Szöllősi Zoltán | Biztosító Magazin

Adatlopás Home-Office-ban: Hogyan védekezzünk a visszaélések ellen?

TUDÓSÍTÁS — Fri, 03 Apr 2020 05:33:53 +0000

A vállalkozások jelentős része az elmúlt hetekben kénytelen volt otthoni munkavégzésre átállni. Az ezzel együttjáró kommunikációs problémákat ráadásul sok esetben eddig nem használt új technológia alkalmazásával tudták csak megoldani. A home office és az új megoldások használata azonban olyan információbiztonsági és adatvédelmi kockázatokkal járnak, amelyekre a cégek nem biztos, hogy felkészültek. A Deloitte szakértői segítségként összegyűjtötték, melyik a tíz legfenyegetőbb sérülékenység és hogyan lehet elkerülni a bajt?

Melyek a távoli munkavégzéssel kapcsolatos leggyakoribb fenyegetettségek?

A jelenlegi rendkívüli helyzetben információbiztonsági és adatvédelmi szempontból egy vállalkozás számára a legfenyegetőbb hiányosságok a következők lehetnek:

Nem megfelelően védett (naprakész vírusirtó szoftvert nem használó, elavult operációs rendszerrel működő, titkosítási megoldások nélkül működő) eszközök használata.
A felhasználó nem biztonságos, azaz jelszóval nem védett wifi hálózatra csatlakozik.
A dolgozó internetes dezinformációk áldozatává válik, emiatt pedig könnyen „bedőlhet” az adathalász e-maileknek.
A munkavállaló multifaktoros azonosítási folyamat által csatlakozik a vállalati rendszerekhez.
A dokumentumok és adathordozók elszállítása az irodából és azok otthoni tárolása.
Az érzékeny dokumentumok elvesztése, ellopása. Az otthoni munkavégzéshez használt felszerelés károsodása.
A tartalék eszközök, illetve az alapvető üzletmenet folytonosságát biztosító intézkedések hiánya (áramszünet, internetes kapcsolat lelassulása, a készülék meghibásodása stb.)
Az adatvédelemben, informatikai biztonságban járatos személyek (információbiztonsági szakértő, adatvédelmi tisztviselő, vagy compliance vezető) nem elérhetők.
A munkavállalók nem kapnak megfelelő tájékoztatást a személyes adatok, üzleti titkok és egyéb bizalmas információk védelméről.
A dolgozók információbiztonsági előírásokat is tartalmazó home office szabályzat nélkül végzik munkájukat, valamint nincs olyan alternatív forgatókönyv, amely iránymutatást adna számukra, mit tegyenek, amikor a távoli munkát lehetővé tevő eszközök nem elérhetőek.

KORÁBBAN ÍRTUK

Te vagy az, lehet: A tech vezetőkből lesznek a jövő vezérigazgatói

Karrier TUDÓSÍTÁS

Deloitte: A cégek kutatási fejlesztési tevékenységükkel növelhetik versenyképességüket

Featured TUDÓSÍTÁS

Rekordszintű kockázatról számolnak be a régiós pénzügyi vezetők

Vállalkozás TUDÓSÍTÁS

Deloitte: Fél százalék alatti GDP-növekedésre számítanak a régiós vállalatok

Makro TUDÓSÍTÁS

Hogyan előzhetjük meg a bajt?

Számos fenyegetéssel kell számolni, ezek megelőzése azonban nem feltétlenül összetett vagy költséges. Mit tehetünk a kockázatok csökkentése érdekében? A Deloitte szakértői szerint 4 alapvető lépéssel a vállalkozások információbiztonsági szintje jelentős mértékben javítható. Ezek a lépések a következők:

1. Távmunka folyamat megszervezése, szabályzatok, eljárásrendek kialakítása

Rendkívüli helyzet következményeként bevezetett új adatkezelési folyamatok dokumentálása, valamint a távoli munkavégzés minimumkövetelményeinek, munkavédelmi, adatvédelmi és információbiztonsági előírásainak kialakítása és szabályzatba foglalása.

2. Információbiztonsági minimumkövetelmények kialakítása

A munkavállalók távoli munkavégzéshez használt eszközeinek információbiztonsági elvek mentén történő frissítése, illetve az eszközökre, a hálózatokra, valamint ezek használatára vonatkozó biztonsági minimumkövetelményekre vonatkozó előírások meghatározása.

3. Tájékoztatás és tudatosságnövelés

Krízishelyzetre tekintettel adatvédelmi és információbiztonsági tudatosságot elősegítő online képzések megtartása, a munkavállalók rendszeres tájékoztatása és figyelmeztetése a COVID-19-el kapcsolatos dezinformációk terjedésére, és azokon keresztül adathalászati támadásoknak való megnövekedett kitettségre, és ilyen esetben követendő lépések megtételére.

