Az előadás letöltése folymat van. Kérjük, várjon

Az előadás letöltése folymat van. Kérjük, várjon

2009 „Nem érdemes a hibáinkat elkövetni, ha nem tanulunk belőle!” Gondolatok a biztonsági incidensek nyilvánosságra hozatalával kapcsolatos szabályozás.

KiadtaAlajos Szőke Megváltozta több, mint 9 éve

Hasonló előadás

Az előadások a következő témára: "2009 „Nem érdemes a hibáinkat elkövetni, ha nem tanulunk belőle!” Gondolatok a biztonsági incidensek nyilvánosságra hozatalával kapcsolatos szabályozás."— Előadás másolata:

1 2009 „Nem érdemes a hibáinkat elkövetni, ha nem tanulunk belőle!” Gondolatok a biztonsági incidensek nyilvánosságra hozatalával kapcsolatos szabályozás adatvédelmi vonatkozásairól Keleti Arthur IT Biztonsági stratéga, KFKI Főszervező, Informatikai Biztonság Napja

2 ITBN 2009 2 Tartalom •Miről is beszélünk? - Az adatvesztésről dióhéjban •Incidensek nyilvánosságra hozatala: a gyakorlat (USA) •A nyilvánosság szerepe, reakciói, a szabályozás hatásai •Tapasztalatok, statisztikák, eredmények, pro és kontra •A téma helyzete az EU-ban és Magyarországon •A továbblépések lehetőségei, javaslatok, elképzelések

3 ITBN 2009 3 Az adatvesztésről, adatszivárgásról •Mit történhet egy adattal? Nem megengedett módon hozzáférnek, ellopják, módosítják, törlik, nyilvánosságra hozzák, felhasználják stb. •Hogy lehetséges ez? Az adatokat az egyre összetettebb informatikai rendszereink tartalmazzák. Jobb esetben védik. A rendszerek biztonsága és a bennük tárolt adatok kezelésének folyamatai nem megfelelőek és nem egyenszilárdak. Nagyon nem azok… •A probléma komplexitása elriasztja a szervezeteket annak megoldásától, sajnos gyakran még a felismerés fázisába sem jutnak el. •Ez azonban nem csökkenti az adatvesztésből fakadó károk nagyságát vagy az adatszivárgás mentén keletkező globálisabb problémákat: identitás eltulajdonítása, bankszámla csalások stb.

4 ITBN 2009 4 Adatokkal összefüggő incidensek 2002-2007 (WW, főleg USA) 190 db belső okokra vezethető vissza (42 rosszindulatú, 146 véletlen) 575 db-ot külső forrás okozta, 8 db pedig eddig ismeretlen forrásból eredt 600 esetben társadalombiztosítási számok, 63 esetben bankkártyaszámok, 72 esetben általános adatvesztés és 35 esetben tévesen szemétbe dobott információk voltak érintettek. Forrás: Open Security Foundation jelentések

5 ITBN 2009 5 Adatokkal összefüggő incidensek 2008 (WW, főleg USA) Összes eset száma: 483 db Összes érintett bejegyzés száma: 83,350,024 db Egészségügyi szám, jelző, adat: 343 db Címek és telefonszámok: 366 db Forrás: Open Security Foundation jelentések

6 ITBN 2009 6 Adatokkal összefüggő incidensek 2008 Hack – 17% Web – 14% Ellopott PC – 6% Csalás – 6% Szemétből származó – 5% Postai levél – 4% Elvesztett meghajtó – 3% Ellopott dokumentum – 3% Email – 3% Ellopott szalag – 3% Elvesztett média– 3% Ellopott laptop – 20% Forrás: Open Security Foundation jelentések

