Az EDPB új iránymutatás-tervezete az adatvédelmi incidensek kockázatértékelésére és megelőzésére

Az Európai Adatvédelmi Testület (EDPB) közzétette 1/2021 számú iránymutatás tervezetét, amelyben esetleírásokkal szemléltetve gyakorlati szempontból mutatja be az adatvédelmi incidensek megelőzésére, hatásaiknak csökkentésére, és a kapcsolódó kockázatok értékelésére vonatkozó lehetséges lépéseket, továbbá jó gyakorlatokat sorol fel a GDPR által megkövetelt technikai és szervezési intézkedésekre.

Cikkünk első részében a zsarolóvírus által okozott incidensekkel és az adatszivárgást¹ eredményező támadásokkal kapcsolatos példákat és javaslatokat mutatjuk be.

Zsarolóvírus (ransomware) által okozott incidensek megelőzése és kezelése

A ransomware támadás során a támadó egy rosszindulatú kóddal titkosítja a szervezet által kezelt személyes adatokat, a visszafejtési kódért cserébe pedig váltságdíjat kér.

Az EDPB két tipikus esetet elemzett részletesen:

	Az adatkezelő a ransomware támadás által érintett adatállományát titkosítva tárolta, a támadók ezért csak titkosított adatokhoz fértek hozzá, de nem szivárogtatták ki azokat. Az adatok útja követhető volt, az adatkezelő rendelkezett biztonsági mentéssel, és néhány órán belül visszaállította az adatokat.	A ransomware támadás által érintett adatállomány nem volt titkosítva. Az adatok útja követhető volt, de az adatkezelő nem rendelkezett elektronikus biztonsági mentéssel – az adatokat papíralapú archívumból állították vissza, 5 munkanap alatt – ez kisebb késésekhez vezetett a megrendelések teljesítésében.
Megelőzés	Frissítések és javítások megfelelő kezelése (patch management – az ismert rendszerhibák azonnali kijavítása érdekében), rosszindulatú programok felismerésére szolgáló rendszer (anti-malware detection system), biztonsági mentés, továbbá oktatás a munkavállalók számára, hogy felismerjék ezt a típusú támadást. A biztonsági másolatokat a fő rendszerről leválasztva kell tárolni.
Kockázatelemzés	A rosszindulatú kód megfelelő azonosítása, valamint annak vizsgálata, hogy a támadás által érintett adatok útja követhető-e. Történt-e „a bizalmas jelleg sérülése” (személyes adatok jogosulatlan vagy véletlen közlése vagy az ilyen adatokhoz való jogosulatlan vagy véletlen hozzáférés), illetve a „rendelkezésre állás sérülése” (a személyes adatokhoz való hozzáférés véletlen vagy jogosulatlan elvesztése vagy a személyes adatok véletlen vagy jogosulatlan megsemmisítése). Minden esetben fontos vizsgálni az incidens típusát, valamint az érintett adatok jellegét, érzékenységét és mennyiségét.	A támadás módszerének vizsgálata, a rosszindulatú kód típusának azonosítása, valamint a tűzfal-naplók tanulmányozása a támadás lehetséges következményeinek megértése érdekében. Ebben a példában a zsarolóvírus titkosította a személyes adatokat, de nem fért hozzá magukhoz az adatokhoz. „A bizalmas jelleg sérülése” feltételezhetően nem történt, de a „rendelkezésre állás sérülése” igen. Az elektronikus biztonsági mentés hiánya, valamint az adatokhoz való hozzáférés kockázatnövelő tényező.
Kockázatcsökkentés	Az érintett rendszer rosszindulatú kódtól mentes visszaállítása, a sebezhetőségek kijavítása, és az érintett adatok helyreállítása (javasolt idő: 72 óra).	Biztonsági másolat nélkül a személyes adatok elvesztésének orvoslása csak korlátozottan lehetséges – az adatokat újra össze kell gyűjteni, kivéve, ha más forrásból rendelkezésre állnak (például e-mailekből).
Teendők	Az incidenst rögzíteni kell a belső incidens-nyilvántartásban. A NAIH-ot és az érintetteket alapesetben nem kell értesíteni, kivéve, ha az incidens jellege alapján a kockázatelemzés más következtetésre jut.	Az incidenst rögzíteni kell a belső incidens-nyilvántartásban. A NAIH-ot értesíteni kell, mert az adatok visszaállítása időigényes, az adatkezelő tevékenységében késedelem merülhet fel, és nagyszámú metaadat (naplózási adat, időbélyegző) nem visszaállítható. Komplexebb esetekben az adatvisszaállítás során biztosítani kell az adatok integritását, a metaadatokkal való összhangot, az adatstruktúrákon belüli helyes kapcsolatokot, valamint ellenőrizni kell az adatok pontosságát – ez jelentős erőforrásokat és erőfeszítéseket igényel. Az érintetteket abban az esetben kell értesíteni, ha az incidens következményei érintik őket (például: hosszabb adatvisszaállítási idő, munkabér késedelmes kifizetése, pénzügyi veszteség, illetve, ha az érintettek információi szükségesek az adatok helyreállításához).

