Hétpecsét Információbiztonsági Egyesület – 77. Fórum
13 perc olvasás2017. szeptember 13-án zajlott az egyesület Információvédelem Menedzseléséről szóló 77. szakmai fóruma. Dr. Ködmön István alelnök bevezető szavai után Keleti Artúr ITBN előzetesét hallhatták a megjelentek.
Az első, angolul elhangzó előadást Kurt Brandt, a GE Hungary Healthcare Principal Product Security Leader munkatársa tartotta, How to Approach Security Testing for Service Based Applications in a Public Cloud címmel.
https://www.hustef.hu/speakerslist/speaker_kurtbrandt/
dr.Dózsa Imre „Üzleti titok B2B kontextusban” címmel tartotta előadását, a sorozat második részeként. (A korábbi rész az üzleti titok munkaadók és munkavállalók közötti kapcsolatát vizsgálta.)
Milyen üzleti titokkezelési gyakorlat tapasztalható üzletfelek között?
A témáról kevés forrás számol be, miután, aki jól csinálja, az saját magára is alkalmazza az üzleti titok követelményeit. Pl., ha egy ügyvédi iroda nyilvánosságra hozná, hogy ő miért ír jó szerződéseket, akkor versenyhátrányba kerülne a többi irodával szemben.
Az előadó saját gyakorlati tapasztalatából tud a témáról nyilatkozni.
A vizsgálódás szempontjai:
Mit is védenek az egyes üzleti partnerek, melyek azok a védendő értékek, amelyet egy üzleti kapcsolatba bevisz valaki? Az üzletben mindkét oldalon megjelenik a titokvédelmi igény, a szállítónak és a megrendelőnek egyaránt vannak titkai.
Jogi szempontból, milyen titokvédelmi eszköztárral találkozunk? Melyek a jogi, technikai és szervezési eszközök a kezelésben?
Amennyiben az üzleti titok kiszivárgott, akkor milyen jogérvényesítési eszközök, technikák állnak rendelkezésünkre? Mit lehet mondani a menedzsmentnek, milyen mértékű a baj és mennyire javítható a helyzet?
Az üzleti titok két fontos fogalmi eleme:
A Polgári Törvénykönyv megfogalmazásában; az üzleti titok olyan adatinformáció, amely nem könnyen hozzáférhető. Ez a megállapítás egyben üzenet is az üzleti titok gazdájának arról, hogy részéről egyfajta aktív tevékenységet kell végeznie, hogy a nehezen hozzáférhetőséget biztosítsa.
Ennek jelentősége, különösen a menedzsment részéről abban áll, hogy az üzleti titok egy érzés. Amikor valami veszélyeztető momentum felmerül, akkor a menedzsment azt, mondja; „Hát ez egy titok. Védenünk kell? De hiszen ilyet nem mondunk el még sörözés közben sem.”
A valóságban ennek fordítottja érvényes; nagyon aktívan kell készülni egy védelmi rendszerrel, hogy a titoknak minősítendő adatokhoz ne lehessen könnyen hozzáférni.
Másik fontos elem; sértene-, vagy veszélyeztetne-e a nyilvánosságra kerülés jogos pénzügyi, gazdasági vagy piaci érdeket? Ebből a szempontból nézve, könnyű felismerni, mi az amit titokká kell minősíteni. Egyszerűen modellezni kell a problémát; ha ez és ez az adat nyilvánosságra kerül, hátrányt okoz-e nekem? Amennyiben igen, akkor valóban üzleti titokkal kell számolnunk.
Amikor a szakmában mások is hasonló módon járnak el a témával kapcsolatban, akkor valószínűleg a szóbanforgó elem nem éri el az üzleti titok szintjét. Mindig a károk irányából kell véleményt alkotni az üzleti titok milyenségéről.
Fentiekhez hasonló védelemben részesíti a jog a know-how-t, az un. védett ismereteket is, így ezeket is az üzleti titok körébe kell sorolnunk.Az üzleti titok két oldalról való megközelítésében kinek milyen védelmi eszközei, ill. igényei vannak?
Tapasztalatok szerint, az alapvető kérdés mindig az; hol készül a mű, amelynek paramétereit szeretnénk titokban tartani. Amennyiben a szállítónál készül el egy mű, vagy ha a szállító teljesít egy szolgáltatást, akkor általában a megrendelő adatait kell védeni. Példaként; ha felhő-szolgáltató a szállító, akkor értelemszerűen a megrendelő akarja tudni, hogyan védik az ő titkait.
