Hétpecsét 65.
13 perc olvasásA Hétpecsét Információbiztonsági Egyesület 2015. március 18-án tartotta 65. szakmai fórumát.
A Hétpecsét Információbiztonsági Egyesület 2015. március 18-án tartotta 65. szakmai fórumát.
Tarján Gábor egyesületi alelnök bevezetőjében az információvédelem időszerű témáit idézte.
Ádor István, a Magyar Nemzeti Bank informatikai infrastruktúra főosztályvezetője a mobileszköz-menedzsmentről és annak üzembiztonsági aspektusairól tartotta előadását. A mobil eléréssel kapcsolatos kezdetek a 2000-es évek elejére nyúlnak vissza, a kor biztonsági igényei is ezt tükrözték. A WiFi térnyerésével egy időben jelent meg a Microsoft ActiveSync szolgáltatása (http://en.wikipedia.org/wiki/ActiveSync ), ami viszonylag szabványos webes interfészen keresztül tette elérhetővé a belső levelező rendszer teljes funkcióját. A mobil készülékek olcsóbbá válásával indult el a mobile device management, MDM. (http://en.wikipedia.org/wiki/Mobile_device_management )
Különböző gyártók, különböző termékei, különböző irányból megközelítve, de azonos célból kívánták a vonatkozó új igényeket kiszolgálni (eszköz-nyilvántartás, a készülékek központi kezelése). Ezekre a készülékekre viszonylag egységes policyt lehetett meghatározni. A különbség csak a választott operációs rendszerben nyilvánult meg.
2014. körül sok új gyártó jelent meg, s az alkalmazás-menedzsment felé tolódott el a piac. Olyan új gondok jelentek meg, amilyenekkel korábban céges hálózaton belül nem kellett foglalkozni; ha egy rendszer bárhol, bármikor elérhető, akkor ebből bármikor probléma is lehet. Ezzel a szervezet szolgáltatás-időablaka kitolódik, meg kell oldani, hogy a felhasználók bármikor jelezhessék a hibákat a helpdesknek. Megnő a szervezet kitettsége, a belső levelező rendszeren keresztül már közvetlenül a felhasználói azonosítók is támadhatóvá válnak. A mobil készülékek bonyolultabbá válásával azok meghibásodási lehetősége nő, élettartamuk csökken, a rajtuk tárolt adatok mentése is megoldandó. Ez jogi kérdéseket is felvet; a mobile device management rendszert használó üzemeltető milyen joggal férhet hozzá a munkatárs magán jellegű adataihoz, pl. SMS-eihez olyan mobil eszköz esetében, amelyet a dolgozó a cégtől kap, s amelynek használata magáncélra is engedélyezett?
A vállalatok érdeke, hogy a céges mobil felhasználók számának növekedésével ne nőjön aránytalanul a mobil eszközökre fordított beruházási összeg. A felhasználók, a trendet követve, hajlandók akár saját készüléket is vásárolni ilyen célokra, esetleges vállalati résztámogatást is igénybe véve. Sok ilyen beszerzés-megosztó megoldás található a magyar mobilszolgáltatóknál is.
Műszaki gondot jelent, hogy a dolgozók számára már nem elegendő a levelező rendszer funkcióinak elérése, képesnek kell elérniük a belső fájl-szervereken lévő adatokat, intranetes oldalakat, vagy belső webes alkalmazásokat, ill. video-, audio konferencia megoldásokat.
Biztosítani kell, hogy illetéktelenül bekerült eszközökről ne lehessen könnyen hozzáférni belső adatokhoz.
Alapvető gond, hogy az adatszivárgás elleni védelem általában a szervezet határait védi, pedig megfelelőbb megoldást jelentene az adat-csatornák védelme. Kevés mobil gyártó tud erre használható megoldást adni (veszélyt jelent, hogy chetelés közben nyom nélkül lehet állományokat be-, és kijuttatni a rendszerből).
Kétféle rendszer jelent meg az új igényekre; az egyik a mobileszköz virtualizáció; ilyenkor a mobil készüléken két operációs rendszer fut, az egyik a céges rendszereket, adatokat kezeli, s csak erről lehet elérni a céges infrastruktúrát, a másik virtualizált op-rendszer pedig a felhasználó magán-készükékekén szerepel. Ez elviekben jó megoldásnak mutatkozik, de nagy az erőforrás-igénye, a mai készülékek, s azok akkumulátora sincs erre felkészítve erre a kettős terhelésre.