Specifikus és magasabb kockázatú példaként említi az EDPB a ransomware támadások között, ha az egy kórház / egészségügyi szolgáltató rendszerét és nagyszámú (több ezer) munkavállaló és beteg adatát éri, valamint az adatok visszaállítása hosszabb ideig (2 munkanap) tart, ami jelentős késésekhez vezet (megszakított / elhalasztott műtétek, szolgáltatási szint csökkenés). Ebben az esetben az incidenst rögzíteni kell a belső incidens-nyilvántartásban, a NAIH-ot és az érintetteket pedig értesíteni kell.

Szintén magasabb a kockázat, és értesíteni kell az incidensről a NAIH-ot és az érintetteket, ha a támadás során a támadó érzékenyebb, személyiséglopáshoz vagy csaláshoz felhasználható adatokhoz (például azonosító okmányok adataihoz, bankkártya adatokhoz) fér hozzá, illetve kiszivárogtatja azokat. Az érintetteket publikusan, pl. a vállalat weboldalán akkor kell értesíteni, ha kapcsolattartási adatok nem állnak rendelkezésre, és az ilyen kommunikáció nem jár további negatív következményekkel az érintettek számára. Mivel a zsarolóvírussal elkövetett támadások akár napokig is észrevétlenek maradhatnak, folyamatosan hozzáférhetetlenné téve az adatokat, akár több biztonsági mentés sem lehet elegendő az adatok visszaállításához. A biztonsági mentéseket mindig a fő informatikai rendszertől elkülönítve kell tárolni.

Javasolt műszaki és szervezési intézkedések

Az EDPB ransomware támadások megelőzésére az alábbi műszaki és szervezési intézkedéseket javasolja:

A firmware, az operációs rendszer és az alkalmazásszoftverek naprakészen tartása a szervereken, az ügyfélgépeken, az aktív hálózati összetevőkön és minden egyéb, ugyanazon a LAN-on (beleértve a Wi-Fi-eszközöket is) működő gépen, továbbá a javítások naplózása.
Az adatrendszerek és hálózatok szegmentálása vagy elkülönítése, a rosszindulatú programok szervezeten belüli és a külső rendszereken való elterjedésének elkerülése érdekében.
Korszerű, biztonságos és tesztelt biztonsági mentési eljárás bevezetése. A közép- és hosszú távú biztonsági mentéshez szükséges adathordozókat el kell különíteni az operatív adattárolástól, hogy az utóbbi sikeres támadás esetén se legyen elérhető egy harmadik fél számára (például napi biztonsági mentés, illetve heti teljes biztonsági mentés).
Megfelelő, naprakész, hatékony és integrált anti-malware szoftver, valamint tűzfal és behatolás-észlelő és -megelőző rendszer használata.
A hálózati forgalom tűzfalon / behatolás-észlelésen keresztül történő irányítása, akár távmunka estén is (például az internet elérésekor VPN-kapcsolat a szervezeti biztonsági mechanizmusokhoz).
A munkavállalók oktatása az informatikai támadások felismerése és megelőzése érdekében. A munkavállalóknak fel kell tudni ismerniük, amikor támadás történik, valamint, hogy hogyan lehet a végpontot kihúzni a hálózatból. A támadás tényét kötelesek haladéktalanul jelenteni az illetékes biztonsági munkatársnak.
Mechanizmus a kapott e-mailek és üzenetek hitelességének és megbízhatóságának felismerésére.
Fontos a rosszindulatú kód típusának azonosítása, hogy támadás következményei láthatóvá váljanak és a kockázat csökkentése érdekében meghozzák a megfelelő intézkedéséket. Ha a ransomware támadás sikeres volt, és nincs elérhető biztonsági másolat, például a https://www.nomoreransom.org/ eszközei használhatók az adatok visszanyerésére.
Az összes napló továbbítása vagy replikálása egy központi naplószerverre (ideértve esetleg a naplóbejegyzések aláírását vagy kriptográfiai időbélyegzését).
Erős titkosítás és többlépcsős hitelesítés, különös tekintettel az informatikai rendszerek adminisztratív hozzáférésére, a megfelelő kulcs- és jelszókezelésre.
Rendszeres biztonsági rés és behatolási teszt.
Számítógépes biztonsági eseményekre reagáló csoport (CSIRT) vagy számítógépes vészhelyzeti reagálási csoport (CERT) létrehozatala a szervezeten belül, vagy csatlakozás egy CSIRT / CERT kollektívához. Incidens-elhárítási terv, helyreállítási terv és üzletmenet-folytonossági terv készítése, és rendszeres tesztelése.

Adatszivárgást eredményező támadások

Az ilyen jellegű támadások kihasználják az adatkezelő által az interneten keresztül harmadik feleknek kínált szolgáltatások sérülékenységeit – ilyenek például az injection támadások vagy egy weboldal feltörése. Annyiban hasonlíthatnak a ransomware támadásokra, hogy a kockázatot illetéktelen harmadik fél okozza, de ezeknek a támadásoknak a célja általában a személyes adatok lemásolása, kinyerése vagy az adatokkal való visszaélés. Az eredmény jellemzően „a bizalmas jelleg sérülése”, illetve az „integritás sérülése” (személyes adatok jogosulatlan vagy véletlen módosítása).

Az EDPB az alábbi példákkal szemlélteti ezeknek a támadásoknak a jellegét:

	Online úton állásra jelentkezők adatainak kiszivárogtatása a weboldalon elhelyezett rosszindulatú kód segítségével. A telepített rosszindulatú programkészlet lehetővé tette a támadó számára, hogy el távolítsa az adatszivárgás előzményeit, és engedélyezze a kiszolgálón történő adatkezelés nyomon követését, valamint a személyes adatok ellopását. A programkészletet csak 1 hónappal a telepítését követően fedezték fel.	Egy SQL Injection biztonsági rést kihasználva a támadók hozzáfértek a weboldal adatbázisához. A felhasználók csak álneveket választhattak felhasználónévként, e-mail címeket nem. Az adatbázisban tárolt 1.200 felhasználó jelszavát erős algoritmussal kivonatolták. Az adatkezelő e-mailben kérte a felhasználókat, hogy változtassák meg jelszavukat, különösen, ha használták más szolgáltatásokhoz is.
Megelőzés	Folyamatos rendszerfrissítés, különleges adatok titkosítása, az alkalmazások erős hitelesítése, brute force támadások elleni intézkedések. A felhasználói inputok elkerülése (escaping) vagy fertőtlenítése (sanitising), amely biztosítja, hogy csak megfelelően formázott adatok kerülnek a rendszerb. Ebben a konkrét esetben a gyártási környezetben működő, a fájl integritását figyelő eszközök segíthettek volna a kódinjekció észlelésében.	Az adatbázisban szereplő jelszavakat naprakész módszerrel kivonatolták (hash), amely csökkenti a kockázatot, figyelembe vélve az adatok természetét, érzékenységét és mennyiségét.
Kockázatelemzés	Fel kell mérni az incidensben érintett személyes adatok jellegét, érzékenységét és mennyiségét. Az online űrlapokon szereplő adatok fontos információkat tartalmaznak, és ezekkel többféle módon is vissza lehet élni (kéretlen reklám küldése, személyazonosság-lopás stb.).	Az érintettek elérhetőségei (pl. e-mail címek vagy telefonszámok) nem voltak veszélyben, így nem voltak kitéve csalási kísérleteknek (például adathalász e-mailek vagy megtévesztő üzenetek). Korlátozott számú bejelentkezési kísérlet engedélyezésével meg lehet akadályozni a brute force támadások sikerességét.
Kockázatcsökkentés	Az adatbázist össze kell hasonlítani a biztonsági mentés során tárolt adatbázissal, az informatikai infrastruktúrát pedig frissíteni kell. Az összes érintett rendszert az utolsó ismert tiszta állapotba kell visszaállítani, orvosolni kell a sebezhetőséget és új biztonsági intézkedéseket kell végrehajtani a hasonló incidensek jövőbeni elkerülése érdekében (például a fájl integritásának ellenőrzése és biztonsági auditok). Ha a személyes adatokat nem csak kiszivárogtatták, hanem törölték is, akkor az adatkezelőnek helyre kell állítania azokat. Ehhez szükség lehet az adatok napi szintű mentésére, és megfelelő belső szabályzat szerinti megőrzésére.	Az érintettek önkéntes tájékoztatása csökkenti a kockázatot, mivel az az érintettek megtehetik a szükséges lépéseket (például a jelszavuk megváltoztatása). Az adatkezelőnek ki kell javítania a sérülékenységet, és új biztonsági intézkedéseket kell bevezetnie – például a rendszeres biztonsági auditok a weboldalon.
Teendők	Az incidenst rögzíteni kell a belső incidens-nyilvántartásban. Mind a NAIH-ot, mind az érintettek értesíteni kell.	Az incidenst rögzíteni kell a belső incidens-nyilvántartásban. A NAIH-ot és az érintetteket alapesetben nem kell tájékoztatni (de az érintettek önkéntes értesítése jó gyakorlat).

A bank online támadást szenvedett el – a weboldal sérülékenysége miatt körülbelül 100.000 érintettre vonatkozó adat (név, vezetéknév, nem, születési dátum és hely, adószám, felhasználói azonosító kódok) szivárgott ki. Ennek segítségével a támadó körülbelül 2.000 felhasználói fiókba tudott bejelentkezni. Az adatkezelő a nagyszámú bejelentkezési kísérlet észlelését követően kikapcsolta a weboldalra történő bejelentkezést és a veszélyeztetett számlák esetében jelszóváltást kért. Az adatkezelő értesítette azokat a felhasználókat, akiknek jelszavai sérültek, vagy adatai kiszivárogtak.
Megelőzés	A rendkívül személyes jellegű adatokat, így érzékeny adatokat, pénzügyi információkat kezelő adatkezelők adatbiztonsági felelőssége nagyobb – biztonsági műveleti központ létesítése, megelőzési, felderítési és reagálási intézkedések bevezetése.
Kockázatelemzés	Az incidens a személyazonosító adatokon és a felhasználói azonosítókon túl pénzügyi adatokat is érint. Az érintett személyek száma magas. Az adatok lehetővé teszik az érintettek egyedi azonosítását, egyéb információkat tartalmaznak róluk (nem, születési dátum és hely), és a támadó kitalálhatja az ügyfelek jelszavait, vagy adathalász kampányt indíthat az ügyfelek felé. Elképzelhető a közvetlen (pl. pénzügyi veszteség) és közvetett kár (pl. személyazonosság-lopás vagy csalás) bekövetkezése.
Kockázatcsökkentés	Az incidens után az adatkezelő kijavította a weboldal sebezhetőségét és további lépéseket tett a hasonló incidensek megakadályozása érdekében: kétfaktoros hitelesítés és az erőteljesebb ügyfél-hitelesítés.
Teendők	Az incidenst rögzíteni kell a belső incidens-nyilvántartásban. Mind a NAIH-ot, mind a 100.000 érintettet értesíteni kell.

