Adatvédelem


Az EDPB új iránymutatás-tervezete az adatvédelmi incidensek kockázatértékelésére és megelőzésére – II. rész

CMS Budapest - 2021. február 10.

Szerzők: dr. Domokos Márton és dr. Horváth Katalin

Az Európai Adatvédelmi Testület közzétette 1/2021 számú iránymutatás tervezetét, amelyben esetleírásokkal szemléltetve gyakorlati szempontból mutatja be a lehetséges adatvédelmi incidensek megelőzésére, hatásainak csökkentésére, kockázat értékelésére vonatkozó lehetséges lépéseket és jó gyakorlatokat sorol fel a GDPR által megkövetelt technikai és szervezési intézkedésekre. Első cikkünk folytatásaként most az emberi hiba, az adatlopás, téves adatküldés és a social engineering által okozott incidens esetköröket és azok kezelését mutatjuk be.

Emberi hiba által okozott incidensek megelőzése és kezelése

A szervezet dolgozói által okozott szándékos és gondatlan adatvédelmi incidensek meglehetősen gyakoriak, és közös jellemzőjük, hogy nehéz felismerni a sérülékenységeket és védekezni ellenük. Az EDPB az alábbi tipikus esetköröket elemezte:

 

A felmondási idejét töltő munkavállaló lementi az üzleti adatokat és később új munkahelyéről felveszi a kapcsolatot a régi ügyfelekkel.

Véletlen téves adatküldés megbízható harmadik félhez (pl. adatfeldolgozóhoz), aki azonnal értesíti az adatkezelőt a téves közlésről, majd törli az amúgy nem különleges adatokat

Megelőzés

Jogosultságkezelés és kontroll

Oktatás, e-mailben file küldés korlátozása, ellenőrzés küldés előtt, fájl létrehozatal és küldés szétválasztása

Kockázatelemzés

Bizalmasság sérül, alacsony kockázat, nincs hatással az érintettek jogaira és szabadságaira

Bizalmasság sérül, közepes kockázat, további visszaélés nem zárható ki

Kockázatcsökkentés

Jogi lépések, hozzáférés korlátozása felmondáskor, loggolás, szerződéses tilalmak

Szerződéses titoktartási kötelezettség, oktatás és ellenőrzés küldés előtt

Teendők

Incidens nyilvántartás, bejelentés a NAIH-hoz, de érintetteket nem kell tájékoztatni

Incidens nyilvántartás, de nem kell bejelentés a NAIH-hoz és érintetteket sem kell tájékoztatni

Az EDPB a szokásos szervezeti, műszaki és menedzsment intézkedéseket javasolja az emberi hiba által okozott incidensek megelőzésére, hatásának csökkentésére, így például a dolgozók edukálását, adatvédelmi gyakorlatok, eljárásrendek rendszeres felülvizsgálatát, jogosultság- és hozzáférés kezelést, felhasználó hitelesítését érzékeny adatok esetén, szokatlan adatáramlás ellenőrzését, külső adathordozók használatának korlátozását (CD/DVD/USB stick, etc), ún. „tiszta asztal” előírás bevezetését vagy a számítógépek lezárását nemhasználat esetén.

Elveszett vagy ellopott eszközök és iratok által okozott incidensek és kezelésük

A hordozható eszközök vagy iratok elvesztése/ellopása is gyakori incidens forrás, a kockázatelemzésben az eszköz hiánya nehézségeket okozhat. Az incidens érintheti a bizalmasságot, az adatok rendelkezésre állását (hozzáférhetőségét) és integritását is. Az EDPB az alábbi gyakori esetköröket elemezte:

 

Titkosított adatokat tartalmazó, erős jelszóval védett és távolról törölhető számítástechnikai eszköz ellopása, ahol az adatok biztonsági mentésből visszaállíthatók

 

Munkavállaló 100.000 nem titkosított elérhetőségi adatot tartalmazó, jelszóval nem védett laptopjának ellopása, ahol az adatok biztonsági mentésből visszaállíthatók

Különleges adatokat tartalmazó, nem elzárt, nem védett iratok ellopása, másolati példány nélkül

 

Megelőzés

Volt megfelelő titkosítás, erős jelszó, távoli törölhetőség, megfelelő backup

Itt nem volt megelőzés, amit kellett volna: titkosítás, erős jelszó, távoli törölhetőség, de volt megfelelő backup

Itt nem volt megelőzés, amit kellett volna: titkosítás, erős jelszó, távoli törölhetőség, másolati példány

Kockázatelemzés

A megelőző intézkedések miatt nincs kockázat.

Magas kockázat személyazonosság lopás veszélye, sok adat, sok érintett miatt

Magas kockázat, sok különleges adat, sok érintett miatt, iratok megsemmisítése nem zárható ki

Kockázatcsökkentés

Nem szükséges.

Titkosítás, erős jelszó

Nevek pszeudonimizálása, zárt szekrényben tárolás, hozzáférési szabályzat azonosítással

Teendők

Incidens nyilvántartás, de nem kell bejelentés a NAIH-hoz, érintetteket nem kell tájékoztatni.

Incidens nyilvántartás, bejelentés a NAIH-hoz, érintettek tájékoztatása szükséges.

