Vagyonőr.hu
No Result
Az összes eredmény megtekintése
2023 december 10, vasárnap
  • Bejelentkezés
  • Főoldal
  • Cikkek
  • Hírek
  • Állást keres?
FELIRATKOZOM
Vagyonőr.hu
No Result
Az összes eredmény megtekintése
Home SZVMSZK

Kit nevezzünk ki etikus hackernek és Adatvédelmi tisztviselőnek?

Írta: admin
2020-06-18 - Frissítve 2021-09-02
Téma: SZVMSZK
0
Kit nevezzünk ki etikus hackernek és Adatvédelmi tisztviselőnek?
152
SHARES
1.9k
VIEWS
Megosztás a FacebookonMegosztás a Twitteren

Az eredeti cikk a Személy-, Vagyonvédelmi és Magánnyomozói Szakmai Kamara oldaláról származik: https://vagyonor.hu/kit-nevezzunk-ki-etikus-hackernek-es-adatvedelmi-tisztviselonek/

ADATKEZELES.BLOG.hu – Kit nevezzünk ki etikus hackernek és Adatvédelmi tisztviselőnek? A 100 milló forintos kérdések.

Bizonyára nagyon sokan kapták fel a fejüket a Digi 100 milliós bírságára, azonban valószínűleg nagyon kevesen olvasták végig a NAIH elmarasztaló határozatát, holott abban számos érdekesség lelhető fel.

Kezdjük is először azzal, hogy a NAIH bár kezdetben “támadásnak” írja azt, ahogy a Digi rendszerébe betörtek, utána mégis következetesen “etikus hackernek” nevezi azt a támadót, aki egyébként birtokba is vett az Adatbázisból Személyes adatokat “bizonyítékként”. Ebben azonban van néhány érdekesség. Az első az, hogy:


Az etikus hacker mindig felkérésre dolgozik és titoktartás mellett.


Ez nem is lehetne másként, hiszen ő éppen attól “etikus”, hogy nem saját szakállára keres sérülékenységeket, hanem felkérésre. Ez ugyanis – ahogy azt az egyik magyarországi, valóban papírokkal rendelkező etikus hacker tanította nekem – a tevékenység alapja. Jelen esetben éppen ezért az első probléma ott kezdődik, hogy miközben a NAIH határozatban is az szerepel, hogy:


A sérülékenység már a weboldal külső, behatolás mentes ellenőrzéséből is látható volt, ezzel nem elégedett meg a NAIH határozat szerinti támadó, hanem illetéktelenül behatolt a rendszerbe és ott arra jogosulatlanul kezelésbe vett egy személyes adatot is, amivel egyértelműen túllépett az etikusságon.


Nem szabad ugyanis elfeledkezni arról, ahogy a BKV minden színvonalat alulmúló úgynevezett jegyértékesítési “szolgáltatásából” pusztán egy parancssor átírásával hülyét csináló kamaszt meghurcoltak, rabosították [1] – majd a józan ész alapján megszüntették a nyomozást – ahogy arról sem, hogy a Telekom ügyében [2] el is ítéltek valakit. [3]

Felmerül tehát a kérdés, hogy vajon tényleg csak azért más ez az eset, mert a bejelentés következtében egy komoly jogsértésre mutattak rá? Hiszen elég csak a két kamaszt részben sikeresen védő TASZ [4] útmutatójára utalni, ami bár az etikus hacker fogalmát szélesen értelmezi, de az adatok lementése még aszerint sem megengedhető:

“11. Minél kevesebb személyes adatot ismerj meg, ilyen után szándékosan ne kutakodj, és semmiképpen ne mentsd el!”

Amiből az következik, hogy egy minősített etikus hacker, ha valóban véletlenül talál rá egy oldalra, amin hiba van, ami ráadásul az oldalra való belépés nélkül is detektálható:


Akkor erről kellett volna tájékoztatást adnia az Adatkezelő részére, nem pedig azzal visszaélve belépni az oldalra és onnan adatokat letölteni.


