![Page 1: Keleti Arthur IT Biztons ági stratéga, KFKI Főszervező, Informatikai Biztonság Napja](https://reader035.vdocuments.net/reader035/viewer/2022062422/5681406d550346895dabeced/html5/thumbnails/1.jpg)
2009
„Nem érdemes a hibáinkat elkövetni, ha nem tanulunk belőle!”
Gondolatok a biztonsági incidensek nyilvánosságra hozatalával kapcsolatos
szabályozás adatvédelmi vonatkozásairól
Keleti Arthur
IT Biztonsági stratéga, KFKIFőszervező, Informatikai Biztonság Napja
![Page 2: Keleti Arthur IT Biztons ági stratéga, KFKI Főszervező, Informatikai Biztonság Napja](https://reader035.vdocuments.net/reader035/viewer/2022062422/5681406d550346895dabeced/html5/thumbnails/2.jpg)
2 ITBN 2009
Tartalom
• Miről is beszélünk? - Az adatvesztésről dióhéjban
• Incidensek nyilvánosságra hozatala: a gyakorlat (USA)
• A nyilvánosság szerepe, reakciói, a szabályozás hatásai
• Tapasztalatok, statisztikák, eredmények, pro és kontra
• A téma helyzete az EU-ban és Magyarországon
• A továbblépések lehetőségei, javaslatok, elképzelések
![Page 3: Keleti Arthur IT Biztons ági stratéga, KFKI Főszervező, Informatikai Biztonság Napja](https://reader035.vdocuments.net/reader035/viewer/2022062422/5681406d550346895dabeced/html5/thumbnails/3.jpg)
3 ITBN 2009
Az adatvesztésről, adatszivárgásról
• Mit történhet egy adattal? Nem megengedett módon hozzáférnek, ellopják, módosítják, törlik, nyilvánosságra hozzák, felhasználják stb.
• Hogy lehetséges ez? Az adatokat az egyre összetettebb informatikai rendszereink tartalmazzák. Jobb esetben védik. A rendszerek biztonsága és a bennük tárolt adatok kezelésének folyamatai nem megfelelőek és nem egyenszilárdak. Nagyon nem azok…
• A probléma komplexitása elriasztja a szervezeteket annak megoldásától, sajnos gyakran még a felismerés fázisába sem jutnak el.
• Ez azonban nem csökkenti az adatvesztésből fakadó károk nagyságát vagy az adatszivárgás mentén keletkező globálisabb problémákat: identitás eltulajdonítása, bankszámla csalások stb.
![Page 4: Keleti Arthur IT Biztons ági stratéga, KFKI Főszervező, Informatikai Biztonság Napja](https://reader035.vdocuments.net/reader035/viewer/2022062422/5681406d550346895dabeced/html5/thumbnails/4.jpg)
4 ITBN 2009
Adatokkal összefüggő incidensek 2002-2007 (WW, főleg USA)
Terület Darab Megoszlás
Az elvesztett rekordok száma
Átlagos adatvesztés
Üzlet 246 32% 209M 850kOktatás 246 32% 6M 24kÁllamigazgatás 201 26% 47M 233kEgészségügy 80 10% 5M 63kÖsszesen 773 100% 267M
Biztonsági incidensek adatai 2002-2007
190 db belső okokra vezethető vissza (42 rosszindulatú, 146 véletlen)575 db-ot külső forrás okozta, 8 db pedig eddig ismeretlen forrásból eredt
600 esetben társadalombiztosítási számok, 63 esetben bankkártyaszámok, 72 esetben általános adatvesztés és 35 esetben tévesen szemétbe dobottinformációk voltak érintettek. Forrás: Open Security Foundation jelentések
![Page 5: Keleti Arthur IT Biztons ági stratéga, KFKI Főszervező, Informatikai Biztonság Napja](https://reader035.vdocuments.net/reader035/viewer/2022062422/5681406d550346895dabeced/html5/thumbnails/5.jpg)
5 ITBN 2009
Adatokkal összefüggő incidensek 2008(WW, főleg USA)
Üzlet, 207, 43%
Oktatás, 117, 24%
Államigazgatás, 90, 19%
Egészségügy, 69, 14%
Összes eset száma: 483 dbÖsszes érintett bejegyzés száma: 83,350,024 db
Egészségügyi szám, jelző, adat: 343 dbCímek és telefonszámok: 366 db
