Mit tehetnek a KKV-k, hogy elkerüljék az adatvédelmi incidenseket?
Bár a magyar infotörvény eddig is az egyik legszigorúbb volt az Európai Unióban, a GDPR érkezésével jelentősen nagyobb érdeklődést tapasztalunk a kis- és középvállalati szektorban is az adatvédelem és a jogszerű adatkezelés módszerei iránt. Cikkünkben bemutatjuk, milyen alapvető lépéseket és megoldásokat érdemes alkalmazni annak érdekében, hogy csökkenteni lehessen az adatvédelmi incidensek bekövetkezésének kockázatát.
A személyes adatok
Az új adatvédelmi rendeletet azért hozták létre, hogy magas szinten gondoskodjanak az európai állampolgárok személyes adatainak védelméről. Konferenciákon és szakmai beszélgetéseken azonban rendszeresen tapasztaljuk, hogy a cégvezetők időnként nem veszik számításba a munkavállalóik adatkezelését; pedig a különféle HR és bérezési adatlapokban, dokumentumokban, levelezésekben és névjegyeken is személyes adatok találhatók. Ne feledkezzünk meg ezek védelméről!
Amennyiben a dolgozói adatbázisból történik adatszivárgás, vagy bármilyen más adatvédelmi incidens, ugyanolyan súlyosságú a helyzet, mintha ügyféladatokat érintene! A munkáltató felelőssége arra is kiterjed, hogy a rábízott személyes adatokat biztonságosan kezelje.
Jogosultságkezelés
Az első és legfontosabb lépés, hogy meg kell határozni a munkatársak jogosultságát; azt, hogy ki milyen adatokhoz férhet hozzá.
Szerencsére erre több technikai megoldás is létezik, és a mindennapi munka során használt szoftverek többsége is képes a felhasználói csoportok, vagy akár egyéni felhasználói szinten is jogosultságkezelésre.
A későbbi bizonyíthatóság érdekében ajánlott naplózni azokat a módosításokat, amik az általunk használt adatbázisokban vagy rendszerekben történnek.
Ha tanácsra van szüksége, kérje rendszergazdája segítségét!
Adatduplikáció elkerülése
Az adattakarékosság elvének betartásával jelentősen csökkenthetjük az adatvédelmi incidensek veszélyét. Ha egy központi adatbázisban kezeljük a munkavállalók, vagy akár az ügyfelek adatait, akkor elég "csak" egy adatbázis vagy szolgáltatás biztonságáról gondoskodnunk. Ha azonban a CRM adatbázis mellett különféle táblázatokban, több munkatárs is kezel személyes adatokat, azzal az adatszivárgás kockázata többszörösére nő. Mivel az adatok pontosságáról is gondoskoskodni kell, abban az esetben ha például az értékesítők és a marketinges munkatársak két külön adatbázisból dolgoznak, nehezebb összehangolni a módosításokat. Ilyen esetben az adatok integritása is sérülhet.
A megfelelő jogosultságkezeléssel gondoskodhatunk arról, hogy csak azok férjenek hozzá a kérdéses adatokhoz, akiknek ez a munkavégzéséhez elengedhetetlen, azonban mindenképpen ajánlott olyan folyamatok kialakítása, melyek segítségével a lehető legkevesebb helyen történik adattárolás!
Levelezési szokások felülvizsgálata
Céges ügyekben leggyakrabban e-mailben történik az információcsere. Az email visszakereshető, mindig kéznél van, így érthető okokból a fontos ügyeket így a legkényelmesebb elintézni. Az úgynevezett "közös" levelező fiókok azonban nagyobb kockázatot jelenthetnek, mint ahogy elsőre gondolhatnánk. Mindenki ismeri a konyveles@cegnev.hu, info@cegnev.hu és hasonló elérhetőségek eseteit.
Ezeket a levelezőfiókokat többen használják, és a küldők nem minden esetben tudják azt, hogy kik fogják olvasni az ide érkező leveleket. Arra bátorítanánk mindenkit, hogy amennyiben lehetséges, tartózkodjon az ilyen "közös" levelezőfiókok használatától, vagy ha mindenképpen használni kell ilyet, akkor pontosan határozza meg, hogy ki olvashatja és kezelheti a fiókot.
Levelezés tekintetében kockázatos tényezőként megjelenhet még a személyes adatok e-mailben történő küldése. Ez rendszeresen előfordulhat például könyvelési, bérszámfejtési adatok küldésekor, mikor kifejezetten érzékeny, személyes adatokat küldünk, de akkor is, ha "csak" továbbítunk egy régebbi üzenetet.
