Adatbiztonság és GDPR
Ez a lecke akkor tekinthető teljesítettnek, ha minden diát megtekintünk és a leckében eltöltjük az előírt időt, amit a kis óra ikonnal nyomon is követhetünk.

GDPR

Az utóbb években rengeteg cikk és hírlevél jelent meg az újonnan bevezetésre kerülő európai Általános Adatvédelmi Rendeletről (GDPR), ami 2018. május 25-től mindenkire érvényes, aki bármilyen formában személyes adatokat kezel.

A magyar 2011. évi CXII. törvény az információs önrendelkezési jogról és az információszabadságról továbbra is érvényben maradt.

Minden olyan weboldalnak, ami gyűjti az oda látogatók adatait, külön Adatvédelmi Tájékoztatót és Általános Szerződési Feltételeket kellett készíttetnie és az adatokat megadó internetező látogatónak azt jóvá kell hagynia.

 

 

Először is mi az amire vonatkozik? A személyes adatainkra.

A GDPR a korábbinál sokkal szélesebb körre terjeszti ki a személyes adat fogalmát.

Így minden, ami alapján beazonosítható valaki személyes adatnak számít: név, cím a GDPR előtt is az volt. E-mail cím, vezetékes- vagy mobiltelefon-szám, IP-címek, süti azonosító és ezeken kívül bármilyen más online azonosító is már személyes adat.

Mindenkire vonatkozik az adatvédelmi rendelet, akár magánszemély, akár egy fős cég, akár óriásvállalat, aki a fent felsorolt személyes adatokat kezeli, rögzíti bármilyen formában – papíron, vagy elektronikusan – azokat gyűjti, bekéri, eltárolja, használja, módosítja, továbbítja. Ezeket összefoglalóan adatkezelőnek nevezi a GDPR rendelet.

Akinek továbbításra kerülnek a személyes adatok, az az adatfeldolgozó. Kizárólag az adatkezelő megbízásából kezel személyes adatokat.

GDPR alkalmazása online tevékenység során

Ha már rendelkezünk üzleti célú weboldallal, webáruházzal, akkor jellemzően valamilyen webanalitikai megoldás is elemzi az oldalunkat.

Érdemes olyat választani, ami központilag megfelel a GDPR-nek.

Ha remarketing hirdetést is alkalmazunk, közösségi oldalakról, akkor külön engedélyeztetni kell az adatgyűjtő cookie vagy „süti” használatát.

E-mail marketinghez történő e-mail begyűjtéshez kifejezetten jelölőmezőn történő kattintással kell engedélyeztetni az adatfelhasználást. Online megrendelés, fizetés esetén a vevőnek nyilatkozatmezőn jeleznie kell, hogy hozzájárul a személyes adatai használatához.

A legfontosabb, hogy technológiailag biztosítani kell a személyes adatokat tartalmazó adatbázisok biztonságát.

A PSD2, a Payment Services Directive mozaikszóból ered.

Az Európai Unió második verziójú kötelező irányelve a pénzforgalmi szolgáltatásra vonatkozóan. A célja a digitális pénzügyi szolgáltatások egységes szabályozói keretbe terelése. Magyarországon 2019.09.14. után lépett életbe pénzintézetek számára. A szintén online pénzforgalmat bonyolító webáruházak, azonban kaptak egy év haladékot a technikai felkészülésre.

Dióhéjban összefoglalva az online fizetés körülményeit jelentősen megváltoztatta. Kötelező mobiltelefonszámot regisztrálni a banknál. Az erre érkező sms-ben egy második kódot, vagyis erős-ügyfél hitelesítést kell kapni, az online bankba belépéskor és utaláskor is. Kisösszegű bankkártyás vásárlásoknál minden ötödiknél PIN-kódos azonosítás kötelező. Harmadik szolgáltató felé a bankoknak lehetővé kell tenni a nyílt bankolást.

 

A PSD2 bevezetésével az Európai Unió eltökélt célja, hogy az üzleti lehetőségeket javítsa az e-bankolásban. Ezen lehetőségek felismeréséhez és elsajátításához újkeletű, angol mozaikszavakból képzett rövidítésekkel szükséges megismerkedni. Ilyen

  • az SCA, ami az erős-ügyfélhitelesítést,
  • az AIS a magán bankszámlák információit összesítő szolgáltatást,
  • a PIS, ami az e-banki folyószámlán alapuló elektronikus fizetési megoldást, és
  • a CIS rövidítés, ami a bankkártyaalapú fizetési eszközöket jelenti.

