Az adatvédelem gyakorlata
- Részletek
A Fejér Megyei Kereskedelmi és Iparkamara Gazdasági Lapja, a Gazdasági Kalauz február 20.-án megjelent számában riportot tett közzé Pokó Istvánnal, cégünk fejlesztési igazgatójával az EU személyes adatok védelmét szabályozó (GDPR néven ismert) rendeletével kapcsolatban. Pokó Istvánnal a rendelet gyakorlati alkalmazásának kérdéseiről beszélgetett a riporter. Oldalunkon a cikk teljes szövegét osztjuk meg az olvasókkal.
Az internetes honlapon keresztül végzett adatkezelés
- Részletek
Tapasztalatunk szerint jelenleg a legtöbb honlap nem felel meg a GDPR szabályainak. Vagy a honlap biztonságos elérése (SSL kommunikáció), vagy a személyes adatkezelés, vagy a sütikezelés, vagy a honlapon elhelyezett tájékoztatók ‒ az egyik, vagy a másik, vagy egyszerre mind kifogásolható.
Lássuk tehát, mik a problémák:
Adathalászati kísérlet – egy példa a Seacon Europe levelezéséből
- Részletek
Többször foglalkozunk már híreinkben (például a közelmúltban is) az adathalászattal.
Ebben a rövid cikkben az egyik, az elmúlt napokban a Seacon Europe-hoz beérkezett e-mail-ünkön keresztül mutatunk be egy adathalász kísérletet. Vélhetően, bár az e-mail magyar nyelvű, a levél külföldi forrásból származott. A csaló egy .com fődoménű oldalra irányítaná a figyelmetlen címzettet, és ráadásul még magyarul (vagy magyar ékezettel [ő betű]) sem tud írni.
Nézzük a példát!
Változhatnak a munkahelyi számítástechnikai eszközök használatának szabályai
- Részletek
Az idén februárban jelent meg egy érdekes törvényjavaslat a parlament.hu-n, amely az Európai Unió adatvédelmi reformjának végrehajtása érdekében szükséges törvénymódosításokkal foglalkozik. Ez a javaslat sok más dolog mellett szabályozná a munkahelyi számítástechnikai eszközök használatát is. A törvényalkotók szándéka szerint ez a módosítás a szervezetek, vállalkozások működésének hatékonyabbá tételét célozza.
Emlékeztetnénk a kedves olvasót arra a tényre, miszerint ma már szinte csak a változás állandó. Nem mindig könnyű kezelni és hozzá alkalmazkodni, sokszor félünk tőle, pedig számos hozadéka lehet. Ha pedig a változás jelenti az állandóságot, akkor nem nagyon van más választás, mint menni vele, és a saját javunkra fordítani. Ezt szem előtt tartva pedig már nem is a jelenre, hanem a jövőre kell gondolni. Az alkalmazottak tevékenységének megítélése kapcsán már nem annyira munkakörre, sőt nem is készségekre, hanem a munkatársak tanulási potenciáljára kell figyelni. …
Nem új kérdés a munkaidő hatékony kihasználása, régóta foglalkoznak vele Magyarországon is.
Lássuk, milyen érvek szólnak a munkahelyi számítástechnikai eszközök használatának újra szabályozása mellett és ellene?!
Eszi, nem eszi, nem kap mást… … süti süti hátán?
- Részletek
Nem mindenki szereti a sütiket, sőt azt még sokkal kevésbé, ha egy sütit mindenáron le akarnak tolni a torkukon. Igaz ez az igazi, és a szoftveres sütikre is.