Bátorítóbb megoldás a security container. Itt egyetlen operációs rendszer fut, de a céges policyból ki van kényszerítve, hogy bizonyos alkalmazások, egy biztonsági táron belül, egymást között tudjanak adatot cserélni egy alkalmazás VPN-es alkalmazással, a céges infrastruktúrával. Így adatot nem lehet kijuttatni, bejuttatni ebbe a körbe.
A szervezet adatvédelmi határa, a védelmi burok így kiterjedtebbé válik. A gondot csak a címlista jelenti, mert ilyenkor a készüléken ebből kettő szerepel; egyik a telefon normál (gyári) operációs rendszerében, s egy másik a security burkon belül, ami a belső levelező rendszerrel tartja a kapcsolatot, onnan szinkronizál.
A felhasználók számára kényelmetlen azonban egy eltérés. Megszokták az eltelt idők során, hogy az Outlook-ban sokkal könnyebb karbantartani a saját címlistájukat is, s azt onnan szinkronizálni a készülékekkel. Amennyiben a felhasználó olyan telefonszámot akar tárcsázni, amelyet a céges címlistáról tartott karban, akkor először be kell lépnie a jelszóval védett security contanierbe. A fordított irány még problémásabb, ha olyan számról hívják, ami csak a security címlistán szerepel, akkor a telefon nem fogja felismerni a hívó adatait, s nem írja ki. Vannak termékek ennek megoldására, de nem terjednek a gyakorlatban.
Gondot jelent az autentikációs sorrend kiértékelése is. A piacon elérhető legtöbb rendszer először a felhasználót azonosítja, s utána vizsgálja, hogy milyen készülékről próbál bejönni a felhasználó. Amennyiben először a felhasználó nevet, jelszót ellenőrzi, akkor ez kaput nyit a brut-force jellegű támadásokra. Mindig át kell gondolni, hogy hány hibás jelszó után zárja ki a felhasználót a rendszer.
A rendszerek az eszközt is többféleképpen azonosíthatják. A gyártók sokféle megoldást találtak, legtöbbször a serial numerical device ID-val azonosítanak, de ez átírható. Komolyabb rendszerek a SIM kártyát és a felhasználót is ellenőrzik. Ezen három adat variációja, együttállása általában beállítható. Legjobb biztonsági megoldás, ha a felhasználó név, a SIM-kártya és a device ID együttes megfelelésével juthat csak be a rendszerbe a felhasználó.
Az ellenőrzési sorrend is érdekes lehet.
A SIM-kártya védelmét azzal kívánják megoldani a gyártók, hogy ha új SIM-kártya jelenik meg a készülékben, akkor
azonnal wipe-olja, törli azt. (http://wipe.sourceforge.net/ ) A szolgáltató-váltáskor kapott új mobil új SIM-kártyája bonyolítja az ügyet…
A legtöbb rendszer alkalmas hely-azonosításra, lokalizációra, megmondja, hogy éppen hol van, vagy adott időpillanatban hol volt a telefon. A gondot az jelenti, hogy sok rendszerben ezt nem lehet kikapcsolni, pedig igény van rá, hogy ne lehessen megmondani, vagy megfelelő autentikációhoz lehessen kötni, hogy ki férhessen hozzá a lokalizációs adatokhoz. Elterjedt megoldás nincs erre.
Az MDM megoldások egy része csak felhő alapon érhető el, pedig sok cég policy-jébe ez egyáltalán nem fér bele.
A nagy gyártók jó része emiatt nem-felhő megoldásokkal is kijön már, bár ezek a megoldások jóval drágábbak és a licenc költségek is nagyobb költséggel járnak ennél.
Az MDM titkosítás esetében mindig felmerül, hogy nem csak a készüléken lévő adatokat, de magának a beszélgetésnek a titkosítását is lehetővé kell tenni. Nagyon kevés termék tud erre használható megoldást nyújtani, különösen MDM-be integrálva.
A több postaláda kezelése is gond. A kihívást az jelenti, hogy a felhasználó joggal várja el, hogy céges és magán levelező rendszerét, leveleit egyszerre tudja megnézni. Nagyon kevés rendszerrel lehet ezt jól megoldani.
Ma már kevés a klasszikus értelemben vett MDM, a security container-es megoldás jónak tűnik, de a gyártók gyerek-betegségekkel küzdenek. A fejlődés jó irányba halad, de tudomásul kell venni, hogy a policy-val központilag kikényszerített biztonsági beállítások és a készüléken érvényre jutók a készülék típusától, az operációs rendszer-verziójától függenek.