A fentiekből következően minden Adatkezelőnek rendkívül óvatosnak kell lennie a jövőben, mert az első levél és az arra érkező válasz alapjaiban határozza meg a későbbieket. Hiába veszi ugyanis ezekben az esetekben figyelembe nevesítetten a NAIH az együttműködést, a jogsértés megszüntetését, az már csak a büntetés mértékére lehet hatással. Ebben az esetben pedig ez meg is történt, hiszen az Adatkezelőnek az incidenssel érintett két évben kb 50-50 milliárdos forgalma volt, ennek alapján pedig akár 2 milliárd forintos bírság kiszabására is lehetőség nyílt volna egy közel tíz éve fennálló hiányosság miatt. A 100 millió forint bírság tehát a valóságban mindössze a maximális bírság 5%-át teszi ki, ami tehát bár nominálisan valóban soknak tűnik, de a kivethető bírság maximumához képest semmiféleképpen sem nevezhető irreálisnak, hiszen az ennél csekélyebb összegű bírság kiszabásával nem biztos, hogy megvalósulna a GDPR által előírt visszatartó erő.

Nézzük azonban most ezt a 100 millió forintot más irányból:


Ha az Adatkezelő titkosította volna ezeket az adatokat – ingyen – akkor hiába lett volna betörés, még csak be se kellett volna jelenteni az Adatvédelmi incidenst, mivel a titkosított adatokkal a támadó akkor sem tudott volna mit kezdeni, ha tudta volna, hogy azok kódolatlanul Személyes adatok lennének.


A másik fontos észrevétel az, hogy így járnak azok, akik “ingyenes” rendszert használnak a Személyes adatok kezelésére, hiszen amit “megtakarítottak” a licenszeken, azt most elveszítették a bírságokon. Sőt, kamatostul.


Abban az esetben pedig, ha valóban igényelték volna egy minősített etikus hacker szolgálatait, akkor ennek a bírságnak a töredékéből rendbe lehetett volna tenni a rendszerüket.


A történet másik érdekessége pedig az, hogy mindez az eseménycunami nem következett volna be, ha nem “ösztönösen” és “kapkodva” keresnek megoldásokat, hanem elvégzik a szükséges Adatvédelmi hatásvizsgálatokat. Ebben az esetben például – ahogy a NAIH határozat is rámutat – habár a tesztelés és a folyamatos üzletmenet fenntartása legitim Cél, a Személyes adatok felhasználása nem jogellenes, de:


bármilyen módszer alapján az Adatvédelmi hatásvizsgálat éppen azt állapította volna meg, hogy egy ilyen Adatbázis létrehozása az érintettekre nézve önmagában magas kockázattal jár, ezért azt csak a lehető legrövidebb ideig lehetett volna megtartani.


Fontos tehát azt látni, hogy a Cél hiába legitim, ha az adott Célból már nincs szükség a Személyes adatok kezelésére és azokat nem semmisítik meg. Pusztán ennek a felismerése azt jelentette volna ebben az esetben, hogy ha az Adatbázist azonnal törlik amint arra már nincs szükség, akkor most egy, vagy több nagyságrendileg csekélyebb jelentőségű ügyről lehetne beszélni. Jól látható tehát, hogy bár egy Adatvédelmi tisztviselőnek fontos a személyiségi jogokhoz is magas szinten értenie, de informatikai rendszerek esetén a rendszertervezéshez és a programok, rendszerek működéséhez annál inkább kell értenie, hiszen a személyiségi jogokat ebben az esetben ezekre figyelemmel kell érteni.

Mindezek alapján levonhatók a tanulságok:

– nagyon nem mindegy, hogy milyen válaszlevél születik az első megkeresésre. Egy klasszikus jogi levél egy ilyen esetben az öngyilkossággal ér fel

– mindenkinek érdemes a TASZ iránymutatását elolvasnia, mert érdemi védelemre csak az számíthat, aki az abban foglaltaknak megfelelően közérdekből – és minden egyéb szándéktól mentesen tesz észrevételeket

– az Adatvédelmi tisztviselő egyik feladata éppen az, hogy képes legyen az informatikai rendszerek olyan áttekintésére, aminek az alapján a fenti helyzetek elő sem állhatnak

– az ingyenes rendszerek az “olcsó húsnak híg a leve” kategóriába tartoznak ezekben a méretekben, mert azokért senki sem vállal felelősséget. Ha ugyanez a rendszer például valamelyik multinacionális vállalat SAAS (szoftver szolgáltatás) rendszerén futott volna, és abban lép fel a hiba – akkor a bírságot is ők fizették volna ki.