Engem például nagyon régóta bosszant, hogy ma ‒ ha kell, ha nem ‒ minden honlap használ sütiket (cookies), és az oldal betöltésekor csak a „Sütiket használunk” megjegyzéshez hasonló figyelmeztetés jelenik meg a weboldalon, és vagy „Elfogadom” a dolgot, vagy távozok az oldalról, de mást (például letiltást) nem választhatok. Kérdésem: miért nem lehet más választásom? Egy ennél is fontosabb kérdés: mi történik, ha a vállalkozások, szervezetek egyáltalán nem törődnek a feladataikkal, amelyeket már az új adatvédelmi törvény életbelépésekor meg kellett volna oldaniuk? A rövid válasz: szinte biztosan komoly bírságoknak teszik ki magukat. Nincs szándékunkban fenyegetődzni, sőt sokkal inkább segíteni akarunk!
Az első dolog, amivel foglalkozunk: a SÜTI. Tehát ‒ egy, kettő, három ‒ sütik!
A Sealog és az Ötvenes törvény által előírt követelmények teljesítése
- Részletek
Felkészülés egy auditra ̶ a Sealog digitális nyomelemző rendszer audittámogató eszközként történő felhasználása
Tapasztaljuk, hogy nem egyszerű dolog az Ötvenes törvény hatálya alá tartozó szervezeteknek egy auditra történő felkészülés. Aki vett már részt akár egy kis, vagy esetleg egy kicsit nagyobb szervezet információrendszer-auditjának előkészítésében, valószínűleg egyetért velünk abban, hogy az előkészítő munka az informatikai rendszerekből az auditorok számára a szükséges adatok, információk kigyűjtésére önmagában IS hatalmas munkát jelent. Ennek a munkának a folyamatos, és hatékony elvégzését a Seacon Europe Sealog rendszere képes segíteni. Nézzük, hogyan!
Mielőtt a Sealog digitális nyomelemző rendszer alkalmazhatóságával foglalkoznánk, nézzük meg, hogy milyen jogi környezetben milyen üzleti igényt lehet/kell kiszolgálni:
A 41/2015. (VII. 15.) BM rendelet a biztonsági osztályokra vonatkozóan a következőket írja le:
Az elektronikus információs rendszerek biztonsági osztályba sorolását az elektronikus információs rendszerben kezelt adatok és az adott elektronikus információs rendszer funkciói határozzák meg.
A szervezet információs rendszereinek biztonsági osztályba sorolása az érintett szervezet felelőssége. A következő felsorolás a döntéshez csak iránymutatást ad:
Az 1. biztonsági osztály esetében csak jelentéktelen káresemény következhet be, mivel
- az elektronikus információs rendszer nem kezel jogszabályok által védett (pl.: személyes) adatot;
- nincs bizalomvesztés, a probléma az érintett szervezeten belül marad, és azon belül meg is oldható;
- a közvetlen és közvetett anyagi kár az érintett szervezet költségvetéséhez képest jelentéktelen;
A 2. biztonsági osztály esetében csekély káresemény következhet be, mivel
- személyes adat sérülhet;
- az érintett szervezet üzlet-, vagy ügymenete szempontjából csekély értékű, és/vagy csak belső (intézményi) szabályzóval védett adat vagy elektronikus információs rendszer sérülhet;
- a lehetséges társadalmi-politikai hatás az érintett szervezeten belül kezelhető;
- a közvetlen és közvetett anyagi kár eléri az érintett szervezet költségvetésének 1%-át.
A 3. biztonsági osztály esetében közepes káresemény következhet be, mivel
- különleges személyes adat sérülhet, személyes adatok nagy mennyiségben sérülhetnek;
- az érintett szervezet üzlet-, vagy ügymenete szempontjából érzékeny folyamatokat kezelő elektronikus információs rendszer, információt képező adat, vagy egyéb, jogszabállyal (orvosi, ügyvédi, biztosítási, banktitok, stb.) védett adat sérülhet;
- a lehetséges társadalmi-politikai hatás: bizalomvesztés állhat elő az érintett szervezeten belül, vagy szervezeti szabályokban foglalt kötelezettségek sérülhetnek;
- a közvetlen és közvetett anyagi kár eléri az érintett szervezet költségvetésének 5%-át.