Incidens nyilvántartás, bejelentés a NAIH-hoz, érintettek tájékoztatása szükséges.

Az EDPB az alábbi szervezeti, műszaki és menedzsment intézkedéseket javasolja az emberi hiba által okozott incidensek megelőzésére, hatásának csökkentésére: eszközök titkosítása, erős jelszó alkalmazása, többfaktoros felhasználó hitelesítés, mobileszköz menedzsment használata, adattárolás mobileszköz helyett központi szerveren, biztonsági mentés és másolatok, biztonságos távoli hozzáférés (pl. VPN), eszközhasználati szabályzat, távoli törlés, szoftvertelepítés korlátozása, fizikai hozzáférés ellenőrzése.

Téves postázással okozott incidensek megelőzése és kezelése

Ezen incidensek forrása vétlen emberi hiba, amely esetekben a megelőzésen van a hangsúly. Az EDPB az alábbi tipikus esetköröket elemezte:

 

Csomagok és számláik véletlen felcserélése és rossz helyre küldése a csomagok azonnali visszahívásával és jó helyre kiküldéssel

Nagyszámú érzékeny adatot tartalmazó dokumentum véletlen megküldése illetéktelen címzettnek, üzenet törlés kérése

Kisszámú érintett nevét, email címét és 2 személy étel preferenciáját is tartalmazó lista küldése a listán szereplőknek tévedésből, üzenet törlés kérése

Megelőzés

Nagyobb figyelem, ellenőrzés

E-mail küldés szabályozása, plusz kontroll

E-mail küldés szabályozása, plusz kontroll

Kockázatelemzés

Alacsony kockázat

Magas kockázat

Alacsony kockázat

Kockázatcsökkentés

Csomagok visszahívása, címzettek megkérése a számlák megsemmisítésére

Törlés kérése

Törlés kérése BCC-ben lévő körlevélben

Teendők

Incidens nyilvántartás, de nem kell bejelentés a NAIH-hoz, érintettek tájékoztatása sem szükséges.

Incidens nyilvántartás, bejelentés a NAIH-hoz, érintettek tájékoztatása szükséges.

Incidens nyilvántartás, de nem kell bejelentés a NAIH-hoz, érintettek tájékoztatása sem szükséges.

Az EDPB az alábbi szervezeti, műszaki és menedzsment intézkedéseket javasolja téves adatküldés megelőzésére, hatásának csökkentésére: levélküldési szabályzat, oktatás, BCC több e-mail címzett esetén, négy szem elve küldés előtt, up-to-date címzetti adatbázis, üzenet késleltetése a visszahívás lehetővé tételére, gépelést segítő alkalmazás kikapcsolása.

Social engineering-gel okozott incidensek megelőzése és kezelése

A social engineering gyakori forrása az incidenseknek, amelynek egyik megjelenési formája a személyazonosság lopás, míg a második, az EDPB által ismertetett példa egy social engineering-gel vegyes e-mail kiszivárogtatás:

 

Személyazonosság lopással e-mail cím módosítás kérelmezése szolgáltató telefonos ügyfélszolgálatán és számlalevél rossz helyre küldése emiatt

Meghatározott pénzügyi, fizetéssel kapcsolatos e-mailek kiszivárogtatása a szervezetből, személyazonosság lopással bankszámlaszám módosítás kérése, hamis számlák küldése módosított bankszámlaszámmal, munkavállalói pénzügyi adatok kiszivárgása

Megelőzés

Ügyfélazonosítás és többfaktoros erős ügyfélhitelesítés, statikus tudás alapú ügyfélhitelesítés nem elegendő, ellenőrzés

 

Kockázatelemzés

Magas kockázat (fiók átvétel, visszaélés)

Magas kockázat (adathalászat, személyazonosság lopás, csalás és pénzügyi veszteség veszélye miatt)

Kockázatcsökkentés

Többfaktoros erős ügyfélhitelesítés, extra kérdések feltétele, visszaigazolás kérés

Jelszó csere, e-mail küldés megállítása, üzletfelek értesítése hamis számlákról, incidens detektáló rendszer, kontroll módosítása, pénzügyi adatokat kezelőknél magasabb szintű adatbiztonság

Teendők

Incidens nyilvántartás, bejelentés a NAIH-hoz, érintetteket tájékoztatni szükséges

Incidens nyilvántartás, bejelentés a NAIH-hoz, érintetteket tájékoztatni szükséges

Az EDPB a fenti táblázatban felsorolt kockázatcsökkentő intézkedéseket javasolja a hatások mérséklésére és az incidens megelőzésére social engineering esetén.

Az EDPB új esetlistája és jó gyakorlatok alapján a vállalkozásoknak felül kell vizsgálniuk eddigi kockázat értékelési eljárásaikat, szabályzataikat, incidens kezelési eljárásrendjüket és megfelelő szervezeti, technikai, menedzsment intézkedéseket és jó gyakorlatokat kell bevezetniük az adatvédelmi incidensek megelőzésére és az adatbiztonság biztosítására.




A hozzászóláshoz szükséges!


A hozzászólásokban leírtak kizárólag a szerző álláspontját tükrözik!

Az oldal tartalma nem minősül jogi tanácsadásnak.
Kérjük olvassa el a Jogi Fórum felhasználási feltételeit.