Személyes és üzleti adataink digitális biztonsága

Adatvédelem & Informatikai biztonság

Főként alkalmazottak lopnak adatokat a cégektől

2017. május 09. - ITsec

Forrás: 2016. december 19. hétfő - 15:01 / piacesprofit.hu

http://www.piacesprofit.hu/infokom/fokent-alkalmazottak-lopnak-adatokat-a-cegektol/

A digitális adatok a legsérülékenyebb vagyontárgyak. Mivel másolhatók, eltulajdonításukat gyakran nem is veszi észre sértett, hogy kárt szenvedett. A metaadatok gyakran sokkal többet érnek, mint maguk a fájlok, hangsúlyozta Csíki Ádám, az EY senior managere a Piac & Profit 2016-os K+F és Innováció konferenciáján.

Lassan nem lesz túlzás azt állítani, hogy az adatháborúk korában élünk. Ma már az is megesik, hogy kínai fiatalok éveken át járnak amerikai egyetemekre, bekerülnek a multikhoz, remekül abszolválják a feladataikat, majd kiderül róluk, hogy másfél-két éven át adatokat szivárogtattak ki Kínának. Az ilyen botrányos sztorik mögött vélhetően titkosszolgálati és/vagy a konkurencia által indított, ipari kémkedésre vonatkozó küldetés húzódik meg. Az alanyok egyszerűen lopási szándékkal indultak el amerikai tanulmányútjukra, s nem azért, hogy ott letelepedjenek és karriert csináljanak, vélekedett Csíki Ádám, az EY Magyarország senior managere a Piac & Profit K+F Innováció konferenciáján. (Itt olvashatja a konferencia összefoglalóját.)

A digitális adatok másolhatósága megnehezíti a bűncselekmény felismerését. Hiába tulajdonítják el ugyanis, az adat ott marad. Mintha nem történt volna semmilyen kihágás.

fotó: freeimages.com

fotó: freeimages.com

Az ellopás mellett a megsemmisítés is súlyos tett. Nem mindig könnyű kideríteni, hogy az illető szánt szándékkal törölt ki adatokat vagy véletlenül, tévedésből. “Az infrastruktúra szabotálása manapság mindennek a szabotálását jelenti”, mondta Csíki Ádám, hiszen minden üzleti, termelési, nyilvántartási, logisztikai stb. folyamat gépeken fut.

E tekintetben gyakran sokkal többet érnek a metaadatok, mint a fájlok maguk, amikben az üzleti előnyt vagy szakmai titkot jelentő adatok vannak. Ugyanis a metaadat árulja el, hogy a szóban forgó fájl(ok)hoz hányan fértek hozzá, mikor, kik módosították, stb. A digitális naplózás elengedhetetlen, hangsúlyozta a szakértő, ezzel követhetjük ugyanis, hogy kinek volt lehetősége hozzátenni egy dokumentumhoz és ki tette meg. Ennek ellenére – hangsúlyozta Csíki Ádám, még nem látott olyan rendszert, ahol ez teljesen követhető volt.

Bennfentes elkövetők

Az EY felmérésében a megkérdezettek 56%-a tartotta fontosnak az adatszivárgás megakadályozását. Mivel a szabotázst sok esetben alkalmazottak követik el, a belső fenyegetettség felszámolása, a károk helyrehozása átlagosan 54(!) napba telik. (Más felmérések szerint is cégen belül van a legtöbb gond.)

Amerikai statisztikák szerint az USA-ban a vállalatok 72%-a egyszerűen nem jelenti a bűnüldöző szerveknek, hogy bűncselekmény történt, mert “senki sem szereti kiteregetni a szennyest”. Az adatlopások megtörténte csökkenti a cég iránti külső bizalmat, mert ahol ilyesmi megtörténhet, ott nyilvánvalóan nincsen egészen rendben az informatikai rendszer.

fotó: flickr/Hillary

fotó: flickr/Hillary

Fontos feltérképezni kik lehetnek potenciális elkövetők, és a legártatlanabbnak tűnő érintetteket sem szabad kihagyni a sorból. Bárki, akinek hozzáférése van a cég irodájához, szóba jöhet. Akár a takarítószemélyzetre is vetülhet gyanú. A törvénysértőt gyakran “kicsinyes bosszú motiválja, mert vagy úgy érzik, hogy “nincsen megbecsülve” a munkahelyén, vagy azért fordul a cég ellen, mert az valamit tett ellene vagy a számára kedves személy(ek) ellen.

A 2018-as EU-s irányelvek Csíki szerint “kivitelezhetetlen” dolgokat is fognak kérni. Szerinte a felhasználó felejtéshez való joga, vagyis hogy kérésére töröljenek adatok róla, nem mindig és mindenütt lesz végrehajtható. Az előírások megszegéséért kirótt bírságtételek viszont magasak lesznek. Ha megütik a bokájukat, az EU-n belüli multinacionális cégek az árbevételük 2 %-át is elbukhatják a bírságokkal, a EU-n kívüli nagy cégek pedig a forgalom 4%-át. (A 2018-ban hatályba lépő adatvédelmi rendeletről, ami súlyosan érinti a cégeket is, itt olvashat részletesebben.)