2009 „Nem érdemes a hibáinkat elkövetni, ha nem tanulunk belőle!” Gondolatok a biztonsági incidensek nyilvánosságra hozatalával kapcsolatos szabályozás adatvédelmi vonatkozásairól Keleti Arthur IT Biztonsági stratéga, KFKI Főszervező, Informatikai Biztonság Napja

ITBN Tartalom •Miről is beszélünk? - Az adatvesztésről dióhéjban •Incidensek nyilvánosságra hozatala: a gyakorlat (USA) •A nyilvánosság szerepe, reakciói, a szabályozás hatásai •Tapasztalatok, statisztikák, eredmények, pro és kontra •A téma helyzete az EU-ban és Magyarországon •A továbblépések lehetőségei, javaslatok, elképzelések

ITBN Az adatvesztésről, adatszivárgásról •Mit történhet egy adattal? Nem megengedett módon hozzáférnek, ellopják, módosítják, törlik, nyilvánosságra hozzák, felhasználják stb. •Hogy lehetséges ez? Az adatokat az egyre összetettebb informatikai rendszereink tartalmazzák. Jobb esetben védik. A rendszerek biztonsága és a bennük tárolt adatok kezelésének folyamatai nem megfelelőek és nem egyenszilárdak. Nagyon nem azok… •A probléma komplexitása elriasztja a szervezeteket annak megoldásától, sajnos gyakran még a felismerés fázisába sem jutnak el. •Ez azonban nem csökkenti az adatvesztésből fakadó károk nagyságát vagy az adatszivárgás mentén keletkező globálisabb problémákat: identitás eltulajdonítása, bankszámla csalások stb.

ITBN Adatokkal összefüggő incidensek (WW, főleg USA) 190 db belső okokra vezethető vissza (42 rosszindulatú, 146 véletlen) 575 db-ot külső forrás okozta, 8 db pedig eddig ismeretlen forrásból eredt 600 esetben társadalombiztosítási számok, 63 esetben bankkártyaszámok, 72 esetben általános adatvesztés és 35 esetben tévesen szemétbe dobott információk voltak érintettek. Forrás: Open Security Foundation jelentések

ITBN Adatokkal összefüggő incidensek 2008 (WW, főleg USA) Összes eset száma: 483 db Összes érintett bejegyzés száma: 83,350,024 db Egészségügyi szám, jelző, adat: 343 db Címek és telefonszámok: 366 db Forrás: Open Security Foundation jelentések

ITBN Adatokkal összefüggő incidensek 2008 Hack – 17% Web – 14% Ellopott PC – 6% Csalás – 6% Szemétből származó – 5% Postai levél – 4% Elvesztett meghajtó – 3% Ellopott dokumentum – 3% – 3% Ellopott szalag – 3% Elvesztett média– 3% Ellopott laptop – 20% Forrás: Open Security Foundation jelentések

ITBN Nyilvánosságra hozatali gyakorlat, USA • : több területen is megjelenik az igény a fogyasztók, vásárlók, állampolgárok teljes körű és korrekt tájékoztatására (pl. élelmiszer címkék) •Motiváció az adatszivárgás terén: 2005-ben 56 milliárd USD veszteség származik belőle, USD / áldozat •A nyilvánosságra hozatal vezérfonalai: –“A napfény gyógyít” elve: amire fény vetül azt meg lehet oldani –“Jogunk van tudni” elve: minden állampolgárnak értesülnie kell, ha adatait helytelenül kezelték, mert csak akkor intézkedhet •California 2003-ban elfogadja és beiktatja az biztonsági incidensek jelzéséről, kezeléséről szóló törvényt

ITBN Nyilvánosságra hozatali gyakorlat, USA A törvény elfogadása az USA-ban …

ITBN Nyilvánosságra hozatal államonként •44 állam + néhány nevesített terület vezette be •Minden államban különböző tartalom •Vezérelvként mindegyik változatban megkövetelik: –az incidensek jelzését, –a megfelelő időpontban, –amennyiben személyekhez köthető információ •akár elveszett, •akár valószínűsíthető, hogy arra nem jogosultakhoz került, •és sejthetően sértetlensége, bizalmassága, hitelessége sérült. •A sértett lakhelyéhez kötik a konkrét végrehajtást

ITBN További témakörök a törvényekben •Az incidens (breach) definíciója nem mindenhol egységes. Általában a definíció lényege: “engedély nélküli hozzáférés olyan személy vagy szervezet által kezelt számítógépes adatokhoz, amely sérti azok biztonságát,megbízhatóságát, sértetlenségét és rendelkezése állását. Több álamban csak a NEM titkosított adatokat érti ide a törvény. Néhány állam a papíron kezelt adatokat IS a definícióba sorolja. •Személy pontos azonosítására alkalmas adat. Pontosabban egy személy neve mellé még egy vagy több olyan információ amivel egyértelműen azonosítani lehet. Van olyan állam, ahol csak a felhasználónevekre és jelszavakra vonatkozik a törvény.