Ezeknek lehet kombinációja, bankon és ügyfélen kívüli harmadik feles fintech szolgáltatókra az AISP, PISP, CISP szót használják. Ők együtt a TPP és API-n keresztül kommunikálnak a bankokkal.

Egy angol tőkebefektetési társaság 8 millió dollárért vásárolt részesedést a veszprémi kollégiumi szobából indult informatikai biztonsági cégben, a BalaBitben.

A nagyon sikeressé vált amerikai fintech startupok jellemzően 5-7 év alatt érnek el hasonló méretet és így sikert, itthon azért ez 20 év kemény munkával és a visszaforgatott nyereségekből vált elérhetővé.

Mostanra azonban megoldásukat 100 viszonteladó forgalmazza világszerte olyan városokban, mint Párizs, London, München, Moszkva és New York. Vevőik között van a NASA, a Facebook, az Orange és az AirFrance is, de a száz legnagyobb amerikai cégből 23 szintén vevőjük.

Az áttörést a nyílt forráskodú, viszont iparági szabvánnyá vált syslog-ng naplózó szoftver hozta meg nekik. A legfontosabb termékük a Zorp tűzfalcsomag.

A big data elemzés területén ért el világsikert a budapesti Starschema nevű cég.

Megbízóik között van többek közt az Apple, a Facebook, a Walt Disney, a Netflix.

Fő újításuk az adatvizualizáció.

A világ üzleti vezetői számára biztosítják az óriási információ dömpingben a legáttekinthetőbb módon az elemzéseket. Felismerték, hogy  a legnagyobb érték az idő, és megoldásukkal a világ pénzügyi döntéshozói időt takarítanak meg.

A létező legkülönfélébb adatokat gyűjtik, rendszerezik, analizálják, értelmezik és döntéshozók számára átláthatóvá teszik. Legfontosabb megoldásuk a csalás-, vagyis anomáliafelismerés.

Nagy magyar ipari adatszivárgás

Kevés visszhangot kapott, azonban annál nagyobb jelentősége van a magyar gazdasági és e-bankolási lehetőségek tekintetében, hogy 2019. év végén valószínűleg külföldi hekkerek több  magyar gyár belső hálózatába behatoltak, minimum adatszivárgást okoztak. Az elmúlt években a gyárak egyre több ipari gyártó berendezést csatlakoztattak az internetre, sokszor a nyugat-európai gépgyártók által javasolt drága megoldásokat bevezetve. Az IPAR 4.0 paradigmaváltás egyre vonzóbbá tette az ipari gyártó gépek hálózatra kötését. Az ipari vezérlőrendszerek az Industrial Control System, ICS, nélkül már nem hatékony a kőzművek, irodák, gyárak, lakóépületek, üzemeltetése sem. Ezen ipari környezetben használt informatikai megoldások gyűjtőneve az IT-re hasonlító OT vagy Operational Technology. Ezek kifejlesztésekor kevesebb hangsúlyt fektettek az adatbiztonságra, mint a személyi számítógépes világban.

Elég-e szoftveresen védeni az adatainkat?

2020. március elején a világ adatbiztonsággal foglalkozó szakemberei a fejükhöz csaphattak, már csak ez hiányzott a COVID-19 vírusválság mellé! 
A legnagyobb, amerikai számítógép processzorokat gyártó cég, az Intel bejelentette, hogy a legújabb, 10. generációs processzorok előtti CPU-kat nem lehet egyszerűen firmware frissítéssel javítani. A felfedezett adatvédelmi rés olyan jellegű, hogy kivédhetetlen szoftveresen. A hekkerek hozzáférhetnek a számítógép adataihoz a processzorok felfedezett sebezhetősége miatt. 2019-ben Kínában gyártott alaplapokon találtak olyan miniatűr chipet, amit nem a tervezők helyeztek oda, és lehetővé tette a távoli elérést.

A 2016. júliusában módosított kormányrendelet alapján az internetes szolgáltatóknak, kommunikációs-, banki-, pénzügyi-szolgáltatóknak kérésre kötelező átadni a felhasználóik adatait a magyar biztonsági szolgálatoknak.

A szabályzás alkalmazásszolgáltatónak nevezi a cégeket, de a gyakorlatban ez e-mail-üzemeltető, multiplayer játékot fejlesztő, és persze IP alapú telefonszolgáltató is lehet.

A szabály későbbi bővítésével a külföldi kommunikációs megoldás szolgáltatókat is igyekeztek kötelezni adatszolgáltatásra. Kérésre kötelesek átadni a titkosszolgálatok által megnevezett felhasználók metaadatait, ami lehet azonosító, e-mail, regisztrációs idő, IP-cím, de akár a felhasználó jelszava is.