Forrás: Open Security Foundation jelentések
![Page 6: Keleti Arthur IT Biztons ági stratéga, KFKI Főszervező, Informatikai Biztonság Napja](https://reader035.vdocuments.net/reader035/viewer/2022062422/5681406d550346895dabeced/html5/thumbnails/6.jpg)
6 ITBN 2009
Adatokkal összefüggő incidensek 2008
Hack – 17%
Web – 14%
Ellopott PC – 6%
Csalás – 6%Szemétből származó – 5%
Postai levél – 4%
Elvesztett meghajtó – 3%
Ellopott dokumentum – 3%
Email – 3%
Ellopott szalag – 3%
Elvesztett média– 3%
Ellopott laptop – 20%
Forrás: Open Security Foundation jelentések
![Page 7: Keleti Arthur IT Biztons ági stratéga, KFKI Főszervező, Informatikai Biztonság Napja](https://reader035.vdocuments.net/reader035/viewer/2022062422/5681406d550346895dabeced/html5/thumbnails/7.jpg)
7 ITBN 2009
Nyilvánosságra hozatali gyakorlat, USA
• 2000-2002: több területen is megjelenik az igény a fogyasztók, vásárlók, állampolgárok teljes körű és korrekt tájékoztatására (pl. élelmiszer címkék)
• Motiváció az adatszivárgás terén: 2005-ben 56 milliárd USD veszteség származik belőle, 6 383 USD / áldozat
• A nyilvánosságra hozatal vezérfonalai:– “A napfény gyógyít” elve: amire fény vetül azt meg lehet oldani– “Jogunk van tudni” elve: minden állampolgárnak értesülnie kell,
ha adatait helytelenül kezelték, mert csak akkor intézkedhet
• California 2003-ban elfogadja és beiktatja az biztonsági incidensek jelzéséről, kezeléséről szóló törvényt
![Page 8: Keleti Arthur IT Biztons ági stratéga, KFKI Főszervező, Informatikai Biztonság Napja](https://reader035.vdocuments.net/reader035/viewer/2022062422/5681406d550346895dabeced/html5/thumbnails/8.jpg)
8 ITBN 2009
Nyilvánosságra hozatali gyakorlat, USA
A törvény elfogadása az USA-ban 2002-2006
…
![Page 9: Keleti Arthur IT Biztons ági stratéga, KFKI Főszervező, Informatikai Biztonság Napja](https://reader035.vdocuments.net/reader035/viewer/2022062422/5681406d550346895dabeced/html5/thumbnails/9.jpg)
9 ITBN 2009
Nyilvánosságra hozatal államonként
• 44 állam + néhány nevesített terület vezette be• Minden államban különböző tartalom• Vezérelvként mindegyik változatban megkövetelik:
– az incidensek jelzését,– a megfelelő időpontban,– amennyiben személyekhez köthető információ
• akár elveszett,• akár valószínűsíthető, hogy arra nem jogosultakhoz került,• és sejthetően sértetlensége, bizalmassága, hitelessége sérült.
• A sértett lakhelyéhez kötik a konkrét végrehajtást
![Page 10: Keleti Arthur IT Biztons ági stratéga, KFKI Főszervező, Informatikai Biztonság Napja](https://reader035.vdocuments.net/reader035/viewer/2022062422/5681406d550346895dabeced/html5/thumbnails/10.jpg)
10 ITBN 2009
További témakörök a törvényekben
• Az incidens (breach) definíciója nem mindenhol egységes. Általában a definíció lényege: “engedély nélküli hozzáférés olyan személy vagy szervezet által kezelt számítógépes adatokhoz, amely sérti azok biztonságát,megbízhatóságát, sértetlenségét és rendelkezése állását. Több álamban csak a NEM titkosított adatokat érti ide a törvény. Néhány állam a papíron kezelt adatokat IS a definícióba sorolja.
• Személy pontos azonosítására alkalmas adat. Pontosabban egy személy neve mellé még egy vagy több olyan információ amivel egyértelműen azonosítani lehet. Van olyan állam, ahol csak a felhasználónevekre és jelszavakra vonatkozik a törvény.