A NAIH határozat tehát indirekt formában azt mondta ki, hogy csak az üzemeltessen ingyenes rendszereket, akinek van arra erőforrása, hogy a szakmai fórumokat bújja, ezeket monitorozza és képes legyen arra is, hogy a nem hivatalos támogatások közül is el tudja dönteni, hogy melyiket szabad és melyiket nem szabad telepíteni.


Enélkül ugyanis nincs meg a felkészültség, és nincs meg az a készség, amivel a GDPR-nak megfelelően lehetne egy ilyen rendszert üzemeltetni. A tűzfal emlegetése ezért is tévedés, hiszen az sérülékenységek és az elmaradt Adatvédelmi hatásvizsgálatok ellen nem véd meg senkit sem. Nem vitatva annak a szükségességét, de egy ilyen esetben az erre való hivatkozás sacc/kb azt jelenti, hogy “úgy akarjuk megvédeni a rendszert, amihez nem értünk kellő szinten, hogy távol tartjuk az etikus hackereket”. Na ezért nem mindegy, hogy milyen választ ír egy Adatkezelő egy hatósági eljárásban. Mert ez nem megoldás és nem megnyugtatás a jövőre nézve. És nem a NAIH számára nem az, hanem a vállalkozás számára nem az, mivel rendkívül fontos annak a megértése, hogy mindig az Adatkezelőt büntetik meg, ezért ezt a felelősséget sem egy belső, sem egy külső szakértő nem tudja átvállalni. És mindig lesznek nulladik napi sérülékenységek, és az azt kihasználni vágyók is.

Ezt kell mérlegelni a Személyes adatok kezelésének a megkezdése előtt. És csak utána szabad belekezdeni. Már csak azért is, mert valójában ezt írja elő és várja el a GDPR.

 

Karanténmentes boldog nyarat kívánok mindenkinek!


Hivatkozások:

[1] https://infostart.hu/belfold/2017/08/21/bkk, https://444.hu/2017/07/20/18-eves-fiatal-jelezte-a-bkk-nak-hogy-50-forintert-tudott-berletet-venni-de-koszonet-helyett-inkabb-feljelentettek

[2] https://nepszava.hu/3064179_nem-mondott-igazat-a-birosag-kozlemenye-az-etikus-hacker-ugyeben-allitja-a-tasz

[3] http://www.minuszos.hu/elrettento-itelet-penzbuntetessel-meguszta-a-telekom-rendszeret-feltoro-hacker/

[4] https://tasz.hu/cikkek/utmutato-etikus-hackereknek

Előző bejegyzés

Ki kérhet tőlem személyi igazolványt? A biztonsági őr megmotozhat?

Következő bejegyzés

A videörögzítés esete a suszterrel és a kaptafával

Következő bejegyzés
A videörögzítés esete a suszterrel és a kaptafával

A videörögzítés esete a suszterrel és a kaptafával

Vélemény, hozzászólás? Válasz megszakítása

Az e-mail címet nem tesszük közzé. A kötelező mezőket * karakterrel jelöltük

Időjárás

  • Népszerű
  • Hozzászólások
  • Legfrissebb
Milyen-intézkedéseket-hozhatnak-a-személy-és-vagyonőrök_-Milyen-hatáskörrel-rendelkeznek_-2.-RÉSZ

Milyen intézkedéseket hozhatnak a személy- és vagyonőrök? Milyen hatáskörrel rendelkeznek?

