A védelem korlátai: a bank- és internetbiztonság múltja és jelene

2009.10.30. Jogi Fórum / Lakatos Márk

A Jogi Fórum 2009. október 16-án megrendezésre került konferenciáján az informatikai biztonság elméletéről, rendszereiről és gyakorlatáról, az adatvédelem jogi kérdéseiről, valamint az azonosítás és az azonosíthatóság problémáiról tartottak előadást a téma szakértői.

A Pedagógiai Szervezési és Továbbképzési Intézet szolgált helyszínéül a Jogi Fórum által szervezett, a bank- és internetbiztonság aktuális problémáit összefoglaló konferenciának. A témát információ-biztonsági szakértők, bankbiztonsági- és adatvédelmi szakemberek járták körül harminc-harmincöt perces előadásaikban.

A bevezető előadást Török Szilárd, a Constantine Tanácsadó Kft. ügyvezetője, információ-biztonsági szakértő tartotta. A szakértő hangsúlyozta: az adatvédelem szempontjából a jogászok feladata, az informatikus-szakemberekkel való együttműködés kiemelten fontos az infokommunikációs biztonságtechnika területén; éppen ezért mind a jogászok, mind pedig az informatikusok célja a jog és az informatika kommunikációjának, fedéspontjainak tisztázása az adatszivárgás tekintetében.

A szakértő előadását informatika-történeti példákkal színesítette, valamint beszámolt a különböző szervezetek által foglalkoztatott hackerek megítéléséről, az „etikus hack” és a hacker-foglalkoztatás általános jelenségéről és paradoxonáról („Miért találná meg az összes hibát valaki, amikor a hiba meglétéből él?”).

Az előadást az adatszivárgás megakadályozásának lehetőségeiről való rövid értekezés zárta, melynek megoldását a jogász és az informatikai-biztonsági szakma szorosabb együttműködésében látja a szakértő.

A Török Szilárd által előadása során felhasznált ppt fájlok elérhetőek itt→

Dr. Dósa Imre, az FHB Bankcsoport belső adatvédelmi felelőse és bankbiztonsági vezetője előadását az ügyfélazonosítás adatvédelmi, adatbiztonsági kihívásairól tartotta. A prezentációt a hagyományos (személy)azonosítás témájával, valamint annak jogi követelményeinek tárgyalásával kezdte (pl. tudás-, birtoklás- és tulajdonság alapú azonosítás alkalmazási területei). A szakember beszámolt továbbá a federált identitásmenedzsment, vagyis a más által elvégzett azonosítás elfogadása körüli szakmai diskurzusról és az identitásmenedzsment alkalmazhatóságáról a banki azonosítási folyamatok során. Dósa előadását a látható javuló tendenciák értékelésével zárta: az ún. „erős azonosítás” terjedése, az e-aláírás megjelenése és az ügyfélkapu egyre elterjedtebb használata nagy előrelépést jelent az adathalászat és az adatszivárgás leküzdésében.

A konferencia harmadik, „szigorúan gyakorlati jellegű” előadását Jakab Péter, a Bankszövetség Biztonsági Elnöke, valamint az MKB Bankbiztonsági Igazgatója tartotta, témáját a banki elektronikus IT környezetben alkalmazott adatvédelmi módszerek néhány aspektusának tárgyalása ölelte fel. Jakab prezentációját az adatvédelem kulcskérdéseivel kezdte: beszélt a megbízó azonosításáról, titokvédelemről, az adatszivárgás megelőzéséről, valamint az alkalmazottak ellenőrzéséről. Legnagyobb problémaként az adatvédelmi törvény hiányosságait említette, melynek jogereje leginkább az adatvédelmi biztos állásfoglalásai és ajánlásai alapján érvényesül, és többnyire elszakad a végrehajtható gyakorlattól, s helyenként egymásnak ellentmondó követelményeket támaszt a gyakorlattal szemben (pl. szigorú azonosítási előírásokat kell teljesíteni korlátozott azonosításhoz használható adatkezeléssel). További problémaként kiemelte, hogy az adatvédelmi törvény alkalmazója sokszor elbizonytalanodik elektronikai környezetben, pl. az IP-címek, az adatkezelés, adattárolás és adatmegőrzés kérdéseiben, a személy és azonosítói összekapcsolásában, valamint a banki szolgáltatások kezelésében. Zárszóként rámutatott az új technikák (biometrikus azonosítás) problémáira: a hangfelismerés, e-aláírás, arcfelismerés, írisz- és retina felismerés, fül- illetve tenyérlenyomat felismerés, az ujjlenyomat felismerése, a test hőtérképének vizsgálata, valamint DNS-alapú azonosítás kezelése mind olyan technológiákat igényelnek, melyekhez a jelenlegi adatvédelmi törvény és annak alkalmazója még képtelen igazodni, éppen ezért e technológiák kialakítása és meghonosítása a jogászok és informatikusok jövőbeli közös feladata lenne.