Amikor a mű előállítása a megrendelőnél történik, akkor a szállító lép fel információ-védelmi igényekkel, mivel ő valamilyen tudás knowhow-t, eszközt odavisz, ezért igénye, hogy azzal bármiféle szivárgás kizárásával dolgozhasson. Nehogy annak megrendelői, vagy alvállalkozói később nehogy valami hasonlóval kezdjenek nyomulni ugyanazon a piacon. Tehát a szállító adatainak védelme kerül előtérbe az üzleti kapcsolatban.
A szállító titkait illetően, először a mű létrehozásához használt módszereket, eszközöket (knowhow-t) próbálják védeni, de megjelennek a referenciák is, mint védendő információk.
A szállító általában büszke a referenciáira, szívesen büszkélkedne vele, de a megrendelők ezt nem fogadják szívesen. Úgy érzik, saját biztonsági szintjük csökkenhet azzal, ha kiderül pl., hogy náluk milyen védelmi megoldás működik, vagy, hogy milyen egyéb üzleti tudás birtokában vannak.
A referenciák tehát nem mindig átjárhatók.
Megrendelői oldalon leginkább a feldolgozott adatkört védik; tipikusan az ügyfél-adatbázist.
Amikor arra kényszerül a cég, hogy ügyfelei adatbázisát kiadja a szállítónak, akkor nagyon erős védelemről kell gondoskodnia.Meg kell vizsgálni, hogy az illető szállító, vagy annak partnerei más, saját üzletkörben tudják-e ezt hasznosítani. Amennyiben valamit nálam kifejleszt a szállító, pl. egy mobil applikációt, akkor nem fogja-e ezt eladni a konkurenciának, nem fogja ezt az előnyt kiaknázni? Amennyiben erre esély van, akkor itt egy védelmi titokkörrel szembesülünk.
Másrészt; a megrendelő versenytársának közvetlenül el lehet-e adni az adatkört, pl. az ügyfél adatbázisát? Amennyiben ez lehetséges, akkor itt a versenytársakat széles értelemben kell tekinteni. Pl., egy újság előfizetői ügyfél-adatbázisának bizonyára örülne egy ingatlan-ügynökség. Védeni szokás a megrendelőnél a munkavégzésnek egyfajta szervezeti-technikai környezetét is, különösen, ha be kell engedni a szállítót a telephelyre. Ilyenkor nyilván fel kell előtte fedni a biztonsági beállításokat, s különböző protokollokat. Ezt mindenképpen bizalmasan kell kezelnie annak, aki oda jön pl. szakértőként dolgozni.
A megrendelő titkainál felmerül; amennyiben a szállító bejön a telephelyre munkát végezni, akkor ehhez személyi-biztonsági követelmények kapcsolódnak. Tapasztalat szerint, a megrendelői oldalon egyre többen a munkaviszonyhoz hasonló pozíciót próbálnak elérni, pl. a vállalati oktatásban való részvétellel. Amikor egy tanácsadó irodai munkát végez átmenetileg, pl. a paksi atomerőműben, akkor a hasadó anyagokról szóló érvényes munkavédelmi oktatásban, vizsgázásban neki is részt kell vennie, mint az állandó alkalmazottaknak.
Az üzleti titokvédelem eszközei:
Szállítói oldalon:
A szállító által a megrendelő számára átadott anyagot védi a szerződés, ami egyúttal az első hivatalos kommunikáció a két üzleti partner között. A szükséges előre-gondolkodás a szerződésben fektethető le, ezen a ponton kell átgondolni, mit fogunk kezdeni az üzleti titokkal. Pl. részletezzük, hogy mi számít nálunk üzleti titoknak, hogy ebben ne legyen kétsége a megrendelői oldalnak.
Akár az átadott üzleti termék dokumentációja, termékleírása is üzleti titokká tehető. Valamilyen mértékben be kell látnunk az illető mű előállítási folyamatába, de ettől ez még nem válik nyilvánossá, nem használhatjuk fel más kontextusban. Kérdésként felmerülhet, amennyiben leszállítok egy művet, nem kell attól tartanom, hogy ezt átdolgozzák, valamilyen módon újra felhasználják? Gyakorlati tapasztalat; egy adott nagy cégnél írnak egy adatvédelmi szabályzatot, akkor a cég 2.500 üzleti partnere azonnal „ráharap”, megjelenik valami nagyon hasonló tartalmú szabályzattal. Ilyen jelenségek ellen szerződésben lehet védekezni, megszabva; legalább jóváhagyás legyen az átdolgozásra, újrafelhasználásra.