4. Munkavállalók ellenőrzésével kapcsolatos megfontolások

A munkáltatóknak figyelemmel kell lenniük egyidejűleg arra is, hogy a távoli munkavégzés során különböző adatbiztonsági intézkedések alkalmazása a munkavállalók megfigyelésével, vagy ellenőrzésével is járhat, amely további adatvédelmi, esetlegesen munkajogi szempontok figyelembevételét teszi szükségessé. Ezeknek a kérdéseknek az átfogó kezelését a munkáltató egy jelen helyzetre is alkalmazható belső eljárásrendben és szabályzatban tudja megfelelően kezelni.

Mit tegyünk visszaélés esetén?

Mi a teendő olyan incidens esetén, ahol a munkavállaló elveszti a nála lévő dokumentumokat, hacker támadás áldozatává válik, vagy ha műszaki hiba miatt személyes adatok vesznek el?

Először is szükséges lehet az incidens jelentésére az adatvédelmi hatóság részére a visszaélés tudomásra jutását követő pár órán belül. A jelentésnek tartalmaznia kell többek között az incidens jellegét, illetve esetleges következményeit. Ehhez elengedhetetlen a munkavállalókkal való hatékony kommunikáció annak érdekében, hogy megfelelően fel lehessen mérni az incidenssel kapcsolatos kockázatokat és annak érintettekre gyakorolt hatásait a megfelelő lépések megtételének elősegítésére. Fontos figyelemmel lenni arra is, hogy bizonyos esetekben szükséges lehet az adatvédelmi incidenssel érintett személyek (pl. ügyfelek, munkavállalók) értesítése is.

– mondta dr. Bánci Lea, a Deloitte Legal adatvédelmi és munkajogi csoportjának ügyvédje.

A fentiekben ismertetett megelőző intézkedések megtétele emellett hozzájárul ahhoz, hogy a vállalkozás igazolni tudja a hatóságok felé, hogy meghozta a mind a személyes adatok, mind pedig a munkavállalók védelme érdekében szükséges technikai és szervezeti intézkedéseket és működését, valamint az abban megvalósuló adatkezelési folyamatokat a privacy by design és by default elvének megfelelően alakította ki.

– tette hozzá Szöllősi Zoltán, a Deloitte technológiai tanácsadási csoportjának igazgatója.

Nyitókép: Unsplash.

The post Adatlopás Home-Office-ban: Hogyan védekezzünk a visszaélések ellen? first appeared on Biztosító Magazin | Fókuszban a biztosítási tudatosság növelése.

Deloitte: Maradtak még kihívások a GDPR kapcsán

TUDÓSÍTÁS — Thu, 16 May 2019 06:17:22 +0000

Továbbra is komoly kihívást jelent a GDPR gyakorlati alkalmazása során a vállalkozásoknak a jogalap nélkül tárolt személyes adatok törlése. Alternatív megoldást jelenthet az adatok deperszonalizációja, azonban az üzleti érdekek és a jogszabályi megfelelőség közötti egyensúly érdekében fontos a megfelelő stratégia kialakítása.

Nem könnyű megvalósítani a GDPR-nak megfelelő rendszerket

Az eddigi tapasztalatok azt mutatják, hogy számos technikai és megvalósíthatósági probléma merül fel az Európai Unió általános adatvédelmi rendelete, a tavaly május óta kötelezően alkalmazott GDPR kapcsán az adatbiztonsági kontrollok technológiai bevezetése és működtetése során. A legnagyobb kihívást továbbra is az éles rendszerekben jogalap nélkül tárolt személyes adatok törlése, valamint a teszt- és fejlesztői környezetek deperszonalizációja jelenti.

Hazai és nemzetközi szállítók egyaránt rendelkeznek a deperszonalizációra használható eszközökkel, de egyszerűbb eljárásokhoz akár saját programok is készíthetők. Az egyes deperszonalizációs eszközök és módszerek különböző előnyökkel és hátrányokkal járhatnak, ezért azok megválasztását érdemes szakértőkre bízni.

A GDPR alkalmazása során továbbra is az egyik legfontosabb, hogy az adatkezelők tisztában legyenek a kezelt adatok körével és rendelkezzenek megfelelő adattörlési vagy deperszonalizációs stratégiával, illetve gyakorlati megoldásokkal.

Személyes adatok törlése vagy deperszonalizáció?

A GDPR egyértelműen előírja a személyes adatokra vonatkozó adattörlési képességet, amelyet a „privacy by design” és „privacy by default” elvek mentén már a rendszerek kialakításánál és fejlesztésénél figyelembe kell venni. A deperszonalizáció egy alternatív megoldást jelenthet, ami nem egyenértékű a törléssel azonban hasonló eredményre vezet, amennyiben az adat és a természetes személy közötti kapcsolatot végérvényesen megszüntetésre kerül.