A 4. biztonsági osztály esetében nagy káresemény következhet be, mivel
- különleges személyes adat nagy mennyiségben sérülhet;
- személyi sérülések esélye megnőhet (ideértve például a káresemény miatti ellátás elmaradását, a rendszer irányítatlansága miatti veszélyeket);
- az érintett szervezet üzlet-, vagy ügymenete szempontjából nagy értékű, üzleti titkot, vagy különösen érzékeny folyamatokat kezelő elektronikus információs rendszer, vagy információt képező adat tömegesen, vagy jelentősen sérülhet;
- a káresemény lehetséges társadalmi-politikai hatásaként a jogszabályok betartása, vagy végrehajtása elmaradhat, bekövetkezhet a bizalomvesztés a szervezeten belül, az érintett szervezet felső vezetésében, vagy vezetésében személyi felelősségre vonást kell alkalmazni;
- a közvetlen és közvetett anyagi kár eléri az érintett szervezet költségvetésének 10%-át.
Az 5. biztonsági osztály esetében kiemelkedően nagy káresemény következhet be, mivel
- különleges személyes adat kiemelten nagy mennyiségben sérülhet;
- emberi életek kerülnek közvetlen veszélybe, személyi sérülések nagy számban következhetnek be;
- a nemzeti adatvagyon helyreállíthatatlanul megsérülhet;
- az ország, a társadalom működőképességének fenntartását biztosító létfontosságú információs rendszer rendelkezésre állása nem biztosított;
- a lehetséges társadalmi-politikai hatás: súlyos bizalomvesztés az érintett szervezettel szemben, alapvető emberi, vagy a társadalom működése szempontjából kiemelt jogok sérülhetnek;
- az érintett szervezet üzlet- vagy ügymenete szempontjából nagy értékű üzleti titkot, vagy kiemelten érzékeny folyamatokat kezelő elektronikus információs rendszer, vagy információt képező adat tömegesen vagy jelentősen sérülhet;
- a közvetlen és közvetett anyagi kár eléri az érintett szervezet költségvetésének 15%-át.
A 41/2015. (VII. 15.) BM rendelet a biztonsági szintekre vonatkozóan a következőket írja le (részletek):
- Az érintett szervezet biztonsági szintje 3., ha a szervezet vagy szervezeti egység a 2. szinthez rendelt jellemzőkön túl szakfeladatait támogató elektronikus információs rendszert használ, de nem üzemelteti azt. A szervezet kritikus adatot, nem minősített, de nem közérdekű, vagy közérdekből nyilvános adatot kezel, központi üzemeltetésű, és több szervezetre érvényes biztonsági megoldásokkal védett elektronikus információs rendszerek vagy zárt célú elektronikus információs rendszer felhasználója, illetve feladatai támogatására más külső szolgáltatót vesz igénybe.
- Az érintett szervezet biztonsági szintje 4., ha a szervezet vagy szervezeti egység a 3. szinthez rendelt jellemzőkön túl elektronikus információs rendszert vagy zárt célú elektronikus információs rendszert üzemeltet vagy fejleszt.
Egy, a 2013. évi L. törvény végrehajtási rendelete alapján folytatott biztonsági tanúsítás vizsgálati szakaszában az auditban részt vevő szakértők a következő megállapítást tették:
(az audit) „ … a vizsgált rendszerek túlnyomó többségénél olyan kritikus maradvány kockázatokat tárt fel, melyek alapján
- mind a belső rendszerből (pl. egy rosszindulatú belső felhasználó által),
- mind kívülről (pl. egy hacker által)
a rendszer a siker esélyével támadható volt: lehetőség volt a rendszer teljesítményének, rendelkezésre állásának lerontására, vagy bizalmas adatokhoz való hozzáférésre, módosításra.”
A vizsgálatok az audit során a rendszerek pillanatnyi állapotát mutatták, a múltbeli eseményekre bizonyítékok valószínűleg nem álltak rendelkezésre.