7 ITBN 2009 7 Nyilvánosságra hozatali gyakorlat, USA •2000-2002: több területen is megjelenik az igény a fogyasztók, vásárlók, állampolgárok teljes körű és korrekt tájékoztatására (pl. élelmiszer címkék) •Motiváció az adatszivárgás terén: 2005-ben 56 milliárd USD veszteség származik belőle, 6 383 USD / áldozat •A nyilvánosságra hozatal vezérfonalai: –“A napfény gyógyít” elve: amire fény vetül azt meg lehet oldani –“Jogunk van tudni” elve: minden állampolgárnak értesülnie kell, ha adatait helytelenül kezelték, mert csak akkor intézkedhet •California 2003-ban elfogadja és beiktatja az biztonsági incidensek jelzéséről, kezeléséről szóló törvényt

8 ITBN 2009 8 Nyilvánosságra hozatali gyakorlat, USA A törvény elfogadása az USA-ban 2002-2006 …

9 ITBN 2009 9 Nyilvánosságra hozatal államonként •44 állam + néhány nevesített terület vezette be •Minden államban különböző tartalom •Vezérelvként mindegyik változatban megkövetelik: –az incidensek jelzését, –a megfelelő időpontban, –amennyiben személyekhez köthető információ •akár elveszett, •akár valószínűsíthető, hogy arra nem jogosultakhoz került, •és sejthetően sértetlensége, bizalmassága, hitelessége sérült. •A sértett lakhelyéhez kötik a konkrét végrehajtást

10 ITBN 2009 10 További témakörök a törvényekben •Az incidens (breach) definíciója nem mindenhol egységes. Általában a definíció lényege: “engedély nélküli hozzáférés olyan személy vagy szervezet által kezelt számítógépes adatokhoz, amely sérti azok biztonságát,megbízhatóságát, sértetlenségét és rendelkezése állását. Több álamban csak a NEM titkosított adatokat érti ide a törvény. Néhány állam a papíron kezelt adatokat IS a definícióba sorolja. •Személy pontos azonosítására alkalmas adat. Pontosabban egy személy neve mellé még egy vagy több olyan információ amivel egyértelműen azonosítani lehet. Van olyan állam, ahol csak a felhasználónevekre és jelszavakra vonatkozik a törvény.

11 ITBN 2009 11 További témakörök a törvényekben •Kiváltó ok. Minden hasonló rendelkezésnek talán a legfontosabb eleme. Mely esetben kell jelenteni egy incidenst? Az USA-ban 17 államban: minden incidens jelentése kötelező, kivételek: csak, ha úgy érzik, hogy az incidens veszélyt jelenthet a fogyasztókra. •A hatókör szempontjából nem igaz minden állami és piaci résztvevőre egyaránt. 23 államban egységes, de a többiben csak néhány kategóriát érint (pl. brókerek) •Az értesítés tekintetében is több paramétert vesznek figyelembe. Alapvetően az időt és az értesítendő kört határozzák meg, de ez változhat pl. az összeg nagyságától függően is. Szól a tájékoztatás módjáról is.

12 ITBN 2009 12 További témakörök a törvényekben •Kivételek is vannak a rendelkezések alól. Több államban egyéb szabványok vagy szabályok (pl. GLBA, HIPAA) alá tartozó szervezetekre nem vonatkozik a törvény. Van ahol a titkosítás, vagy éppen az, hogy papíron is tárolják az adatokat felmentést ad a törvény alól. •Büntetés szempontjából is eltérőek a szabályok. Több államban nincs felső határa a kiszabható büntetésnek. Van ahol alsó és felső limitek is vannak (pl. Arkansas-ban 25.000 USD, ugyanez Floridában 500.000 USD)

13 ITBN 2009 13 A törvény hatásmechanizmusa Incidensek nyilvánosságára hozatalát elrendelő törvény Értesített fogyasztók Fogyasztók akik kezelik a kockázatot Identitás lopás bűntette Érintett szervezetek érdeke, hogy fejlesszék a biztonsági rendszereiket Incidensek Elsődleges hatás + + - + - - Másodlagos hatás Forrás: Romanovsky: Do Data Breach Disclosure Laws Reduce Identity Theft?