ITBN További témakörök a törvényekben •Kiváltó ok. Minden hasonló rendelkezésnek talán a legfontosabb eleme. Mely esetben kell jelenteni egy incidenst? Az USA-ban 17 államban: minden incidens jelentése kötelező, kivételek: csak, ha úgy érzik, hogy az incidens veszélyt jelenthet a fogyasztókra. •A hatókör szempontjából nem igaz minden állami és piaci résztvevőre egyaránt. 23 államban egységes, de a többiben csak néhány kategóriát érint (pl. brókerek) •Az értesítés tekintetében is több paramétert vesznek figyelembe. Alapvetően az időt és az értesítendő kört határozzák meg, de ez változhat pl. az összeg nagyságától függően is. Szól a tájékoztatás módjáról is.

ITBN További témakörök a törvényekben •Kivételek is vannak a rendelkezések alól. Több államban egyéb szabványok vagy szabályok (pl. GLBA, HIPAA) alá tartozó szervezetekre nem vonatkozik a törvény. Van ahol a titkosítás, vagy éppen az, hogy papíron is tárolják az adatokat felmentést ad a törvény alól. •Büntetés szempontjából is eltérőek a szabályok. Több államban nincs felső határa a kiszabható büntetésnek. Van ahol alsó és felső limitek is vannak (pl. Arkansas-ban USD, ugyanez Floridában USD)

ITBN A törvény hatásmechanizmusa Incidensek nyilvánosságára hozatalát elrendelő törvény Értesített fogyasztók Fogyasztók akik kezelik a kockázatot Identitás lopás bűntette Érintett szervezetek érdeke, hogy fejlesszék a biztonsági rendszereiket Incidensek Elsődleges hatás Másodlagos hatás Forrás: Romanovsky: Do Data Breach Disclosure Laws Reduce Identity Theft?

ITBN Tapasztalatok, eredmények •Nehéz egyértelműen megmondani, hogy milyen hatással van a törvény az adatvesztésekre, incidensekre, ennek oka, hogy –a kutatási adatok rossz minőségűek, sok bennük a torzító tényező –a rendelkezés nem egységes minden államban, a jelentések sem érkeznek ugyanúgy mindenhonnan –a felmérések szerint az identitás lopások forrásainak legalább % ismeretlen eredetű az áldozatok számára (ettől még okozhatják cégek) •Egyértelműen jó tapasztalat, hogy az incidensek által okozott kár nagysága csökkent az elmúlt években •A törvény hatókörébe eső cégek biztonsági rendszereiben sok fejlesztés történt (törvény nélkül nem motiváltak rá)

ITBN Pro-k és kontrák •Kontra: kicsi annak a valószínűsége, hogy valakinek ellopják az identitását (kb. 2%) •Kontra: a túlságosan gyakori jelentések megszüntethetik az érdeklődést, zavart kelthetnek, “farkast kiáltunk”. •Pro: a fogyasztók nem szavaznak bizalmat az adataikat hanyagul kezelő szervezeteknek •Pro: a nyilvánosság segít abban, hogy megismerjük mely területeken és szektorokban kell javítani az adatok kezelésén •Pro: a fogyasztók megtanulják, hogy mit jelent biztonságosan kezelni adat- és anyagi vagyonukat (pl. az interneten)

ITBN A téma helyzete az EU-ban •Az adatvédelmi kérdések fejlesztésének érdekében az Európa Tanács javaslatokkal egészítette ki az ePrivacy Direktíva néven is ismeretes rendeletet (Directive 2002/58/EC on privacy and electronic communications) •2008 április 14-én az Európai Adatvédelmi Biztos a fenti review-hoz egy állásfoglalást készített, amelyben megfogalmazta, hogy a javaslat nem megfelelő mélységben foglalkozik az incidensek nyilvánosságra hozatalával. Ennek megfelelően a témában kiegészítő javaslatokat tett.