Egyértelműen látszik, hogy az audit nem csak a folyamatos felügyeletre/monitoringra, hanem a működés során gyűjtött visszamenőleges bizonyítékokra is koncentrál. Ennek a feladatnak a teljesítésében képes támogatást nyújtani a Sealog digitális nyomelemző rendszer – olvassa el esettanulmányunkat!
Fontos: NAIH közlemény 2018. november 19.
- Részletek
A Nemzeti Adatvédelmi és Információszabadság Hatóság a tudomásukra jutott információk alapján közleményt adott ki.
Hihetetlen dolog, hogy vannak olyanok, akik még az információvédelmet is megpróbálják a tisztességtelen céljaik elérése érdekében kihasználni!
Kiemelés a közleményből:
A teljes közlemény letölthető a NAIH honlapjáról, a https://naih.hu/files/2018-11-19-kozlemeny-NAIH-neveben-torteno-visszaelesrol.pdf linkről
Sajnálom gyermekem, a hozzáférés megtagadva
- Részletek
Nem így terveztem, mégis egy személyes történettel kell kezdenem ezt a cikket.
Kisiskolás unokám szülei engedélyezték számára, hogy egy barátjánál töltsön egy játszós estét, és náluk is aludjon azon az éjszakán. No, ennek sajnos rossz vége lett: a kisfiú ezt követően sokáig éjszakánként nem tudott elaludni, és ő és szülei máig is érzik a vendégségben töltött idő következményeit…
Mi történt? ‒ A gyerekek filmet néztek, de sajnos a film (vagy filmek) horrorfilm(ek) volt(ak).
Mi történt? ‒ (Valószínűleg) a vendéglátó barát felügyelet nélkül, vagy minden korlátozás nélkül tehette mindezt.
Volt egyszer réges-régen egy kor, bizony még az internet kora előtt,
‒ amikor a szociális háló a társadalmi osztályok, és rétegek számára az egyes korosztályok létbiztonságának védelmét jelentette…,
‒ amikor a Selyem út csupán egy kontinensek közötti kereskedelmi útvonal volt…,
‒ és amikor ha valakit követtél, az esetleg illegális tevékenységet is jelenthetett… ,
‒ vagy amikor a pornográf képek csak egyes olyan kiadványok tartalmaként jelentek meg, mint pl. a Hustler vagy a Penthouse.
A legtöbb mai gyermek szinte már-már számítástechnikai szakértő, igen gyorsan sajátítják el a különböző eszközök használatát, ügyesen keresnek, böngésznek és telepítenek… Mi pedig ‒ szülők, nagyszülők, vagyis az idősebb korosztályok ‒ igazán nem bánjuk, ha valakitől egy kis segítséget kaphatunk gyermekeinknek, unokáinknak az interneten keresztül történő zaklatásának megakadályozásában, a veszélyes, vagy más okból tiltandó weboldalak blokkolásában, vagy egyszerűen csak a gyermek számítógéphasználatának korlátozásában, hogy ez sokkal kevesebb legyen, mint a mai…
Szerencsére bőven van szabadon elérhető szoftver, amely segítséget tud nyújtani a szülői feladataink végrehajtásában.
Az adathalászatról -- Mire figyeljünk, hogyan védekezhetünk?
- Részletek
Hát ezzel miért foglalkoznak már megint? – kérdezheti.
Tudunk válaszolni: azért, hogy ismét felhívjuk a figyelmét erre a nagyon fontos témára, és mindenkinek segítsünk, hogyan kerülheti el, hogy adatait − a legfőbb értékeit − lehalássza a hackerek automatizált hadserege!
Nézzük meg a témát részletesebben:
A Deep Web és a Dark Web ‒ tények és tévedések a web másik oldaláról
- Részletek
2. rész A web feneketlen mélységeiről
A cikk előző részében tisztáztuk, hogy mit tartalmaz a felszíni (surface) web, és mi van egy kicsit mélyebben, a deep web-en. Cikkünk mostani részében pedig a web „feneketlen” mélyégeiről is beszéljünk!