Egyértelműen növelni, javítani kell az egész szervezet hozzáállását, a hiba-bejelentéstől kezdve az adatkapcsolatok rendelkezésre állásáig. Tényként kell kezelni, hogy csökken az egész szervezet biztonsági szintje az új csatornák kinyitásával. Oktatni kell a felhasználókat a biztonsági tudatosság növelésére.
(A piacon egyébként jelenleg nincs olyan mobil készülék, amely a biztonságos digitális aláírást kezelni volna képes.)
Nem a csatornákat kell védeni, hanem az adatok védelméről kell gondoskodni!
Tesztelni kell az MDM igényeket annak meghatározására, hogy egy-egy vállalatnak valóban mire van szüksége, s kritikusan kell szemügyre venni az alkalmazni kívánt termékeket.
A piac olyan gyors változásban van, hogy kétévente új termékekkel kell számolni, gyorsan változnak a felhasználói igények, s hasonló módon a termékek funkcióköre is. Két év után a cégeknek ezeket újra meg kell vizsgálniuk.
Dr. Szabó Endre Győző, a Nemzeti Adatvédelmi és Információszabadság Hatóság elnökhelyettese a hatóság témába vágó gyakorlatáról szólt, az elmúlt három év tapasztalatai alapján. (Ez a hatóság lépett 2012. januárjától a korábbi Adatvédelmi Ombudsmani Intézmény örökébe.)
A hatáskör:
A működés kiindulópontja, a védelem tárgya a személyes adatok védelme. A tét; az egyén boldogulása a közösségen belül, ezzel arányos állami fellépésre, esetleges szankciókra van szükség. Ez az autonóm államigazgatási szerv nem utasítható, csak a törvénynek van alárendelve, független a költségvetéstől is, ebben több elődjénél. Hatásköre nem csak az adatkezelő működésének módosítására való felszólítására, de pénzügyi szankció kiszabására is kiterjed. Piaci jellegű szolgáltatása az audit.
Az itt lefolytatott audit eljárások száma évi tíz alatt van, s jelentős segítséget nyújtanak. A kibocsátott tanúsítványuk (jelentésük) arról szól, hogy a vizsgált rendszer alkalmas a jogszabályoknak megfelelő működésre. Az így nyújtott védelem azonban nem terjed ki az egyedi emberi mulasztások esetére.
Az eljárásokról:
Napi munkájuk során vannak adatvédelmi hatósági ügyeik, vizsgálati ügyeik, titokfelügyeleti eljárásaik, s a hatóság vezeti továbbra is az adatvédelmi nyilvántartást.
A hatósági vizsgálati eljárás a közigazgatási eljárás általános szabályai szerint zajlik, formalizált határidőkkel, igazságügyi szakértő kirendelésével, helyszíni szemlével, stb. Meghatározottak azok az esetek, amikor az eljárást kötelező megindítani, amikor valószínűsíthető a jogellenes adatkezelés. A lefolytatás szigorú határidőkhöz van kötve. Az adatvédelmi hatóság akár bejelentés nélkül is bekopoghat, szándékos akadályozás esetén eljárási bírságot szabnak ki.
Az eljárás vége lehet olyan opció is, hogy nem találnak jogellenességet, vagy nem tudják bizonyítani a bizonyításra váró tényeket, ilyenkor egy végzéssel megszüntetik az eljárást.
Amennyiben érdemi döntés születik, akkor elrendelik a kifogásolt adatok törlését, helyesbítését, kiadását, stb. Utasításokra is jogosultak, mondván, akkor tartják az illető adatkezelést a szabályozással és törvényekkel egybevágónak, ha a határozatban megfogalmazott intézkedéseket megteszik.
A bírságolás eszköze és nem célja a hatóságnak. Nem nagy számú határozat szól erről, de egy-egy adatkezelés során összefoglalják a hatóság álláspontját, hogy az illető piac más szereplői is értsenek belőle.
Szerencsésebb lenne, ha a hatóság közigazgatási szerződést tudna kötni egyes esetekben a piaci szereplőkkel, ill. az adatkezelőkkel. Ilyenkor az eljárás végén nem határozatot hoz a hatóság, hanem a felek a vállalást tesznek, hogy adatkezelést összhangba hozzák a hatóság elvárásaival, bizonyos időtartamon belül. Teljesítés esetén nem születik a hatóságnál kötelezést tartalmazó határozat. Ez ügyben várható az info-törvény közeli módosítása.