Ilyen esetekben több megoldást is alkalmazhatunk: A személyes adatokat tartalmazó fájlokat titkosíthatjuk, a titkosítási jelszót pedig egy más csatornán (mondjuk telefonon) megadhatjuk a másik félnek.
Használhatunk olyan levelezőszolgáltatót, amely nagyobb biztonságot, komolyabb titkosítást alkalmaz. Ilyen szolgáltató például a Protonmail. A Protonmail biztonságos, végpontok közötti titkosítást kínál, könnyű használat mellett. A szolgáltatást Svájcból nyújtják, és bár Svájc nem tagja az Európai Uniónak, az Európai Gazdasági Közösség tagjaként nem számít harmadik országnak, ha adattovábbításról van szó. Svájc rendelkezik olyan hatályban lévő, elfogadott EU-s megfelelőségi határozattal, mely alapján garantálható, hogy az adatokat a szigorú EU-s elvárások és garanciák szerint fogják kezelni.
Mivel maga a szolgáltató sem fér hozzá a levelek tartalmához, így az adatszivárgás a rendszeren belülről technológiai szemszögből kizárt.
A GDPR kifejezetten kitér a titkosításra, mint az egyik alkalmazható és ajánlott adatvédelmi megoldásra, így bátran ajánljuk mi is a használatát!
Adattárolók titkosítása
Az e-mailek tartalmának titkosításával csökkenthetjük a kommunikáció során bekövetkező adatvédelmi incidensek előfordulását, azonban maga az operatív munkavégzés jellemzően a munkatársak számítógépén történik. Számos olyan megoldás létezik, melyekkel a teljes adattárolót titkosíthatjuk, így egy esetleges betörés, vagy fizikai adatlopás során sem kerülhet ki személyes adat.
A GDPR rendelet 34. cikkében a törvényhozók konkrétan nevesítik a titkosítás alkalmazását, mint olyan megfelelő technikai védelmi intézkedést, mely segítségével gondoskodhatunk a személyes adatok védelméről.
Természetesen fontos, hogy milyen titkosítást alkalmazunk, de az operációs rendszerek beépített megoldásai (Windows esetén: Bitlocker, macOS esetén FileVault ) mellett számos olyan szoftver érhető el, melyekkel gondoskodhatunk a számítógépünk adattárolóinak titkosításáról (Pl: VeraCrypt). Mivel ezen szolgáltatások használata nem kerül külön költségbe, és használatuk sem túl bonyolult, bátran ajánljuk minden cég számára.
Jelszókezelő használata
A Crosssec blogban többször írtunk a megfelelő jelszavak használatáról, és az elmúlt évek nagy jelszószivárgásairól. 2016 óta a helyzet változatlan: rendszeresen előfordulnak újabb, esetenként akár több tízmilliós jelszólopások.
A jogosultságkezelés és titkosítás alkalmazása mellett a megfelelő jelszóházirend kialakítása is kulcskérdés a vállalatok életében. Mivel a kellőképpen erős jelszavak (megfelelő hosszúságú, speciális karaktereket is tartalmazó) megjegyzése nem egyszerű feladat – főleg akkor, ha betartjuk az első alapszabályt, miszerint nem használjuk fel újra a jelszavainkat, és mindenhol egyedi jelszót használunk – , valahogyan meg kell találni a cég számára kényelmes megoldást.
A jelszavak kezelésére több szoftvert is használhatunk, például a LastPass-t, vagy a Bitwarden-t. Mikor jelszókezelőt választunk, érdemes megvizsgálni a saját elvárásainkat; Bizonyos jelszókezelőket saját infrastruktúrán is működtethetünk, míg másokat csak a szolgáltató szervereiről - a felhőből - érhetünk el.
Fontos kritérium lehet a megfelelő eszköz kiválasztása során, hogy a jelszókezelő végpontok közti titkosítást használjon. A jelszókezelők segítségével elég csak egy mesterjelszóra emlékezni, és a szoftver minden további belépési adatot automatikusan ki tud tölteni.
Összefoglalás
Ezek azok a lépések, amelyeket IT oldalról egyedül, vagy a cég rendszergazdájának segítségével bármely vállalkozás könnyedén megvalósíthat komolyabb anyagi beruházás nélkül.
A GDPR célja nem az, hogy életidegen dolgokat vezessen be a cégek működési folyamataiba, vagy megnehezítse a vállalatok életét; sokkal inkább az, hogy az adatkezelők biztonságba tudják az általuk kezelt adatokat, és ügyeljenek a személyes adatok védelmére.
Természetesen a szoftverek önmagukban nem oldanak meg mindent, a GDPR felkészüléshez gondoskodni kell a folyamatok szabályozásáról is, melyben a Crosssec Solutions GDPR segédanyagai, és a GDPR tanácsadóink valós segítséget jelentenek.
