Adatvédelmi incidens a Kréta rendszerében – elkerülhető?

Az adatvédelmi események és incidensek egyre gyakrabban kapnak nagy figyelmet a hazai sajtóban, különösképpen, ha egy közismert gazdasági szereplőt vagy közintézményt érint az eset. Nap mint nap olvashatunk az eKRÉTA Informatikai Zrt. által fejlesztett Köznevelési Regisztrációs és Tanulmányi Alaprendszert – ismertebb nevén a KRÉTA-t – ért adathalász-támadásról. Cikkünkben arra szeretnénk rávilágítani, hogy milyen óvintézkedéseket szükséges megtenni azért, hogy az Ön vállalkozása ne kerüljön hasonló helyzetbe.

Napjainkban szinte minden szervezetnél szoftverek működnek, többnyire azért, hogy a digitalizációval segítsék a mindennapjainkat, gyorsabbá és hatékonyabbá tegyék a munkát, megszüntessék a tudásmonopóliumot és kialakítsanak egy jól gondozható tudástárat. Azonban minél több fontos vállalati és főleg személyes adatot tárolunk a rendszereinkben, annál nagyobb figyelmet kell fordítani arra, hogy az adott szoftver információbiztonsági és így adatbiztonsági szempontból is megfelelő legyen.

Sajnos nem lehet mindenre gondolni, sőt figyelembe kell venni, hogy ahogy a szoftverek komplexitása, alkalmazott megoldásaik fejlődnek, olyan ütemben fejlődik az azt támadók tudása is. Törekedni azonban kell rá, hiszen erre európai szintű rendelet kötelez minden adatkezelőt! A GDPR 32. cikke (Az adatkezelés biztonsága) elvárja, hogy az adatkezelő és az adatfeldolgozó a tudomány és technológia állása és a megvalósítás költségei, továbbá az adatkezelés jellege, hatóköre, körülményei és céljai, valamint a természetes személyek jogaira és szabadságaira jelentett, változó valószínűségű és súlyosságú kockázat figyelembevételével megfelelő technikai és szervezési intézkedéseket hajtson végre annak érdekében, hogy a kockázat mértékének megfelelő szintű adatbiztonságot garantáljon. Ez pedig már ott kezdődik, hogy olyan partnert, vagyis szoftverfejlesztő vállalkozást bízunk meg, aki számára fontos az adatbiztonság, ezzel a szemlélettel és az ehhez szükséges tudással teremti meg egy informatikai eszköz megfelelő védelmét.

A dolgozói oktatás fontossága

Ezen túl a felhasználói oldal edukálása is nagyon fontos. Sok esetben el lehet kerülni, hogy aktiválódjanak az adathalász programok, ha időben felismerik és egészséges gyanakvás mellett nem kattintanak rá egy gyanús linkre, nem nyitnak meg kérdéses csatolmányokat, nem telepítenek kétes eredetű szoftvereket és nem töltenek le megbízhatatlan tartalmakat. Ezek egy részét különböző informatikai eszközökkel meg is lehet akadályozni, bár sok esetben a fertőzött tartalmak ismerőstől, akár szervezeten belüli feladótól érkező levél köntösébe vannak bújtatva. Mégis több árulkodó jel lehet, amelyeket fel lehet fedezni: például egy hivatkozás, ami olyan file-ra mutat, aminek a kiterjesztése „.exe”, vagy tömörített állományban található ez meg.

Ugyanez igaz csatolt file esetében is. Többször a levél helyesírása, nyelvezete, megfogalmazása is utalhat akár külföldi támadó automatikusan gépi úton lefordított üzenetére. Zsarolóvírusok, adathalász programok települhetnek így, illetve olyan kártevő programok is léteznek (úgynevezett RAT: remote access trojan), amelyek ha bejutnak a rendszerbe - akár vírusirtón és védelmi szoftveren keresztül is -, települnek a megfertőzött rendszeren. Ezzel a művelettel bejuttatja a támadókat is, távoli hozzáférést tesz lehetővé, ami jelentheti a rendszer távoli megfigyelését, de akár parancsok futtatását vagy adatok kinyerését is.  További hasznos információkért érdemes megnézni az Eset kapcsolódó weboldalát.

Jelszavak, jogosultságok, titkosítás és belső ellenőrzés

Nem lehet elégszer hangsúlyozni a különböző rendszerekhez használt belépési adatok körültekintő kezelését és tárolását, valamint a megfelelő jelszavak használatát. Ne mentsünk el belépési adatokat a böngészőkben, kizárólag titkosított jelszókezelő eszközöket használjunk ilyen célra. Ne adjunk meg egyszerűen visszafejthető jelszavakat, és ne használjuk ugyanazt a jelszót több felületnél. „Minél hosszabb, annál jobb”, ne riadjunk vissza teljes mondatok használatától sem és még mindig hasznos, ha kombináljuk a különböző karaktereket a jelszavakban.