Deperszonalizációs koncepcióra és annak megvalósítására van szükség, amit alapos felmérésnek és tervezésnek kell megelőznie, hogy az adatkezelő elkerülje az eljárásból eredő kockázatokat. A deperszonalizáció megvalósítása költségigényes és hosszas folyamat, egy komplex informatikai környezetben akár több éves projektet és sok tízmillió forintos költséget is jelenthet.

– mutatott rá Szöllősi Zoltán, a Deloitte technológiai tanácsadás csoportjának szenior menedzsere.

A személyes adat deperszonalizáció elsődleges célja, hogy további információk felhasználásával se legyen megállapítható, hogy a személyes adat mely konkrét természetes személyre vonatkozik, tehát az adat és a természetes személy közötti kapcsolat végérvényesen megszűnjön.

Barta Gergő, Deloitte

Statisztikák készítésére az anonímizált adat még jó lehet

A deperszonalizációs folyamat tulajdonképpen az adatok transzformálását jelenti és amennyiben más adatbázis számára is továbbított adat kapcsán valósul meg, úgy lehetővé kell tenni, hogy a céladatbázis is képes legyen a transzformált adat befogadására és feldolgozására.

Éppen ezért komplex üzleti környezetekben a teljes infrastruktúrán keresztül áramló adatok esetén olyan megoldások kidolgozása szükséges, amelyek biztosítják, hogy a folyamat ne jelentsen kockázatot a napi adatfeldolgozásokban vagy a rendszerek funkcionális működésében. A deperszonalizáció másik fontos szempontja, hogy az értékes adatvagyont csak olyan mértékben tegyük felismerhetetlenné, hogy az kielégítse a jogszabályi elvárásokat, de ugyanakkor későbbi üzleti, statisztikai felhasználásra alkalmas maradjon.

– tette hozzá Barta Gergő, a Deloitte technológiai tanácsadás csoportjának szenior tanácsadója.

Nyitókép: Szöllősi Zoltán, Deloitte.

The post Deloitte: Maradtak még kihívások a GDPR kapcsán first appeared on Biztosító Magazin | Fókuszban a biztosítási tudatosság növelése.

Deloitte: Magabiztosak az európai cégek a GDPR betartásával kapcsolatban

TUDÓSÍTÁS — Wed, 30 Jan 2019 15:26:21 +0000

Előremutató „jó gyakorlatok” a piaci szereplők részéről, sok esetben igen aktív adatvédelmi hatóságok és komoly kihívások – többek között ezek jellemezték a GDPR első félévét a kelet-közép-európai régióban a Deloitte elemzése szerint. A cég egy kutatást is végzett a témában, amiből kiderült, hogy a fogyasztók 44 százaléka pozitív változásokat tapasztalt az adatai védelmében a jogszabály életbe lépése óta.

Itt vannak a GDPR bevezetés első tapasztalatai

Több mint fél évvel az új európai uniós általános adatvédelmi irányelv, a GDPR bevezetését követően vizsgálta meg a Deloitte, hogy a kelet-közép-európai régió országaiban hogyan sikerült alkalmazni az új előírásokat, milyen kihívásokkal szembesültek az érintett piaci szereplők és mely területeken lenne szükség további előrelépésre. Az elemzés keretében 10, a régióban található tagországban (Bulgária, Csehország, Horvátország, Lengyelország, Lettország, Litvánia, Magyarország, Románia, Szlovákia, Szlovénia) mérte fel a társaság az eddigi tapasztalatokat.

Aktív hatóságok

Az elemzésből kiderült, hogy a GDPR tavaly május 25-i bevezetése során a legtöbb tagállamban rendkívül aktívak voltak az adatvédelmi hatóságok. Útmutatásokkal, ajánlásokkal és konkrét esetek véleményezésével igyekeztek minél tisztább jogi helyzetet teremteni a piaci szereplők számára. Fontos hangsúlyt kap az adatvédelmi kultúra és az adatvédelmi felelősség tudatosítása. A brit és francia adatvédelmi hatóságok például számos jól alkalmazható sablont, eszközt és iránymutatást tesznek elérhetővé.

Ellenőrzési gyakorlatok

Nyugat-Európában számos jelentős horderejű adatvédelmi incidens vizsgálata van folyamatban, amelyek eredménye jelentős hatással lehetnek a bírságolási gyakorlatra, ami azonban még egyelőre nem alakult ki a régióban. Egészen január 21-ig csupán kisebb elmarasztalások voltak, azonban ahogyan az várható volt, az első példaértékű elmarasztalást egy technológiai mamutvállalat, a Google kapta.