![Page 11: Keleti Arthur IT Biztons ági stratéga, KFKI Főszervező, Informatikai Biztonság Napja](https://reader035.vdocuments.net/reader035/viewer/2022062422/5681406d550346895dabeced/html5/thumbnails/11.jpg)
11 ITBN 2009
További témakörök a törvényekben
• Kiváltó ok. Minden hasonló rendelkezésnek talán a legfontosabb eleme. Mely esetben kell jelenteni egy incidenst? Az USA-ban 17 államban: minden incidens jelentése kötelező, kivételek: csak, ha úgy érzik, hogy az incidens veszélyt jelenthet a fogyasztókra.
• A hatókör szempontjából nem igaz minden állami és piaci résztvevőre egyaránt. 23 államban egységes, de a többiben csak néhány kategóriát érint (pl. brókerek)
• Az értesítés tekintetében is több paramétert vesznek figyelembe. Alapvetően az időt és az értesítendő kört határozzák meg, de ez változhat pl. az összeg nagyságától függően is. Szól a tájékoztatás módjáról is.
![Page 12: Keleti Arthur IT Biztons ági stratéga, KFKI Főszervező, Informatikai Biztonság Napja](https://reader035.vdocuments.net/reader035/viewer/2022062422/5681406d550346895dabeced/html5/thumbnails/12.jpg)
12 ITBN 2009
További témakörök a törvényekben
• Kivételek is vannak a rendelkezések alól. Több államban egyéb szabványok vagy szabályok (pl. GLBA, HIPAA) alá tartozó szervezetekre nem vonatkozik a törvény. Van ahol a titkosítás, vagy éppen az, hogy papíron is tárolják az adatokat felmentést ad a törvény alól.
• Büntetés szempontjából is eltérőek a szabályok. Több államban nincs felső határa a kiszabható büntetésnek. Van ahol alsó és felső limitek is vannak (pl. Arkansas-ban 25.000 USD, ugyanez Floridában 500.000 USD)
![Page 13: Keleti Arthur IT Biztons ági stratéga, KFKI Főszervező, Informatikai Biztonság Napja](https://reader035.vdocuments.net/reader035/viewer/2022062422/5681406d550346895dabeced/html5/thumbnails/13.jpg)
13 ITBN 2009
A törvény hatásmechanizmusa
Incidenseknyilvánosságára
hozatalát elrendelőtörvény
Értesítettfogyasztók
Fogyasztókakik kezelika kockázatot
Identitás lopásbűntette
Érintett szervezetekérdeke, hogyfejlesszék abiztonsági
rendszereiket
Incidensek
Elsődleges hatás+
+
-
+
--
Másodlagos hatás
Forrás: Romanovsky: Do Data BreachDisclosure Laws Reduce Identity Theft?
![Page 14: Keleti Arthur IT Biztons ági stratéga, KFKI Főszervező, Informatikai Biztonság Napja](https://reader035.vdocuments.net/reader035/viewer/2022062422/5681406d550346895dabeced/html5/thumbnails/14.jpg)
14 ITBN 2009
Tapasztalatok, eredmények
• Nehéz egyértelműen megmondani, hogy milyen hatással van a törvény az adatvesztésekre, incidensekre, ennek oka, hogy– a kutatási adatok rossz minőségűek, sok bennük a torzító tényező
– a rendelkezés nem egységes minden államban, a jelentések sem érkeznek ugyanúgy mindenhonnan
– a felmérések szerint az identitás lopások forrásainak legalább 30-40% ismeretlen eredetű az áldozatok számára (ettől még okozhatják cégek)
• Egyértelműen jó tapasztalat, hogy az incidensek által okozott kár nagysága csökkent az elmúlt években
• A törvény hatókörébe eső cégek biztonsági rendszereiben sok fejlesztés történt (törvény nélkül nem motiváltak rá)
![Page 15: Keleti Arthur IT Biztons ági stratéga, KFKI Főszervező, Informatikai Biztonság Napja](https://reader035.vdocuments.net/reader035/viewer/2022062422/5681406d550346895dabeced/html5/thumbnails/15.jpg)
15 ITBN 2009
Pro-k és kontrák
• Kontra: kicsi annak a valószínűsége, hogy valakinek ellopják az identitását (kb. 2%)
• Kontra: a túlságosan gyakori jelentések megszüntethetik az érdeklődést, zavart kelthetnek, “farkast kiáltunk”.