Szállítói oldalon technikai eszközök is rendelkezésre állnak; szoftver termék esetén pl. titkosító algoritmusokat lehet bevezetni, megelőzni annak felismerését, hogy pontosan mit is csinálunk és hogyan fejlesztettük azt az eszközt. Az un. szoftver tanúsítványok, a digitális aláírási technológia legalább arra lehetőséget ad, hogy a szoftver ellopása esetén legalább lesz rajta egy integritásvédelmi eszköz, amivel vissza lehet fejteni a szoftver valódi forrását. Vannak tartalomvédelmi szoftverek, amelyek képesek ezt a DRM technológiát alkalmazni, de már a ’90-es évektől létezik egyfajta vízjel elhelyezési megoldás is. Pl. egy térképészettel foglalkozó cég közjegyzői letétbe helyezett bizonyos térkép-hibákat, amik kizárólag a lopás esetén való azonosítást, az üzleti titoksértés megállapítását szolgálják. Hasonlóképpen, egy-egy forráskódot is letétbe lehet helyezni.
https://hu.wikipedia.org/wiki/Digitális_jogok_kezelése
http://www.hiradastechnika.hu/data/upload/file/2008/2008_11/HT0811_5.pdf
Vannak szervezési eszközök, amelyekkel szintén védeni lehet az üzleti titkot.
Ezek a megoldások nem olcsóak, a védendő üzleti titoknak jelentős értékűnek kell lenni gazdaságos alkalmazásukhoz. Harmadik fél által végzett projekt-audit megbízás során az üzleti titkok védelmét is be lehet venni a megbízásba. Régi, közismert eszköz a szellemi tulajdon szabadalmakkal és védjegy-oltalommal, nyilvános adatbázisban való védelme.
Nagyon fontos, hogy a szerződés jogi megfogalmazása, az eszközben elhelyezett belső titkosító védelem és a szervezési megoldások együttesen kerüljenek alkalmazásra, s álljon rendelkezésre az a technikai eszköztár, amelyekkel mindez ellenőrizhető.
Megfontolások a megrendelői oldalon
Sok esetben az alkalmazott megoldás lényege; ne vigyék el az adataimat, hanem jöjjenek helybe alkalmazásukkor, dolgozzanak a telephelyemen. Ilyenkor a fizikai biztonsági kontrolltól kezdve minden alkalmazást bevethetünk. Sokszor azonban ez sem elég. A telephelyen megjelenő szállító cégünk saját adatvédelmi szabályainak hatálya alá kerül, de ezt vele közölni is kell. Ez nem könnyű feladat. A meglévő szabályzatokat ilyenkor hozzá kell igazítani, ill. kivonatolni kell az adott belépő szállítóra.
Van olyan kényszerhelyzet, amikor a nem mi hívjuk be a megrendelőt. Ilyenkor célszerű a megrendelői biztonsági szintnek megfelelő állapot létrehozása. Legjobban elterjedt megoldás ilyenkor a szállító üzletbiztonsági vizsgálata. Megnézzük a cégjegyzékben, fogadhatunk magánnyomozót is a cég körülményeinek felderítésére, stb. Ezt olyan mélységben célszerű alkalmazni, amilyen mélységben adunk át adatokat, pl. attól függően, hogy a teljes ügyfél-adatbázisunkat odaadjuk, vagy csak egy kevéssé kritikus adatbázis-részt tesszük elérhetővé. Ilyenkor az ISO27000 szabványcsaládhoz nagyon hasonló kontrollokat alkalmaznak.Pl., ha adatokat adok át, akkor megnézem a cég szerver-szobáját, ott a fizikai biztonsági kontrollok érvényesülnek-e, a hűtés, kamera-kezelés, őrzés, beléptető kódok ellenőrzése, stb. Amennyiben elküldöm adataimat a szállítóhoz, akkor a szerződésben rögzíteni kell, hogy mely adatok minősülnek üzleti titoknak, melyek azok, amelyek nyilvánosságra kerülése számomra egyértelmű kárt okoz. (Ezek általában a törzsadatok.) Maga az ügyfélkapcsolat léte is kényes lehet, különösen pénzügyi területen.
Tehát a szerződésben célszerű felsorolni a titok-köröket, egy IT biztonsági rendszer konfigurációja
egyértelműen az üzleti titok körbe tartozik. A szerződésben le kell fektetni, hogy az üzletfél hogyan tudja megismerni ezeket az adatokat munkavégzéséhez. Pl. hozzáférés biztosításával, vagy a szükséges riportot magam csinálom meg neki, hogyan kapja meg, miként jut hozzá, miként kell kezelnie ezeket.
