Alig több mint egy éve van a hazai vállalatoknak arra, hogy megfelelő módon alkalmazzák az Európai Unió tavaly tavasszal elfogadott általános adatvédelmi előírásait, ami egy húsz évvel korábbi szabályozást váltott fel. A GDPR (General Data Protection Regulation) néven egy éve elfogadott rendkívül szigorú uniós szabályozás minden egyéb adat fölé helyezi a személyes adatok védelmét – emelte ki egy a témához kapcsolódó háttérbeszélgetésen Zala Mihály, az EY kibervédelmi szolgáltatások igazgatója.

Több ezer it-biztonsági állás betöltetlen

Szükség is van rá, hiszen soha nem látott mértékben terjed a kiberbűnözés, sorra dőlnek meg az adatlopási rekordok, létrejött az adatkereskedelem feketepiaca, sőt ez már lényegében egy kiterjedt árnyékgazdaság a darkneten.

A magyarországi vállalkozások irányítóinak már idejekorán el kell kezdeniük a felkészülést, hiszen a szabályok be nem tartása esetén, az új előírások szerint, az árbevétel 4 százalékának megfelelő bírságot is a nyakukba varrhatnak. (A bírságplafon 20 millió euró.) Az idő amiatt is sürget, mert minél később látnak hozzá, az átalakítás várhatóan annál többe kerül. Hogy ez mennyi, arra nem tudott megfelelő számot mondani, mert ahány ágazat, ahányféle vállalatméret, annyiféle költség.  
Zala Mihály szerint amúgy most még nem túl rózsás a hazai helyzet, kezdve attól, hogy az ezzel is összefüggő feladatok megoldásához értő IT-biztonsági szakértőkből minden korábbinál nagyobb a hiány. Becslése szerint legalább 4-5 ezer ilyen profilú állás betöltetlen, sőt úgy látja, hogy Magyarországon az újfajta elvárásokhoz értők legfeljebb ötvenen vannak.

A szabályozással viszont nem állunk rosszul, az EU-ban eddig tagországonként nagyon eltérően szabályozták az adatvédelmet, a miénk, a legutóbb 2013 nyarán elfogadott kiberbiztonsági törvény az egyik legszigorúbb. Ez azonban az állami adatvédelmet szabályozza, ezt bővíti ki jövő májustól az üzleti szférára is kiterjedő GDPR, amely egy sor korábban nem létezett új intézkedést vezet be, többek között az eddig akár titokban tarthatott biztonsági incidensek kötelező bejelentését.

A szakértő kiemelte, az, hogy valamelyik cég nem az új szabályok szerint működik, kétféle úton derülhet ki, vagy a soros vizsgálat mutatja majd ki, vagy egy bekövetkező incidens buktatja le a vállalkozást.

A cégek egy része elavult titkosítási technológiákat használ

A lehetséges kockázatok között említette Zala Mihály, hogy a hazai cégek el nem hanyagolható részénél még elavult titkosítási technológiákat és lejárt, már nem támogatott operációs rendszereket használnak. A magyar vállalatok az adataikat jellemzően külföldi felhőben tárolják és hibának nevezte azt is, hogy a fejlesztők egy adott társaság teljes rendszeréhez annak üzembe állítása után is hozzá tudnak férni.

A szakértő a személyes adatok védelme kapcsán négy új jogot is említett, ami komoly megfelelőségi problémákat okozhat a nem kellően felkészült cégeknek. Az egyik a felejtéshez való jog, vagyis az adatok későbbi letiltásának a joga. A GDPR előírja, hogy az ügyfelek egy idő után dönthetnek úgy, hogy töröltetik egy adott cégnél meglévő regisztrációjukat. A másik az adatbetekintéshez való jog biztosítása, aminél nem is az ügyféladatok megléte jelent majd gondot, hanem az, hogyan tudja majd megbízhatóan ellenőrizni a cég, hogy tényleg az adott ügyfél kérte-e az adatainak a megtekintését.

Hasonlóan nagy odafigyelést igényelnek az álnevesítéssel kapcsolatos elvárások, Ennek lényege, hogy az ügyfél biztonsága érdekében annak adatait egyetlen vállalkozás sem tárolhatja az ügyfél valódi nevén. A jövőben arra is lesz módja az ügyfeleknek, hogy maguk döntsenek az adataik máshová telepítéséről, vagyis az adathordozhatóságról.   

A témával több cikkben is foglalkoztunk, az egyikben a brit adatvédelmi szervezet részletes javaslatcsomagjáról számoltunk be, ami 12 pontban foglalta össze a vállalkozások legfontosabb teendőit. Erről részletesen itt olvashat.