14 ITBN 2009 14 Tapasztalatok, eredmények •Nehéz egyértelműen megmondani, hogy milyen hatással van a törvény az adatvesztésekre, incidensekre, ennek oka, hogy –a kutatási adatok rossz minőségűek, sok bennük a torzító tényező –a rendelkezés nem egységes minden államban, a jelentések sem érkeznek ugyanúgy mindenhonnan –a felmérések szerint az identitás lopások forrásainak legalább 30- 40% ismeretlen eredetű az áldozatok számára (ettől még okozhatják cégek) •Egyértelműen jó tapasztalat, hogy az incidensek által okozott kár nagysága csökkent az elmúlt években •A törvény hatókörébe eső cégek biztonsági rendszereiben sok fejlesztés történt (törvény nélkül nem motiváltak rá)

15 ITBN 2009 15 Pro-k és kontrák •Kontra: kicsi annak a valószínűsége, hogy valakinek ellopják az identitását (kb. 2%) •Kontra: a túlságosan gyakori jelentések megszüntethetik az érdeklődést, zavart kelthetnek, “farkast kiáltunk”. •Pro: a fogyasztók nem szavaznak bizalmat az adataikat hanyagul kezelő szervezeteknek •Pro: a nyilvánosság segít abban, hogy megismerjük mely területeken és szektorokban kell javítani az adatok kezelésén •Pro: a fogyasztók megtanulják, hogy mit jelent biztonságosan kezelni adat- és anyagi vagyonukat (pl. az interneten)

16 ITBN 2009 16 A téma helyzete az EU-ban •Az adatvédelmi kérdések fejlesztésének érdekében az Európa Tanács javaslatokkal egészítette ki az ePrivacy Direktíva néven is ismeretes rendeletet (Directive 2002/58/EC on privacy and electronic communications) •2008 április 14-én az Európai Adatvédelmi Biztos a fenti review-hoz egy állásfoglalást készített, amelyben megfogalmazta, hogy a javaslat nem megfelelő mélységben foglalkozik az incidensek nyilvánosságra hozatalával. Ennek megfelelően a témában kiegészítő javaslatokat tett.

17 ITBN 2009 17 A téma helyzete az EU-ban •2007-2008 során Angliában is intenzíven foglalkozni kezdtek egy nyilvánosságra hozatalt elrendelő törvény gondolatával (HMRC 25 millió gyermeksegélyezési adatot veszített el novemberben, a MoD elveszített laptopján a fegyveres erők 600 ezer jelentkezőjének adatai voltak...) •A Tudományos és Technologóiai Tanács véleménye szerint: “az incidensek nyilvánosságra hozatalát előíró törvény azon intézkedések közé tartozik, amelyek a legfontosabb előrelépést jelentenék a magánszemélyek biztonságos internet használatában” •2008 végén az angliai ICO (Infrormatikai Biztos) bírságolási jogkört kap az adatszivárgási ügyekre

18 ITBN 2009 18 A téma helyzete az EU-ban •2009 január 9-én az Európai Adatvédelmi Biztos újabb javaslattal egészítette ki a már korábbi első véleményt az ePrivacy Direktívához. Ebben már egyértelműen megfogalmazza az adatszivárgási incidensek nyilvánosságra hozatalának rendszeréhez feltétlenül szükséges elemeket (II. fejezet): –az incidens definíciója –a törvény hatálya alá eső szervezetek –a kiváltó okok meghatározása –az incidens szintjét elbíráló szervezet –a jelentés, értesítés célcsoportja

19 ITBN 2009 19 A téma helyzete az EU-ban •A javaslat boncolgatja az Európai Parlament, a Tanács és a Biztos értesítési modelljei közötti különbségeket. Mindhárom jó megközelítés, elvi különbségek vannak köztük. •Mindhárom javaslat ugyanúgy fogalmazza meg az incidens definícióját, amely valószínűleg ebben a formában kerül majd elfogadásra: “a breach of security leading to the accidental or unlawful destruction, loss, alteration, unauthorized disclosure of or access to personal data, transmitted, stored or otherwise processed” •Valószínű, hogy incidens lesz majd minden olyan esemény, amely “kárt okozhat”

