Az Európai Adatvédelmi Testület közzétette 1/2021 számú iránymutatás tervezetét, amelyben esetleírásokkal szemléltetve gyakorlati szempontból mutatja be a lehetséges adatvédelmi incidensek megelőzésére, hatásainak csökkentésére, kockázat értékelésére vonatkozó lehetséges lépéseket és jó gyakorlatokat sorol fel a GDPR által megkövetelt technikai és szervezési intézkedésekre. Első cikkünk folytatásaként most az emberi hiba, az adatlopás, téves adatküldés és a social engineering által okozott incidens esetköröket és azok kezelését mutatjuk be.
Emberi hiba által okozott incidensek megelőzése és kezelése
A szervezet dolgozói által okozott szándékos és gondatlan adatvédelmi incidensek meglehetősen gyakoriak, és közös jellemzőjük, hogy nehéz felismerni a sérülékenységeket és védekezni ellenük. Az EDPB az alábbi tipikus esetköröket elemezte:
| A felmondási idejét töltő munkavállaló lementi az üzleti adatokat és később új munkahelyéről felveszi a kapcsolatot a régi ügyfelekkel. | Véletlen téves adatküldés megbízható harmadik félhez (pl. adatfeldolgozóhoz), aki azonnal értesíti az adatkezelőt a téves közlésről, majd törli az amúgy nem különleges adatokat | |
|---|---|---|
| Megelőzés | Jogosultságkezelés és kontroll | Oktatás, e-mailben file küldés korlátozása, ellenőrzés küldés előtt, fájl létrehozatal és küldés szétválasztása |
| Kockázatelemzés | Bizalmasság sérül, alacsony kockázat, nincs hatással az érintettek jogaira és szabadságaira | Bizalmasság sérül, közepes kockázat, további visszaélés nem zárható ki |
| Kockázatcsökkentés | Jogi lépések, hozzáférés korlátozása felmondáskor, loggolás, szerződéses tilalmak | Szerződéses titoktartási kötelezettség, oktatás és ellenőrzés küldés előtt |
| Teendők | Incidens nyilvántartás, bejelentés a NAIH-hoz, de érintetteket nem kell tájékoztatni | Incidens nyilvántartás, de nem kell bejelentés a NAIH-hoz és érintetteket sem kell tájékoztatni |
Az EDPB a szokásos szervezeti, műszaki és menedzsment intézkedéseket javasolja az emberi hiba által okozott incidensek megelőzésére, hatásának csökkentésére, így például a dolgozók edukálását, adatvédelmi gyakorlatok, eljárásrendek rendszeres felülvizsgálatát, jogosultság- és hozzáférés kezelést, felhasználó hitelesítését érzékeny adatok esetén, szokatlan adatáramlás ellenőrzését, külső adathordozók használatának korlátozását (CD/DVD/USB stick, etc), ún. „tiszta asztal” előírás bevezetését vagy a számítógépek lezárását nemhasználat esetén.
Elveszett vagy ellopott eszközök és iratok által okozott incidensek és kezelésük
A hordozható eszközök vagy iratok elvesztése/ellopása is gyakori incidens forrás, a kockázatelemzésben az eszköz hiánya nehézségeket okozhat. Az incidens érintheti a bizalmasságot, az adatok rendelkezésre állását (hozzáférhetőségét) és integritását is. Az EDPB az alábbi gyakori esetköröket elemezte:
| Titkosított adatokat tartalmazó, erős jelszóval védett és távolról törölhető számítástechnikai eszköz ellopása, ahol az adatok biztonsági mentésből visszaállíthatók | Munkavállaló 100.000 nem titkosított elérhetőségi adatot tartalmazó, jelszóval nem védett laptopjának ellopása, ahol az adatok biztonsági mentésből visszaállíthatók | Különleges adatokat tartalmazó, nem elzárt, nem védett iratok ellopása, másolati példány nélkül | |
|---|---|---|---|
| Megelőzés | Volt megfelelő titkosítás, erős jelszó, távoli törölhetőség, megfelelő backup | Itt nem volt megelőzés, amit kellett volna: titkosítás, erős jelszó, távoli törölhetőség, de volt megfelelő backup | Itt nem volt megelőzés, amit kellett volna: titkosítás, erős jelszó, távoli törölhetőség, másolati példány |
| Kockázatelemzés | A megelőző intézkedések miatt nincs kockázat. | Magas kockázat személyazonosság lopás veszélye, sok adat, sok érintett miatt | Magas kockázat, sok különleges adat, sok érintett miatt, iratok megsemmisítése nem zárható ki |
| Kockázatcsökkentés | Nem szükséges. | Titkosítás, erős jelszó | Nevek pszeudonimizálása, zárt szekrényben tárolás, hozzáférési szabályzat azonosítással |
| Teendők | Incidens nyilvántartás, de nem kell bejelentés a NAIH-hoz, érintetteket nem kell tájékoztatni. | Incidens nyilvántartás, bejelentés a NAIH-hoz, érintettek tájékoztatása szükséges. | Incidens nyilvántartás, bejelentés a NAIH-hoz, érintettek tájékoztatása szükséges. |
Az EDPB az alábbi szervezeti, műszaki és menedzsment intézkedéseket javasolja az emberi hiba által okozott incidensek megelőzésére, hatásának csökkentésére: eszközök titkosítása, erős jelszó alkalmazása, többfaktoros felhasználó hitelesítés, mobileszköz menedzsment használata, adattárolás mobileszköz helyett központi szerveren, biztonsági mentés és másolatok, biztonságos távoli hozzáférés (pl. VPN), eszközhasználati szabályzat, távoli törlés, szoftvertelepítés korlátozása, fizikai hozzáférés ellenőrzése.