Szankciók kiszabásakor minden körülményt számításba kell venni. Fontos; amennyiben az interneten kerülnek nemkívánatos nyilvánosságra adatok, akkor úgy kell tekinteni, hogy a jogsérelem nem fordítható vissza.
A követeléskezelés a hatóság célkeresztjében van, s abban is marad. Nagyon sok embert érint, óriási a tétje.
Jogellenesnek minősül az a lecsengőben lévő gyakorlat, amikor a követeléskezelő a szomszédokhoz csengetett be, kisebb településeken akár a távolabbi szomszédokat is megkeresték, vagy a településen azonos nevűeket hívtak fel. Jogellenes volt, amikor olyan adatokat gyűjtöttek, ami a konkrét követelés érvényesítéséhez nem volt szükséges. Olyan adatbázisokat is összeállíthatnak ily módon, ami az érintettek hitelképességét, megbízhatóságát előnytelenül érinti.
Amennyiben egy követeléskezelő megpróbál érvényesíteni egy követelést, pl. 100 ezer Ft-ot, s hozzáteszi, hogy további 25 ezer Ft az ő saját adminisztrációs díja; ez sehol nincs szabályozva. A hatóság szerint ilyet akkor lehet érvényesíteni, s abban a mértékben, ahogy azt az eredeti, az ügyféllel kötött legelső szerződésben megállapodtak.
A követelés érvényesítése során a követeléskezelő birtokába került adatokat nem lehet másodlagos, saját célra célra felhasználni. Ez külön jogalapot képez, s lehetőség van rá, amennyiben az érintett hozzájárul, de az alapszerződés megkötésekor.
A termékbemutatók esete; gyakran a pszichikai hadviselés körét érinti. Kiindulása is rossz, olyan adatbázisokból építkeznek, amelynek eléréséhez nincs jogalapjuk. A bemutatók során megvalósuló adatkezelés gyakran tisztességtelen, olyan helyzetet teremtenek, amikor a mérlegelés lehetősége nem áll fenn. A hatóság nehezen jut be ilyenekre, mert hivatalos fellépéskor rögtön bezárulnak…Ettől eltekintve ez máig több fronton is témaként szerepel, s mindenképpen szabályozni akarják őket, hogy a tisztességtelen szereplők kiszoruljanak a piacról.
Az un. új jogalapok kérdése; 2012. január 1-től érvényesülhetnek. EU-s bírósági ítélet; az EU adatvédelmi irányelvének az érdekvédelem mérlegelésére vonatkozó jogalapját érinti. Lényege; abban az esetben, ha az adatkezelő érdekei (üzleti érdekeit is beleértve) és az adatalany jogainak korlátozása arányban áll egymással, akkor
az érintett hozzájárulásának hiányában is jogszerű lehet az adatkezelés, pl. a munkahelyi videokamera használat ügyében nem kell külön beszerezni a munkavállaló beleegyezését. Amennyiben a munkáltató szabályzatot készít, s áttekinthető módon szabályozza a kamerás megfigyelőrendszer működését, s a kezelésre előírt szabályokat betartja, akkor alkalmazhatja ezt a cikkelyt. Hasonló érvelés vonatkozik a Google Street-re is. Bizonyos, elfogadható körben ez még a magánnyomozókra is alkalmazható. Munkaadói GPS beszerelését a munkavállalónak csak munkaidőre, behatárolt körben való alkalmazásra kell elfogadnia. Amennyiben a magán használat is megengedett, akkor munkaidőn kívül ezt a megfigyelést a munkaadónak le kell állítania. Konkrét eset volt, amikor jogosnak minősült a munkavállaló azonnali hatályú felmondása, mert a munkaadó nem tájékoztatta mobiltelefonos megfigyeléséről, itt a telefonban GPS alapú geolokációs alkalmazás működött. Az ilyen eseteknek anyagi következményei is vannak.
Általános elv; mindig legyen átlátható az adatkezelés.
Az "év információbiztonsági újságírója" címmel 2015-ben Molnár Józsefet, a PC World főszerkesztőjét ismerte el az egyesület. A díj átvétele után a főszerkesztő saját, aktuális témákat felvillantó előadását hallhatták a megjelentek.
Dr. Dósa Imre, a Budapest Bank Zrt. adatvédelmi felelőse az adatvédelmi „incidensek" jogi vetületéről szólt.
Harmat Lajos