Amikor megszűnik az üzleti kapcsolat, felmerül, vissza kellene adni, vagy éppen meg kéne semmisíteni ezeket az üzleti adatokat. Különösen nehéz ez, ha nem szerződésszerűen szűnik meg a kapcsolat, hanem csődbe megy a másik partner. Mérlegelni kell, hogy milyen technikánk van, hogy a csődbe jutott partner telephelyén „beragadt” adataink semmiképpen ne jussanak ki egy ilyen helyzetben. Erre szabályokat érdemes összeállítani. Érdemes meghatározni a felelősségi szabályokat is. Azt, hogy ha kitudódik az üzleti titok, ezért milyen felelősséget vállal a másik cég. Előfordulhat, hogy a cég-méret miatt nem tudja majd a teljes reputációs kárt ellentételezni. Egy kétszemélyes cég nem képes 100 milliós kártérítést fizetni, ezért felelősség biztosítás kötését is előírhatjuk a szállítónak egy ilyen eseményre.
A jogi eszköztár két lehetősége; egyrészt egy jól megfogalmazott szerződés-rendszer, amire a nagyobb cégeknél minta-szerződések vannak. Ezek azonban az üzleti alaptevékenységre összpontosulnak. A szabályzati rendelkezések is eleve a B2B kapcsolatokra irányulnak, ezért alkalmasak lehetnek a beszállítókkal való értelmezésre. Nagyon egyszerű, követhető szabályokra van itt szükség.
A biztonságos adatkapcsolatok technikai oldaláról szólva, a megrendelő sokszor biztosít olyan „kikötőt”, ahol HTPPS kapcsolatban, vagy titkosított pendrájvon, ill. egyéb biztonságos módon közlekedhetnek adataink. Ugyanígy, a jogosultság-kezelés és a naplózás (annak ellenőrzése is) segít a titokvédelemben.
A szervezési területen a szerződő partner belső ellenőrzésének, vagy adatvédelmi információ-biztonsági területének felügyeletével lehet találkozni a gyakorlatban. Lehetőség az is, hogy egyfajta közös munkában kontrollálják az egymással kicserélt dokumentációkat, vagy közös nyilatkozatokkal minősítenek valamit üzleti titokká, vagy éppen feloldják annak minősítését, ill. megmondják, hogy milyen terjedelemben használhatók egymás adatai.
Amennyiben ez az eszköztár nem segített, vagy ezek hiánya során jogvitára kerül sor, akkor
a jogásznak kell valamilyen helyreállítást biztosítani. Teljes siker ettől nem várható, hiszen a titok már kitudódott. Jellemzően, a cégek nem szeretnek perre menni az üzleti titokkal kapcsolatban, egy jó szerződés ilyenkor is valamiféle tárgyalásos vitarendezést próbál előtérbe helyezni. Azt mondja, ha baj van, akkor először is üljünk le és próbáljunk valamilyen eredményre jutni. Lehetőség van a közös kivizsgálásra is. Ilyenkor a szállító és a megrendelő szakemberei együtt nézik meg, ténylegesen bekövetkezett-e az incidens, létrejött-e tényleges adatszivárgás. A felelősség korlátozás vagy elfogadható a nagyobb partnernek, amennyiben belefér az üzleti kockázatába, vagy üzleti biztosítással ellensúlyozható.
Átalány-kártérítést is előírhat a szerződés olyankor, amikor tudja a megrendelő, hogy az adott szállító kb. mire képes, s nem akarja egyenként, darabonként bizonyítani, felmérni egy ügyfél-szegmens kitudódás által okozott kárát, hanem az egybehangzóan megállapított adatszivárgásra átalány- kártérítést szabnak. Ez előnyös a szivárgást okozó félnek is, mert előre tudja tervezni az üzleti titokkal kapcsolatos pénzügyi kockázatot. Olyan megoldás is lehetséges, hogy a szivárgás után a szivárogtatót megkérdezzük, mennyit hajlandó visszaforgatni a bennünket ért veszteség ellentételezésére, az incidens számára pozitív kimenetelű anyagi hasznából…
Kártérítési pert lehet indítani, ha mindezen megoldási lehetőségek nem segítenek. A kár bekövetkezését, a jogellenességet, s a jogsértő cselekmény valamint a kártevés közötti okozati összefüggést kell bizonyítani. Hitelesen bizonyítani kell, hogy ténylegesen megfelelően védtük azt, amit nem akartunk, hogy ellopjanak. Csődbe jutott cégek esetében, a jogutód felel az adatok megfelelő kezeléséért, a felszámolási eljárás nem nyitja fel a vonatkozó szerződési kötelezettségeket.
Az esemény további részében kihirdették az ” Év információvédelmi szak- és diplomadolgozata – 2017″ cím nyerteseit, majd sor került a kitüntetettek előadásaira.
Móricz Pál, a Szenzor Gazdaságmérnöki Kft. ügyvezető igazgató előadása zárta a napot „Információbiztonság az energiaszolgáltató iparágban – ISO/IEC 27019” címmel.
A Hétpecsét Egyesület LinkedIn oldala :
http://www.hetpecset.hu/site/eventreg/index
Harmat Lajos