Téves postázással okozott incidensek megelőzése és kezelése
Ezen incidensek forrása vétlen emberi hiba, amely esetekben a megelőzésen van a hangsúly. Az EDPB az alábbi tipikus esetköröket elemezte:
| Csomagok és számláik véletlen felcserélése és rossz helyre küldése a csomagok azonnali visszahívásával és jó helyre kiküldéssel | Nagyszámú bizamas adatot tartalmazó dokumentum véletlen megküldése illetéktelen címzettnek, üzenet törlés kérése | Kisszámú érintett nevét, email címét és 2 személy étel preferenciáját is tartalmazó lista küldése a listán szereplőknek tévedésből, üzenet törlés kérése | |
|---|---|---|---|
| Megelőzés | Nagyobb figyelem, ellenőrzés | E-mail küldés szabályozása, plusz kontroll | E-mail küldés szabályozása, plusz kontroll |
| Kockázatelemzés | Alacsony kockázat | Magas kockázat | Alacsony kockázat |
| Kockázatcsökkentés | Csomagok visszahívása, címzettek megkérése a számlák megsemmisítésére | Törlés kérése | Törlés kérése BCC-ben lévő körlevélben |
| Teendők | Incidens nyilvántartás, de nem kell bejelentés a NAIH-hoz, érintettek tájékoztatása sem szükséges. | Incidens nyilvántartás, bejelentés a NAIH-hoz, érintettek tájékoztatása szükséges. | Incidens nyilvántartás, de nem kell bejelentés a NAIH-hoz, érintettek tájékoztatása sem szükséges. |
Az EDPB az alábbi szervezeti, műszaki és menedzsment intézkedéseket javasolja téves adatküldés megelőzésére, hatásának csökkentésére: levélküldési szabályzat, oktatás, BCC több e-mail címzett esetén, négy szem elve küldés előtt, up-to-date címzetti adatbázis, üzenet késleltetése a visszahívás lehetővé tételére, gépelést segítő alkalmazás kikapcsolása.
Social engineering-gel okozott incidensek megelőzése és kezelése
A social engineering gyakori forrása az incidenseknek, amelynek egyik megjelenési formája a személyazonosság lopás, míg a második, az EDPB által ismertetett példa egy social engineering-gel vegyes e-mail kiszivárogtatás:
| Személyazonosság lopással e-mail cím módosítás kérelmezése szolgáltató telefonos ügyfélszolgálatán és számlalevél rossz helyre küldése emiatt | Meghatározott pénzügyi, fizetéssel kapcsolatos e-mailek kiszivárogtatása a szervezetből, személyazonosság lopással bankszámlaszám módosítás kérése, hamis számlák küldése módosított bankszámlaszámmal, munkavállalói pénzügyi adatok kiszivárgása | |
|---|---|---|
| Megelőzés | Ügyfélazonosítás és többfaktoros erős ügyfélhitelesítés, statikus tudás alapú ügyfélhitelesítés nem elegendő, ellenőrzés | |
| Kockázatelemzés | Magas kockázat (fiók átvétel, visszaélés) | Magas kockázat (adathalászat, személyazonosság lopás, csalás és pénzügyi veszteség veszélye miatt) |
| Kockázatcsökkentés | Többfaktoros erős ügyfélhitelesítés, extra kérdések feltétele, visszaigazolás kérés | Jelszó csere, e-mail küldés megállítása, üzletfelek értesítése hamis számlákról, incidens detektáló rendszer, kontroll módosítása, pénzügyi adatokat kezelőknél magasabb szintű adatbiztonság |
| Teendők | Incidens nyilvántartás, bejelentés a NAIH-hoz, érintetteket tájékoztatni szükséges | Incidens nyilvántartás, bejelentés a NAIH-hoz, érintetteket tájékoztatni szükséges |
Az EDPB a fenti táblázatban felsorolt kockázatcsökkentő intézkedéseket javasolja a hatások mérséklésére és az incidens megelőzésére social engineering esetén.
Az EDPB új esetlistája és jó gyakorlatok alapján a vállalkozásoknak felül kell vizsgálniuk eddigi kockázat értékelési eljárásaikat, szabályzataikat, incidens kezelési eljárásrendjüket és megfelelő szervezeti, technikai, menedzsment intézkedéseket és jó gyakorlatokat kell bevezetniük az adatvédelmi incidensek megelőzésére és az adatbiztonság biztosítására.