Keleti Arthur, a KFKI IT Biztonsági stratégája, az ITBN (Informatikai Biztonság Napja) főszervezője az adatvesztések nyilvánosságra hozatalára világviszonylatban tett erőfeszítésekről tartotta prezentációját. Keleti egy USA-ban felmért adatokkal operáló, adatvesztésről és adatokkal való visszaélésről készített statisztikát hozott fel példaként a magyarországi adatkarbantartási helyzet leírására: a statisztika pontos számadatokat mutatott fel az ellopott adatok származási helyéről (forrás pl. az ellopott laptop, formázatlan merevlemez szervizeltetése stb. – adatvédelmi szempontból kiemelten veszélyes környezetnek számítanak az államigazgatási és az oktatási intézmények). A statisztika bejárható utat vázolt fel arról a Magyarországon egyelőre elérni kívánt lehetőségről, hogy milyen esetben, illetve hol kellene az adat (észlelt) elvesztésének tényét bejelenteni. Keleti szerint mindenekelőtt azt a kérdést kell feltenni az adatvédelmi szakembereknek ezzel a problémával kapcsolatban, hogy „milyen hatással van a törvény az adatkezelési incidensekre?” De mivel az ezt alátámasztandó kutatási eredmények nem kifejezetten jó minőségűek, először azt kell vizsgálni, hogy milyen forrásból történt az identitáslopás. A szakember szerint az ezt megelőző első lépés egy független, központi szervezet kialakítása, aminek jelenteni lehet az adatvesztési incidenseket, és amaz erről statisztikát vezet; végeredményében pedig a vállalatok és intézmények adatbiztonsági rendszereit kell megerősíteni.

Mamuzsics Gábor, az APEH igazságügyi informatikai szakértője az információbiztonság bírósági jogi eseteiről beszélt részletesen. Előadása központi kérdéseként azt emelte ki, hogy miként ellenőrizhető az információkkal való gazdálkodás folyamata, nem sérül-e az adatkezelés folyamán azok integritása, helytálló marad-e a kezelt adatok valóságtartalma. A szakember negatív példaként említett egy nemrégiben készült uniós felmérést, amely szerint a Magyarországgal együtt csatlakozott 10 tagállam mellett uniós szinten, valamint az Egyesült Államok összehasonlításban a 14 év feletti aktív internethasználók körében 60% felett van azok aránya, akik „egyáltalán nem aggódnak személyes adataik biztonságáért.” Ezt a tendenciát, hozzáállást alátámasztandó, közigazgatási eljárásjogi- és egyéb esetek tükrében vázolta az adatkérés, adatkezelés, valamint az adatvesztés jogi folyamatát és a jogsértések következményeit. A szakember szerint meg kell valósítani azt, hogy a digitális hitelesség mindig fennálljon, mivel az elektronikus információ „megfoghatatlan dolog, és akkor lehet egy eljárásba megfelelően bevonni azt, ha a kezelés folyamata, illetve eszközei hitelesen vannak kezelve.”

A konferenciát kerekasztal-beszélgetés zárta valamennyi előadó részvételével, melynek keretében - konzultációs lehetőséget biztosítva - a szakértők kimerítően válaszoltak a hallgatóságban felmerülő kérdésekre.

  • kapcsolódó anyagok
ADATVÉDELEM
INTERNET
JOGI FÓRUM KONFERENCIÁK