Egy adatlopás margójára

2017. március 23. 20:54 - Csizmazia Darab István [Rambo]

Van ugye a homo sapiens, meg vannak az évek hosszú sora óta, lassan már szinte napi rendszerességgel bekövetkező adatsértések, adatlopások. Lehetne tanulni más kárán, lehetne tanulni a saját káron, és még előírások is vannak, kötelező auditok, adatvédelmi szabályzatok. És mégis néha újra meg újra a régi gyakorlat köszön vissza: kummantás az incidensről, az érintetteket nem tájékoztatják, vagy ha mégis, akkor csak igen hosszú késéssel.

Mostani esetünkben az Association of British Travel Agents (ABTA) szenvedett el súlyos adatlopást, amely több ezer ügyfél személyes adatát érintette.

Bár maga az incidens már március elsején kiderült a legnagyobb brit utazási szervezeten belül, mégis az ügyfeleket csak több mint két hét elteltével, március 16-án értesítették minderről.

Az utólagos vizsgálatok alapján a behatolás feltételezhető időpontja február 27-ére tehető, és eszerint az ABTA webszerverének hibáját használták ki a támadók.

Az abta.com adatbázisában 43 ezer felhasználó személyes adatát kezelték, amit a cég szerint viszont nem ők maguk, hanem egy megbízott harmadik fél, külsős partner üzemeltetett.

Bár az ABTA azóta elnézést kért, az egész ügymenet eléggé kiábrándító így 2017-ben. Senki előtt nem titok, hogy a 2018.május 25.-én életbelépő General Data Protection Regulation (GDPR) egy olyan összeurópai egységes adatvédelmi jog lesz, amely akár 10 mEUR összegű közigazgatási bírságot is kiszabhat.

Az "egy kontinens, egy jog" elvnek megfelelően minden uniós országban elvárás lesz a belépések és jelszavak védelme, titkosítása, minden személyes adatot érintő incidenst 72 órán belül be kell jelenteni, és a bizonyítási teher a cégeken lesz, hogy a biztonsági intézkedések során mindent a szabályoknak megfelelően végeztek.

Nyilván minden adatkezelőnek folyamatosan és előre kell már dolgoznia ehhez a felkészüléshez, és egyelőre az sem világos még, hogy a briteket a brexit után hogyan fogja mindez érinteni. Ami viszont ennél sokkal fontosabb, hogy az új szabályozás arra is kitér, hogy adatvédelmi garanciák kerüljenek a termékekbe és szolgáltatásokba már a fejlesztés legkorábbi szakaszától kezdve, és további fontos szempontként hangsúlyozza a privacy-barát alapértelmezett beállításokat is.

Egy biztos, hogy az incidenseket eltitkoló, a veszélyeket alábecsülő, az ügyfeleket nem figyelmeztető, lassan reagáló magatartásnak ideje lenne végérvényesen eltűnni személyes adataink biztonsága érdekében.

1 komment

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

2017.03.24. 06:23:42

"belépések és jelszavak védelme, titkosítása"
A jelszót értem. De ebben a kontextusban a belépés mire vonatkozik?
A jelszó az egyetlen olyan adat ismereteim szerint, ami egyirányú titkosítással kódolható ezen adatok közül. Ami meg kétirányú kódolást használ, azt szinte felesleges kódolni, mert a behatoló valószínűleg hozzáfér a kulcshoz is.
Hibás az elképzelésem?
süti beállítások módosítása