• Pro: a fogyasztók nem szavaznak bizalmat az adataikat hanyagul kezelő szervezeteknek
• Pro: a nyilvánosság segít abban, hogy megismerjük mely területeken és szektorokban kell javítani az adatok kezelésén
• Pro: a fogyasztók megtanulják, hogy mit jelent biztonságosan kezelni adat- és anyagi vagyonukat (pl. az interneten)
![Page 16: Keleti Arthur IT Biztons ági stratéga, KFKI Főszervező, Informatikai Biztonság Napja](https://reader035.vdocuments.net/reader035/viewer/2022062422/5681406d550346895dabeced/html5/thumbnails/16.jpg)
16 ITBN 2009
A téma helyzete az EU-ban
• Az adatvédelmi kérdések fejlesztésének érdekében az Európa Tanács javaslatokkal egészítette ki az ePrivacy Direktíva néven is ismeretes rendeletet (Directive 2002/58/EC on privacy and electronic communications)
• 2008 április 14-én az Európai Adatvédelmi Biztos a fenti review-hoz egy állásfoglalást készített, amelyben megfogalmazta, hogy a javaslat nem megfelelő mélységben foglalkozik az incidensek nyilvánosságra hozatalával. Ennek megfelelően a témában kiegészítő javaslatokat tett.
![Page 17: Keleti Arthur IT Biztons ági stratéga, KFKI Főszervező, Informatikai Biztonság Napja](https://reader035.vdocuments.net/reader035/viewer/2022062422/5681406d550346895dabeced/html5/thumbnails/17.jpg)
17 ITBN 2009
A téma helyzete az EU-ban
• 2007-2008 során Angliában is intenzíven foglalkozni kezdtek egy nyilvánosságra hozatalt elrendelő törvény gondolatával (HMRC 25 millió gyermeksegélyezési adatot veszített el novemberben, a MoD elveszített laptopján a fegyveres erők 600 ezer jelentkezőjének adatai voltak ...)
• A Tudományos és Technologóiai Tanács véleménye szerint: “az incidensek nyilvánosságra hozatalát előíró törvény azon intézkedések közé tartozik, amelyek a legfontosabb előrelépést jelentenék a magánszemélyek biztonságos internet használatában”
• 2008 végén az angliai ICO (Infrormatikai Biztos) bírságolási jogkört kap az adatszivárgási ügyekre
![Page 18: Keleti Arthur IT Biztons ági stratéga, KFKI Főszervező, Informatikai Biztonság Napja](https://reader035.vdocuments.net/reader035/viewer/2022062422/5681406d550346895dabeced/html5/thumbnails/18.jpg)
18 ITBN 2009
A téma helyzete az EU-ban
• 2009 január 9-én az Európai Adatvédelmi Biztos újabb javaslattal egészítette ki a már korábbi első véleményt az ePrivacy Direktívához. Ebben már egyértelműen megfogalmazza az adatszivárgási incidensek nyilvánosságra hozatalának rendszeréhez feltétlenül szükséges elemeket (II. fejezet):– az incidens definíciója– a törvény hatálya alá eső szervezetek– a kiváltó okok meghatározása– az incidens szintjét elbíráló szervezet– a jelentés, értesítés célcsoportja
![Page 19: Keleti Arthur IT Biztons ági stratéga, KFKI Főszervező, Informatikai Biztonság Napja](https://reader035.vdocuments.net/reader035/viewer/2022062422/5681406d550346895dabeced/html5/thumbnails/19.jpg)
19 ITBN 2009
A téma helyzete az EU-ban• A javaslat boncolgatja az Európai Parlament, a Tanács és a
Biztos értesítési modelljei közötti különbségeket. Mindhárom jó megközelítés, elvi különbségek vannak köztük.