Használjunk kétlépcsős azonosítást! Ennek lényege, hogy csupán a felhasználónév és a jelszó nem elegendő egy rendszerbe való belépéshez, hanem a belépési szándékot meg kell erősíteni egy más eszközön (e-mail, SMS, authenticator alkalmazás) küldött biztonsági kód megadásával is. Egyre több szoftver esetén van erre lehetőség, és különösen fontos, ha felhő alapú rendszerekről van szó. Ezzel is védekezhetünk az illetéktelen hozzáférés ellen. Egyedi fejlesztés esetén a fejlesztő számára írjuk elő, hogy ezt a lehetőséget építse be a készülő alkalmazásba.

Alkalmazzunk jogosultságkezelést! Ez bár technikai lépéseket is igényel, sokkal fontosabb, hogy a szervezeten belül körültekintően határozzuk meg, hogy az egyes munkakörökhöz milyen tárhelyekhez, mappákhoz, rendszerekhez kell hozzáférés. Törekedjünk a szükséges és elégséges halmaz megtalálására. Így, ha egy kiszemelt áldozat belépési adatai illetéktelen kezekbe is jutnak, a támadó nem feltétlenül férhet hozzá minden adathoz. És csak egy szusszanásnyi időt szánjunk most arra, hogy belegondolunk a nem túl magas IT-tudással rendelkező munkatársunk rendszergazdai szintű jogosultságának következményeibe.

Használjunk titkosítási módszereket az adatbázisok védelme érdekében. Az egyszerűbb megoldás is sokat jelenthet, ha például a fontosabb adatállományokat jelszóval védjük, de a legjobb, ha tényleges titkosítási algoritmust alkalmazunk, aminek a lényege, hogy egy meghatározott jelsorozat transzformációja történik és a felismerhetőség technikai feltételekhez kötött, a visszafejtéshez egyedi „kulcsokat” használnak. Titkosítási megoldásokat alkalmazhatunk tárolt és továbbított adatok esetén is.

Fontos, hogy időszakonként belső ellenőrzéseket is végezzünk. Jelentős adatbázisok, fontos és szenzitív adatokat tároló rendszerek alkalmazása esetén szánjunk pénzt és időt arra, hogy biztonsági teszteket végeztessünk. Vannak erre szakosodott vállalatok, akik segítségével megelőzhető a nagyobb baj!

Ha már megtörtént a baj - Tanácsok adatvédelmi incidens esetére

Ha a fent említett óvintézkedések ellenére megtörténik az adatvédelmi incidens, akkor semmiképp se a hallgatás mellett döntsünk, mert ez egy hatósági eljárás esetén súlyosbító körülménynek számít és vélhetően még vastagabban fog majd az Adatvédelmi Hatóság (NAIH) ceruzája, amikor számba veszi a mulasztásokat és megállapítja az adatvédelmi bírság összegét. A GDPR-ban alapszabályként az incidens észlelésétől számított legkésőbb 72 órán belül eleget kell tenni a bejelentésnek.

Amennyiben megtörténik egy adatvédelmi incidens, különösen egy támadás eredményeképpen, azonnali intézkedéseket kell tenni annak kivizsgálása érdekében, valamint megelőző intézkedéseket kell tenni, hogy elkerüljük annak ismételt bekövetkezését. Az ügy jellegétől függően rendőrségi feljelentés is indokolt lehet. Az adatvédelmi incidensek, adathalász támadások esetén nem ritka, hogy úgynevezett etikus hackerek tevékenykednek annak érdekében, hogy felhívják a figyelmet valamilyen hiányosságra, problémára. Különösen állami vagy közérdekű adatok kezelését végző szervezeteknél, vagy nagyobb rivaldafényben álló vállalatok esetén magasabb ennek a valószínűsége.

Ha ilyen jelzést kapunk, az is adatvédelmi incidensnek számít, de általában nincs olyan következménye, mintha rossz szándékú támadó áldozatául esünk és például zsarolóvírussal rengeteg pénzt követelnek az adatok visszaszolgáltatásáért, vagy közzétesznek olyan információkat, amik nagy károkat okozhatnak vagy az adatkezelőnek és-vagy az érintetteknek is.

Összefoglalva

Az információbiztonság és a GDPR elvárásainak való megfelelés kéz a kézben jár, így, ha az alapvető információbiztonsági intézkedéseket megtesszük, körültekintően választunk partnereket, belső oktatásokkal fokozzuk az adatvédelmi tudatosságot és rendszeres ellenőrzéseket is végzünk, nagy eséllyel elkerülhetünk egy, a KRÉTA rendszert ért támadáshoz hasonló esetet.

A fentiekből is látszik, hogy a GDPR-nak való megfelelés nem merülhet ki kizárólag az adatkezelési tájékoztatók elkészítésében és néhány nyilatkozat beszerzésében, sőt nagyon veszélyes lehet vállalkozásunk számára, ha azt hisszük, hogy elegendő csak papíron megfelelni az előírásoknak! Mert a nagy baj nem akkor van általában, amikor az érintett nem találja a megfelelő tájékoztatót, hanem akkor, amikor a megtaláltnak megfelelően kéri számon az adatkezelőt!

Az pedig nehéz helyzetet teremthet, ha csak „átmásoltunk” egy szimpatikusnak tűnő formátumot, és „cseréltünk benne ezt-azt”, mert a megfelelés a tudatos felkészüléssel és alkalmazással érhető csak el!