2022-01-03 - Frissítve 2022-04-22
vagyonvedelmi eszkozok es fegyverek

A személy- és vagyonvédelmi szektorban használatos felszerelések és eszközök 3. rész

2022-01-21 - Frissítve 2022-04-22
Objektumvédelem_ a fizikai biztonsági rendszerek 4 célja és funkciója

Objektumvédelem: a fizikai biztonsági rendszerek 4 célja és funkciója

2022-04-22
Vagyonőr

Őrző-védő szolgálat: hatékony munkavégzés vs. mentális egészség

2021-12-01 - Frissítve 2022-01-26
GDPR – Veszélyhelyzeti videórögzítés módszertan – előadás

GDPR – Veszélyhelyzeti videórögzítés módszertan – előadás

Ami mindent megváltoztat

Retro Rádió – Interjú Dr. Fialka Györggyel

Ami mindent megváltoztat – 2. rész

Ami mindent megváltoztat – 2. rész

Gárdonyi vízirendőrök kimentették a felborult vitorlást a Velencei-tóból

Gárdonyi vízirendőrök kimentették a felborult vitorlást a Velencei-tóból

2023-09-08
Ismeretlen okból zuhant a rendőrség helikoptere a Balatonba

Ismeretlen okból zuhant a rendőrség helikoptere a Balatonba

2023-09-08
Rendőrség letartóztatta a jászsági tolvajt, aki az udvarban megbújva rabolt ki házakat

Rendőrség letartóztatta a jászsági tolvajt, aki az udvarban megbújva rabolt ki házakat

2023-09-06
Forgalomkorlátozás a 27-es számú főútvonalon Sajószentpéter és Edelény között

Forgalomkorlátozás a 27-es számú főútvonalon Sajószentpéter és Edelény között

2023-09-06
  • Milyen-intézkedéseket-hozhatnak-a-személy-és-vagyonőrök_-Milyen-hatáskörrel-rendelkeznek_-2.-RÉSZ

    Milyen intézkedéseket hozhatnak a személy- és vagyonőrök? Milyen hatáskörrel rendelkeznek?

    190 megosztás
    Megosztás 76 Tweet 48
  • A személy- és vagyonvédelmi szektorban használatos felszerelések és eszközök 3. rész

    178 megosztás
    Megosztás 71 Tweet 45
  • Objektumvédelem: a fizikai biztonsági rendszerek 4 célja és funkciója

    160 megosztás
    Megosztás 64 Tweet 40
  • Őrző-védő szolgálat: hatékony munkavégzés vs. mentális egészség

    159 megosztás
    Megosztás 64 Tweet 40
  • A biztonság két arca: “safety” és “security”

    159 megosztás
    Megosztás 64 Tweet 40

© 2022 Vagyonőr.hu - Online vagyonvédelmi magazin

No Result
Az összes eredmény megtekintése
  • Főoldal
  • Cikkek
  • Hírek
  • Állást keres?

© 2022 Vagyonőr.hu - Online vagyonvédelmi magazin

Üdv újra itt!

Jelentkezzen be fiókjába

Elfelejtett jelszó ?

Jelszó Visszaállítás

Kérjük, adja meg felhasználónevét vagy e-mail címét a jelszó visszaállításához.

Belépés
 
Required 'Candidate' login to applying this job. Click here to logout And try again
 

Login to your account

  • Forgot Password? | Sign Up

Reset Password

  • Already have an account? Login

Enter the username or e-mail you used in your profile. A password reset link will be sent to you by email.

Signup to your Account

Choose your Account Type
  • Candidate I want to discover awesome companies.
  • Employer I want to attract the best talent.
  • Húzza ide az önéletrajzot tartalmazó fájlt, vagy kattintson az "Önéletrajz feltöltése" gombra.
    A feltöltött fájl mérete (Maximum 5Mb) lehet. A feltölthető fájltípusok a következők lehetnek: (.doc, .docx, .pdf)
    vagy
    Önéletrajz feltöltése
  • Already have an account? Login

Close
 

Answers

 

Account Activation

Before you can login, you must activate your account with the code sent to your email address. If you did not receive this email, please check your junk/spam folder. Click here to resend the activation email. If you entered an incorrect email address, you will need to re-register with the correct email address.