Javasolt műszaki és szervezési intézkedések

Az EDPB az adatszivárgást eredményező támadások megelőzésére az alábbi műszaki és szervezési intézkedéseket javasolja:

Legkorszerűbb titkosítás és kulcskezelés, különösen akkor, amikor jelszavakat, érzékeny adatokat vagy pénzügyi adatokat kezelnek.
A rendszer naprakészen tartása (szoftver és firmware). Az adatkezelőnek nyilvántartást kell vezetnie az összes elvégzett frissítésről, ideértve azok alkalmazásának idejét is.
Erős hitelesítési módszerek, például kétfaktoros hitelesítési és hitelesítési kiszolgálók használata, naprakész jelszószabályzattal kiegészítve.
A felhasználói adatok szűrése (lehetőség szerint „fehérlistázással”), a felhasználói bemenetek szűrését és a brute force megelőzését (például az ismételt próbálkozások maximális mennyiségének korlátozását).
Erős felhasználói jogosultság és hozzáférés-felügyeleti szabályzat.
Megfelelő, naprakész, hatékony és integrált tűzfal, behatolás-észlelő és egyéb behatolásvédelmi rendszerek használata.
Rendszeres informatikai biztonsági auditok és sebezhetőségi értékelés (penetrációs/ áttörési tesztek).
Rendszeres felülvizsgálat és tesztelés annak érdekében, hogy a biztonsági másolatok felhasználhatók legyenek olyan adatok helyreállítására, amelyek integritása vagy elérhetősége károsult.

¹Adatok kiszivárogtatása (Data Exfiltration): Miután az érzékeny adatokat, információkat a támadó azonosította, az adatokat általában először egy olyan belső számítógépre juttatja el, ahol egy elsődleges elemzés, válogatás és tömörítés történik, majd az így összeállított információk kijuttatása egy külső szerverre, amelyet a támadó közvetlenül elér

Süti	Időtartam	Leírás
COOKIE_SUPPORT	1 year	Ezt a sütit a Liferay állítja be. Ez a süti annak ellenőrzésére szolgál, hogy a látogató böngészője támogatja-e a sütiket.
JSESSIONID		JSP-ben írt webhelyek használják. Általános célú platform-munkamenet sütik, amelyek a felhasználók állapotának az oldalletöltések közötti fenntartására szolgálnak.
PHPSESSID		Ez a süti a PHP-alkalmazásokban található. A cookie a felhasználók egyedi munkamenet-azonosítójának tárolására és azonosítására szolgál a felhasználói munkamenet kezelése céljából a weboldalon. A munkamenet-süti a böngésző összes ablakának bezárásakor törlődik.
SERVERID		Ez a süti arra szolgál, hogy a felhasználót egy adott szerverhez rendelje, így jobb és gyorsabb szerveridőt biztosít. Emlékszik arra, hogy melyik szerver szállította az utolsó oldalt a böngészőnek. Segít a terheléselosztásban is.
viewed_cookie_policy	1 year	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.

Süti	Időtartam	Leírás
Gdyn	1 year 1 month	Ezt a sütit a Gemius szolgáltató állítja be. Ezt a sütit a MOSS és a fejlett webstatisztikák technikai munkamérésének végrehajtásához használják.
GUEST_LANGUAGE_ID	1 year	Ez a süti a látogatók által preferált nyelvi azonosító tárolására szolgál.