A francia adatvédelmi hatóság („CNIL”) 50 millió euróra bírságolta a Google-t a megfelelő tájékoztatás, a transzparencia hiánya és megfelelő hozzájárulás nélküli adatkezelés miatt. Az ügy érdekessége egyébként, hogy a CNIL nemzeti hatáskörben a “one-stop-shop mechanizmus” alkalmazása nélkül szabta ki a bírságot, tekintve, hogy a Google nem rendelkezik Uniós fő letelepedési hellyel.

– tette hozzá dr. Majoros Gábor, a Deloitte Legal adatvédelmi csoportjának vezető ügyvédje.

dr. Majoros Gábor

Magyarországon a NAIH-hoz 2018. május 26. és július 25. között 840 adatvédelmi megkeresés érkezett, ezek fele konzultációs típusú volt. Az ezt követő időszakban október végéig 802 adatvédelmi megkeresés érkezett a hatósághoz, ezeknek már mindössze 17 százaléka volt konzultáció, a fennmaradó 83 százalék adatvédelmi incidenshez kapcsolódott.

Ágazati kezdeményezések

Az elemzés megállapította azt is, hogy szinte minden megvizsgált tagállamban ágazati kezdeményezések is indultak és akadnak köztük már olyanok is, amelyeket sikeresen lezártak. Jellemzően a bankszektorban, az egészségügyben, a humán erőforrás menedzsmenttel foglalkozó szegmensekben volt erre példa, és ezek a kezdeményezések a legtöbb esetben valamilyen magatartási kódex elfogadását is magukban foglalták. Emellett megjelentek olyan vállalati jó gyakorlatok, amikor egy-egy cég elérhetővé tette az adatvédelmi értesítéseket, illetve olyan felületeket hozott létre, amelyeken az ügyfeleik maguk rendelkezhettek arról, hogyan használják fel adataikat.

Első tapasztalatok

A Deloitte a GDPR első félévének tapasztalatairól egy 11 országra kiterjedő, vállalati képviselőket és fogyasztókat egyaránt kérdező kutatást is végzett.

Ebből kiderült, hogy a fogyasztók 44 százaléka úgy értékeli, hogy a cégek jobban odafigyelnek a személyes adataik védelmére a jogszabály életbe lépése óta.
Érdekesség, hogy az Európai Unióban (EU) élők szkeptikusabbak az ügyben, 19 százalékuk szerint ugyanis a vállalatok egyáltalán nem törődnek a fogyasztók adatainak védelmével.
A GDPR egyik hatása a fogyasztóknál, hogy óvatosabbá váltak az érzékeny adatok megosztásában: az EU-ban 55 százalékuk jelezte ezt, az EU-n kívül pedig 61 százalékuk.

A megkérdezett cégek 33 százaléka nem rendelkezik elegendő erőforrással, hogy teljes mértékben megfeleljen a GDPR elvárásainak, és mindössze 15 százalékuk véli úgy, hogy sikerült befejeznie a GDPR felkészülési programját.

Ennek ellenére igen magabiztosak az európai uniós cégek abból a szempontból, hogy képesek-e megfelelni a jogszabálynak, 92 százalék nyilatkozta azt, hogy hosszabb távon sem lesz gondjuk az új adatvédelmi előírások betartásával. A kutatásból az is kiderült, hogy a cégek 87 százalékánál már kijelöltek adatvédelmi tisztviselőt. Érdekes módon Indiában 99 százalékos ez az arány, míg az EU-n belül Spanyolország vezet 96 százalékkal.

Üzleti veszteséggel járnak az adatvédelmi incidensek

Szöllősi Zoltán

A válaszadók 70%-a jelentős befektetésekről számolt be a folyamatok átalakítása és a technológiai megoldások alkalmazása terén, annak érdekében, hogy a hosszú távú, hatékony és részben automatizált GDPR megfelelőség biztosítható legyen.

A felmérésben szereplő társaságok harmada jelezte, hogy 2018. május 25. után is további erőforrásokat fordít arra, hogy megfeleljen a GDPR előírásoknak.

A szervezetek 80%-a adatszivárgást megelőző rendszer (DLP) bevezetését tervezi, illetve keresik a GDPR megfelelés technológiai támogatásának különböző lehetőségeit is. A fokozott védekezésre szükség is van, hiszen a kutatásból is jól látszik, hogy a fogyasztók jelentős része nem venne igénybe szolgáltatást olyan vállalkozástól, ahol adatvédelmi incidensek történnek.

– hangsúlyozta Szöllősi Zoltán, a Deloitte Magyarország technológiai tanácsadás csoportjának szenior menedzsere.

The post Deloitte: Magabiztosak az európai cégek a GDPR betartásával kapcsolatban first appeared on Biztosító Magazin | Fókuszban a biztosítási tudatosság növelése.