20 ITBN 2009 20 A helyzet hazánkban Mely IT biztonsági illetve üzletmenet folytonosságot biztosító eszközöket/szolgáltatásokat/megoldásokat alkalmazzák? TOP10 - 2008 Bázis: összes intézmény, n=101 Bázis: összes vállalat, n=401 Forrás: I. Független IT-biztonsági Piackutatás (IVSZ, ITBN) Vállalatok Államigazgatás

21 ITBN 2009 21 IT biztonsági alkalmazások elterjedtsége 2008 Forrás: I. Független IT-biztonsági Piackutatás (IVSZ, ITBN) Bázis: összes válaszadó [vállalat=401, Top200 vállalat n=25, KKI n=104]

22 ITBN 2009 22 A jövő: javaslatok magunknak •Egységes jelentési-, nyilvánosságra hozatali forma (nincs lehetőség a hátrányból marketing módszerekkel előnyt kovácsolni) – meghatározza a tartalmat (pl. kihez kell, lehet fordulni) •A törvény minden szervezetre vonatkozik, amely érzékeny adatokat kezel •Részletes (akár szektorfüggő) kritériumrendszer szabályozza, hogy mely eseményeket kell jelenteni •Független központi szervezet, amely minden jelentést megkap és gondoskodik az adatok szolgáltatásáról, mérhetőségéről, statisztikáiról, jelentéséről •Állampolgári tájékoztatási programok (miként limitálhatja banki műveleteit, mit tegyen, ha ellopják az adatait) •Erősítsük meg a vállalatok, intézmények adatbiztonsági rendszereit

23 ITBN 2009 23 Külső, keretréteg Törvények Sztenderdek Auditorok Absztrakciós réteg Adat utak Folyamatok Felhasználók Technológiai réteg Szerverek Laptopok Hordozható eszközök Konfiguráció Alkalmazások Adatbázisok Belső előírások Pénzügyi lehetőségek Szerepkörök Adminisztrátorok A megoldás felé tehető lépések (pl. adatvédelmi projekt)

24 ITBN 2009 24 Források és érdekes olvasnivalók •EDPS second Opinion on ePrivacy Directive review and security breach: privacy safeguards need to be strengthened http://europa.eu/rapid/ http://europa.eu/rapid/ •Do Data Breach Disclosure Laws Reduce Identity Theft? - Sasha Romanosky http://weis2008.econinfosec.org/papers/Romanosky.pdfhttp://weis2008.econinfosec.org/papers/Romanosky.pdf •Open Security Foundation – DataLossDB http://datalossdb.org/ http://datalossdb.org/ •Security Breach Notification Legislation/Laws http://www.ncsl.org/programs/lis/cip/priv/breach.htm http://www.ncsl.org/programs/lis/cip/priv/breach.htm •Európai Adatvédelmi Biztos oldala (EDPS) http://edps.europa.eu/EDPSWEB/ http://edps.europa.eu/EDPSWEB/ •International Identity Theft Ring Operating in the U.S. and Romania Disrupted http://www.romanianewswatch.com/2008/08/international-identity-theft-ring.html http://www.romanianewswatch.com/2008/08/international-identity-theft-ring.html

25 2009 Köszönöm a figyelmet! Keleti Arthur IT Biztonsági stratéga, KFKI Főszervező, Informatikai Biztonság Napja keleti.arthur@itbn.hu

Letölteni ppt "2009 „Nem érdemes a hibáinkat elkövetni, ha nem tanulunk belőle!” Gondolatok a biztonsági incidensek nyilvánosságra hozatalával kapcsolatos szabályozás."

Hasonló előadás

Az Európai Unió támogatási alapjai, a 2007- 2013-as időszak újdonságai.

Az Európai Unió támogatási alapjai, a as időszak újdonságai.
Genertel sajtótájékoztató – az NRC kutatási adatai 2009. június 9.

Genertel sajtótájékoztató – az NRC kutatási adatai június 9.
1 Felszámolók Országos Egyesülete Balatonalmádi - 2013 Szeptember 6.

