányában a mentési adathordozók adatait ebben az esetben csak azután lehet deanonimizálni, hogy több forrásból korrelálták őket.

Ajánlás:

1.) Nem szabad megfeledkezni az adatok aggregálódásáról és dezaggregálódásáról a mentési adathordozón;

2.) ha a mentett adatok nincsenek titkosítva, megfelelő hozzáférés-szabályozással kell védeni őket;

3.) gondoskodni kell róla, hogy a biztonsági mentésért felelős adminisztrátorok egy privilegizált hozzáféréssel rendelkező, megfelelően monitorozott csoport tagjai legyenek.

3. pont: Előfordulhat, hogy az észlelés fontosabb, mint a védelem.

Bár az iparágban minden a „proaktív védekezéstől” hangos, a 100%-os védelem a kormányok által finanszírozott támadók korában gyakorlatilag elérhetetlen álom marad. A GDPR megköveteli, hogy a szervezetek „legkésőbb az észlelés után 72 órával” jelentsék a személyes adatokkal kapcsolatos szabályszegéseket a felügyeleti hatóságnak (33. cikkely). Precedens hiányában egyelőre még csak feltételezésekkel élhetünk, de úgy gondoljuk, hogy az észlelés és ebből eredően a bejelentés elmulasztása a biztonsági kontrollmechanizmusok megfelelőségének vizsgálatát vonja maga után, és megfelelési hiányosságnak minősülhet. Késedelem esetén a GDPR alapos indoklást ír elő. Ráadásul a GDPR nem egyszerűen a szabályszegés tényének bejelentését követeli meg, hanem azt is, hogy a bejelentésben jelentős mennyiségű részletes adatot tüntessenek fel a szabályszegéssel kapcsolatban. A bejelentést tovább bonyolítja, hogy az adatfeldolgozó „indokolatlan késedelem nélkül” (ibid.) köteles jelenteni a releváns incidenseket az adatkezelőnek, és ezzel együtt szabja meg a 72 órás határidőt az adatkezelő számára a megfelelő adatok összegyűjtésére és felügyeleti hatóságnak való jelentésére.

Ajánlás: Gondoskodni kell a következőkről:

1.) a személyes adatokkal kapcsolatos szabályszegéseket észlelő biztonsági mechanizmusok megléte és kifogástalan működése;

2.) az incidensek jelentésére vonatkozó kötelezettség explicit előírása a szerződésben, amennyiben az adatfeldolgozást külső fél végzi;

3.) a GDPR szerinti jelentéshez szükséges adatok elérhetősége és összegyűjtése az adott határidőn belül.

Az IDC március 29-i budapesti Biztonsági Konferenciájának egyik központi támája lesz a GDPR bevezetése. A délutáni szekciók egyikében egy bank, ill. kormányzati szervezet információ-biztonsági vezetője egy-egy esettanulmányi előadás keretében mutatja be a GDPR technológiai és biztonsági aspektusait, majd interaktív formában vitatják meg a bevezetés során felmerülő kérdéseket.

A rendezvényen való részvétel ingyenes, de regisztrációhoz kötött.

A részletes program és jelentkezés az esemény weboldalán érhető el.