• Mindhárom javaslat ugyanúgy fogalmazza meg az incidens definícióját, amely valószínűleg ebben a formában kerül majd elfogadásra:“a breach of security leading to the accidental or unlawful destruction, loss, alteration, unauthorized disclosure of or access to personal data, transmitted, stored or otherwise processed”
• Valószínű, hogy incidens lesz majd minden olyan esemény, amely “kárt okozhat”
![Page 20: Keleti Arthur IT Biztons ági stratéga, KFKI Főszervező, Informatikai Biztonság Napja](https://reader035.vdocuments.net/reader035/viewer/2022062422/5681406d550346895dabeced/html5/thumbnails/20.jpg)
20 ITBN 2009
A helyzet hazánkban
Mely IT biztonsági illetve üzletmenet folytonosságot biztosító eszközöket/szolgáltatásokat/megoldásokat alkalmazzák? TOP10 - 2008
Bázis: összes intézmény, n=101 Bázis: összes vállalat, n=401
Forrás: I. Független IT-biztonsági Piackutatás (IVSZ, ITBN)
Vállalatok Államigazgatás
![Page 21: Keleti Arthur IT Biztons ági stratéga, KFKI Főszervező, Informatikai Biztonság Napja](https://reader035.vdocuments.net/reader035/viewer/2022062422/5681406d550346895dabeced/html5/thumbnails/21.jpg)
21 ITBN 2009
IT biztonsági alkalmazások elterjedtsége 2008
Forrás: I. Független IT-biztonságiPiackutatás (IVSZ, ITBN)
Bázis: összes válaszadó [vállalat=401, Top200 vállalat n=25, KKI n=104]
![Page 22: Keleti Arthur IT Biztons ági stratéga, KFKI Főszervező, Informatikai Biztonság Napja](https://reader035.vdocuments.net/reader035/viewer/2022062422/5681406d550346895dabeced/html5/thumbnails/22.jpg)
22 ITBN 2009
A jövő: javaslatok magunknak
• Egységes jelentési-, nyilvánosságra hozatali forma (nincs lehetőség a hátrányból marketing módszerekkel előnyt kovácsolni) – meghatározza a tartalmat (pl. kihez kell, lehet fordulni)
• A törvény minden szervezetre vonatkozik, amely érzékeny adatokat kezel
• Részletes (akár szektorfüggő) kritériumrendszer szabályozza, hogy mely eseményeket kell jelenteni
• Független központi szervezet, amely minden jelentést megkap és gondoskodik az adatok szolgáltatásáról, mérhetőségéről, statisztikáiról, jelentéséről
• Állampolgári tájékoztatási programok (miként limitálhatja banki műveleteit, mit tegyen, ha ellopják az adatait)
• Erősítsük meg a vállalatok, intézmények adatbiztonsági rendszereit
![Page 23: Keleti Arthur IT Biztons ági stratéga, KFKI Főszervező, Informatikai Biztonság Napja](https://reader035.vdocuments.net/reader035/viewer/2022062422/5681406d550346895dabeced/html5/thumbnails/23.jpg)
23 ITBN 2009
Külső, keretréteg
Törvények
Sztenderdek
Auditorok
Absztrakciós réteg
Adat utak
Folyamatok
Felhasználók
Technológiai réteg
Szerverek
Laptopok
Hordozható eszközök
Konfiguráció
Alkalmazások
Adatbázisok
Belső előírások
Pénzügyi lehetőségek
Szerepkörök
Adminisztrátorok
A megoldás felé tehető lépések (pl. adatvédelmi projekt)
![Page 24: Keleti Arthur IT Biztons ági stratéga, KFKI Főszervező, Informatikai Biztonság Napja](https://reader035.vdocuments.net/reader035/viewer/2022062422/5681406d550346895dabeced/html5/thumbnails/24.jpg)
24 ITBN 2009
Források és érdekes olvasnivalók
• EDPS second Opinion on ePrivacy Directive review and security breach: privacy safeguards need to be strengthenedhttp://europa.eu/rapid/
• Do Data Breach Disclosure Laws Reduce Identity Theft? - Sasha Romanosky http://weis2008.econinfosec.org/papers/Romanosky.pdf
• Open Security Foundation – DataLossDBhttp://datalossdb.org/
• Security Breach Notification Legislation/Lawshttp://www.ncsl.org/programs/lis/cip/priv/breach.htm
• Európai Adatvédelmi Biztos oldala (EDPS)http://edps.europa.eu/EDPSWEB/
• International Identity Theft Ring Operating in the U.S. and Romania Disruptedhttp://www.romanianewswatch.com/2008/08/international-identity-theft-ring.html
![Page 25: Keleti Arthur IT Biztons ági stratéga, KFKI Főszervező, Informatikai Biztonság Napja](https://reader035.vdocuments.net/reader035/viewer/2022062422/5681406d550346895dabeced/html5/thumbnails/25.jpg)
2009
Köszönöm a figyelmet!
Keleti Arthur
IT Biztonsági stratéga, KFKIFőszervező, Informatikai Biztonság Napja