1 Felszámolók Országos Egyesülete Balatonalmádi Szeptember 6.
B – csoport E-kereskedelem logisztikája és E-logisztika

B – csoport E-kereskedelem logisztikája és E-logisztika
Hazai biztonsági körkép az ICT integrátor szemével Dani István, T-Systems Magyarország Zrt.

Hazai biztonsági körkép az ICT integrátor szemével Dani István, T-Systems Magyarország Zrt.
1 „ Gazdasági kihívások 2009-ben ” Dr. Hegedűs Miklós Ügyvezető GKI Energiakutató és Tanácsadó Kft. Dunagáz szakmai napok, Dobogókő 2009. Április 15.

1 „ Gazdasági kihívások 2009-ben ” Dr. Hegedűs Miklós Ügyvezető GKI Energiakutató és Tanácsadó Kft. Dunagáz szakmai napok, Dobogókő Április 15.
Új szabályok, új fogalmak az elektronikus ügyintézésben dr

Új szabályok, új fogalmak az elektronikus ügyintézésben dr
Készítette: Kotymán Arnold PS ÁMK Társulás Cserkeszőlő

Készítette: Kotymán Arnold PS ÁMK Társulás Cserkeszőlő
1 „Az FSZH hosszú és rövidtávú elképzelései a foglalkoztatási célú civil szervezetekkel való együttműködésre, különös tekintettel a szolgáltatás-vásárlásokra.

1 „Az FSZH hosszú és rövidtávú elképzelései a foglalkoztatási célú civil szervezetekkel való együttműködésre, különös tekintettel a szolgáltatás-vásárlásokra.
Tanuló (projekt)szervezet a Magyar Nemzeti Bankban

Tanuló (projekt)szervezet a Magyar Nemzeti Bankban
1 Az önfeltárás kockázati tényezőinek összefoglalása Dimenzió Idő Téma Értékelés Emberek Kis kockázat Múlt események, gondolatok, általános elképzelések.

1 Az önfeltárás kockázati tényezőinek összefoglalása Dimenzió Idő Téma Értékelés Emberek Kis kockázat Múlt események, gondolatok, általános elképzelések.
Hogyan lehet a növekedést fenntartani adózás helyett? Előadó: Gurabi Attila

Hogyan lehet a növekedést fenntartani adózás helyett? Előadó: Gurabi Attila
1 A magyar gazdaság helyzete, perspektívái 2008 tavaszán Dr. Papanek Gábor Előadás Egerben 2008. május 7.-én.

1 A magyar gazdaság helyzete, perspektívái 2008 tavaszán Dr. Papanek Gábor Előadás Egerben május 7.-én.
Digitális információink védelme Borbély András, Grepton Rt.

Digitális információink védelme Borbély András, Grepton Rt.
Elektronikus levelezés

Elektronikus levelezés
Urban Audit Az egységes városstatisztikai adatbázis.

Urban Audit Az egységes városstatisztikai adatbázis.
FÜGGETLEN KÖZLEKEDÉSBIZTONSÁGI

FÜGGETLEN KÖZLEKEDÉSBIZTONSÁGI
Átláthatósági jelentések követelményei, tapasztalatok

Átláthatósági jelentések követelményei, tapasztalatok
INTÉZMÉNYKÖZI MEGÁLLAPODÁS SZERKEZET. TÖRTÉNET, SZEREPLŐK 1999-es megállapodás 2002-es megállapodás 2006-os (hatályos) megállapodás Módosítások: 2007,

INTÉZMÉNYKÖZI MEGÁLLAPODÁS SZERKEZET. TÖRTÉNET, SZEREPLŐK 1999-es megállapodás 2002-es megállapodás 2006-os (hatályos) megállapodás Módosítások: 2007,
© 2007 GKIeNET Kft. A környezettudatosság és informatika Lőrincz Vilmos.

© 2007 GKIeNET Kft. A környezettudatosság és informatika Lőrincz Vilmos.

Hasonló előadás

Google Hirdetések