Süti	Időtartam	Leírás
_ga	2 years	Ezt a sütit a Google Analytics telepíti. A cookie-t a látogatói, munkamenet- és kampányadatok kiszámítására és a webhely használatának nyomon követésére használják a webhely analitikai jelentéséhez. A cookie-k névtelenül tárolják az információkat, és egy véletlenszerűen generált számot rendelnek hozzá az egyedi látogatók azonosításához.
_gat_UA-112481-1	1 minute	Ez a Google Analytics által beállított mintatípusú cookie, ahol a névben lévő mintaelem tartalmazza a fiók vagy a weboldal egyedi azonosító számát, amelyre vonatkozik. Ez a _gat cookie egy változata, amelyet a Google által rögzített adatok mennyiségének korlátozására használnak a nagy forgalmú webhelyeken.
_gid	1 day	Ezt a sütit a Google Analytics telepíti. A süti arra szolgál, hogy információkat tároljon arról, hogy a látogatók hogyan használják a weboldalt, és segít a weboldal teljesítményéről szóló elemzési jelentés elkészítésében. Az összegyűjtött adatok között szerepel a látogatók száma, a forrás, ahonnan érkeztek, és a meglátogatott oldalak névtelen formában.
UID	2 years	No description available.

Süti	Időtartam	Leírás
_goa3session	2 days	Ezt a sütit a szolgáltató Adverticum állítja be. Ezt a sütit a hirdetések kiszolgálásának folyamatához és a hirdetők számára statisztikai adatok gyűjtéséhez használják.
fr	3 months	A sütit a Facebook állítja be, hogy releváns hirdetéseket jelenítsen meg a felhasználóknak, valamint mérje és javítsa a hirdetéseket. A cookie a felhasználó viselkedését is nyomon követi az interneten keresztül azokon az oldalakon, amelyek Facebook pixellel vagy Facebook social pluginnal rendelkeznek.
Gtest	1 year 1 month	Ezt a sütit a felhasználói viselkedés és a weboldalon végzett tevékenységek gyűjtésére használják a weboldal optimalizálása érdekében. Segít továbbá a Google Ads és a Google Analytics számára a látogatói információk marketing célú összeállításában.
i	1 year	Nincs információ.
IDE	1 year 24 days	A Google DoubleClick használja, és információkat tárol arról, hogy a felhasználó hogyan használja a weboldalt és minden más hirdetést a weboldal meglátogatása előtt. Ezt arra használják, hogy a felhasználóknak a felhasználói profilnak megfelelő, számukra releváns hirdetéseket jelenítsenek meg.
mc	1 year 1 month	Ez a cookie a Quantserve-hez kapcsolódik, hogy anonim módon nyomon követhesse, hogy a felhasználó hogyan lép kapcsolatba a weboldallal.
test_cookie	15 minutes	Ezt a sütit a doubleclick.net állítja be. A cookie célja annak megállapítása, hogy a felhasználó böngészője támogatja-e a cookie-kat.
VISITOR_INFO1_LIVE	5 months 27 days	Ezt a sütit a Youtube állítja be. A weboldalon beágyazott YouTube-videók információinak nyomon követésére szolgál.
YSC	session	Ezt a sütit a Youtube állítja be, és a beágyazott videók megtekintésének nyomon követésére szolgál.

Süti	Időtartam	Leírás
_goa3test	2 years	No description available.
_ia_uid	5 months 27 days	No description
_ia_version	5 months 27 days	No description
CONSENT	16 years 6 months	No description
INX_CHECKER2	16 years 6 months	No description available.
legacy-psid		No description available.
nxdigitolvasosession		No description
psid	session	Nincs elérhető információ.
yt-remote-connected-devices	never	No description available.
yt-remote-device-id	never	No description available.