ITBN A téma helyzete az EU-ban • során Angliában is intenzíven foglalkozni kezdtek egy nyilvánosságra hozatalt elrendelő törvény gondolatával (HMRC 25 millió gyermeksegélyezési adatot veszített el novemberben, a MoD elveszített laptopján a fegyveres erők 600 ezer jelentkezőjének adatai voltak...) •A Tudományos és Technologóiai Tanács véleménye szerint: “az incidensek nyilvánosságra hozatalát előíró törvény azon intézkedések közé tartozik, amelyek a legfontosabb előrelépést jelentenék a magánszemélyek biztonságos internet használatában” •2008 végén az angliai ICO (Infrormatikai Biztos) bírságolási jogkört kap az adatszivárgási ügyekre

ITBN A téma helyzete az EU-ban •2009 január 9-én az Európai Adatvédelmi Biztos újabb javaslattal egészítette ki a már korábbi első véleményt az ePrivacy Direktívához. Ebben már egyértelműen megfogalmazza az adatszivárgási incidensek nyilvánosságra hozatalának rendszeréhez feltétlenül szükséges elemeket (II. fejezet): –az incidens definíciója –a törvény hatálya alá eső szervezetek –a kiváltó okok meghatározása –az incidens szintjét elbíráló szervezet –a jelentés, értesítés célcsoportja

ITBN A téma helyzete az EU-ban •A javaslat boncolgatja az Európai Parlament, a Tanács és a Biztos értesítési modelljei közötti különbségeket. Mindhárom jó megközelítés, elvi különbségek vannak köztük. •Mindhárom javaslat ugyanúgy fogalmazza meg az incidens definícióját, amely valószínűleg ebben a formában kerül majd elfogadásra: “a breach of security leading to the accidental or unlawful destruction, loss, alteration, unauthorized disclosure of or access to personal data, transmitted, stored or otherwise processed” •Valószínű, hogy incidens lesz majd minden olyan esemény, amely “kárt okozhat”

ITBN A helyzet hazánkban Mely IT biztonsági illetve üzletmenet folytonosságot biztosító eszközöket/szolgáltatásokat/megoldásokat alkalmazzák? TOP Bázis: összes intézmény, n=101 Bázis: összes vállalat, n=401 Forrás: I. Független IT-biztonsági Piackutatás (IVSZ, ITBN) Vállalatok Államigazgatás

ITBN IT biztonsági alkalmazások elterjedtsége 2008 Forrás: I. Független IT-biztonsági Piackutatás (IVSZ, ITBN) Bázis: összes válaszadó [vállalat=401, Top200 vállalat n=25, KKI n=104]

ITBN A jövő: javaslatok magunknak •Egységes jelentési-, nyilvánosságra hozatali forma (nincs lehetőség a hátrányból marketing módszerekkel előnyt kovácsolni) – meghatározza a tartalmat (pl. kihez kell, lehet fordulni) •A törvény minden szervezetre vonatkozik, amely érzékeny adatokat kezel •Részletes (akár szektorfüggő) kritériumrendszer szabályozza, hogy mely eseményeket kell jelenteni •Független központi szervezet, amely minden jelentést megkap és gondoskodik az adatok szolgáltatásáról, mérhetőségéről, statisztikáiról, jelentéséről •Állampolgári tájékoztatási programok (miként limitálhatja banki műveleteit, mit tegyen, ha ellopják az adatait) •Erősítsük meg a vállalatok, intézmények adatbiztonsági rendszereit

ITBN Külső, keretréteg Törvények Sztenderdek Auditorok Absztrakciós réteg Adat utak Folyamatok Felhasználók Technológiai réteg Szerverek Laptopok Hordozható eszközök Konfiguráció Alkalmazások Adatbázisok Belső előírások Pénzügyi lehetőségek Szerepkörök Adminisztrátorok A megoldás felé tehető lépések (pl. adatvédelmi projekt)

ITBN Források és érdekes olvasnivalók •EDPS second Opinion on ePrivacy Directive review and security breach: privacy safeguards need to be strengthened •Do Data Breach Disclosure Laws Reduce Identity Theft? - Sasha Romanosky •Open Security Foundation – DataLossDB •Security Breach Notification Legislation/Laws •Európai Adatvédelmi Biztos oldala (EDPS) •International Identity Theft Ring Operating in the U.S. and Romania Disrupted

2009 Köszönöm a figyelmet! Keleti Arthur IT Biztonsági stratéga, KFKI Főszervező, Informatikai Biztonság Napja