Notice: Function _load_textdomain_just_in_time was called incorrectly. Translation loading for the better-wp-security domain was triggered too early. This is usually an indicator for some code in the plugin or theme running too early. Translations should be loaded at the init action or later. Please see Debugging in WordPress for more information. (This message was added in version 6.7.0.) in /home/bitheor/public_html_dev/wp-includes/functions.php on line 6114
GDPR figyelmeztetés elavult szoftver miatt - DEV BITheory Kft.

GDPR figyelmeztetés elavult szoftver miatt

Szerző: | 2021.04.16. | Egyéb kategória | Nincsenek hozzászólások

2018. Május 25.-től alkalmazni kell a GDPR rendelkezésit, amely az Európai Unió általános adatvédelmi rendelete. Azóta mindenki felkészült (elviekben), hogy betarthassa a jogszabályokban foglaltaknak, de sokan csak papíron vagy a weboldalak hasábjain igyekeznek megfelelni ezeknek a kötelezettségeknek. Pedig egy GDPR figyelmeztetés vagy büntetés egyik vállalkozás hírnevének se tesz jót.

Röviden a GDPR-ról 

A GDPR (General Data Protection Regulation) az Európai Parlament és a Tanács 2016/679 rendelete. Ez határozza meg a természetes személyeknek, a személyes adatok kezelése tekintetében történő védelmét és az ilyen adatok szabad áramlását. Hatálya kiterjed minden EU-ban működő gazdasági társaságra. A régebben alkalmazott adatvédelmi szabályokhoz képest a GDPR szigorúbb követelményeket támaszt az adatkezelő szervezetek felé. 

A GDPR a tagállamok számára egy teljesen egységes rendszert állít fel a szankciók tekintetében. Amennyiben a bíróság bizonyítja, hogy nem megfelelően használtuk fel az adatokat vagy nem figyeltünk oda az adatok tárolására, alapesetben maximum 10 millió euró vagy vállalkozások esetében maximum a vállalkozás előző évi teljes világpiaci forgalmának 2%-áig terjedő bírságot állapíthat meg. Itt fontos megjegyezni, hogy a rendelkezés azt is kimondja, hogy a kettő közül a magasabb összeget kell kiszabni. Súlyosabb esetben a bírság mértéke elérheti a 20 millió euró vagy a forgalom 4%-át is. 

GDPR figyelmeztetés elavult szoftver miatt 

Az elavult IT eszközök és szoftverek az egyik leggyakrabban használt támadási pontjai az adatvédelmi incidenseknek. Nem megfelelő mértékű odafigyelés miatt már a világ legnagyobb cégei is szenvedtek el hasonló támadásokat és az okozott károkon felül gyakran tetemes összegű bírságot is be kell fizetniük. 

A Lengyel Adatvédelmi Hatóság (UODO) 2021. február 17-én hozta nyilvánosságra, hogy figyelmeztetésben részesített egy élményfürdő üzemeltetésével foglalkozó céget. Az interneten közzétett információkból kiderül, hogy a fürdő az elavult biztonsági intézkedések miatt lett adatvédelmi incidens „áldozata”. 

Az adatkezelő – jelen esetben az üzemeltetésért felelős cég – a személyes adatokat tároló IT rendszert régóta nem tartotta karban, így, amikor egy zsarolóvírus bekerült a rendszerbe, nem volt hatásos módja azt kivédeni.  

Az UODO ezt követően kezdte meg a vizsgálatot, amely során feltárta, hogy a cég elmulasztotta a szükséges biztonsági és szervezeti intézkedéseket meghozni, amelyek az adatkezelés biztonságához elengedhetetlenek lettek volna és megakadályozhatták volna az adatvédelmi incidenst. 

A vizsgálat rámutatott, hogy az IT üzemeltető elavult operációs rendszert alkalmazott, illetve nem voltak alávetve megfelelő ellenőrzéseknek és frissítéseknek. A korlátozott és régen elvégzett tesztekben ugyanis csak az egyes szoftverek működését és a meghibásodások elleni védelmet tesztelték. Ennek következményeként történhetett meg, hogy mire a támadásról a cég tudomást szerzett, a személyes adatokat már titkosította a zsarolóvírus, azok visszaállításáért pedig “váltságdíjat” követelt. 

Az ügyben továbbá arra is fény derült, hogy az operációs rendszeren kívül a rendszeren futtatott egyéb szoftverek is potenciális hibaforrások voltak, mivel azokat a gyártók már nem támogatták, így biztonsági frissítéseket sem kaphattak. 

A Hatóság figyelmeztetésében külön kiemelte, hogy minden adatkezelőnek kötelessége az általa használt rendszereket folyamatosan tesztelni, felülvizsgálni és azokon igény szerint folyamatos változtatásokat végrehajtani, hogy minden esetben biztosítható legyen a kezelt adatok biztonsága. Ebben az esetben az adatkezelő ezen kötelezettségének csak az incidens után tett eleget. Új operációs rendszer használatára állt át és olyan új szoftvercsomagra váltott, melyhez elérhetőek a folyamatos biztonsági frissítések. Az elavult szoftverek használata esetén bekövetkező adatvédelmi incidensek számos esetben könnyedén elkerülhetőek lettek volna, ha az adatkezelő megfelelő figyelmet fordít a naprakész verziók használatára. 

A cég és az érintettek szerencséjére a vizsgálat rámutatott, hogy a személyes adatok csupán titkosítva lettek, azokhoz más személy illetéktelenül nem fért hozzá. Ebből kifolyólag az UODO megállapította, hogy az incidens nem járt negatív következményekkel az érintett számára. 

Emiatt döntött úgy a hatóság, hogy bírság helyett csak figyelmeztetésben részesíti a céget. Ebben nagy szerepet játszott, hogy az esetnek az érintettek között nincs kárvallottja, illetve, hogy az adatkezelő már a vizsgálat lefolytatása alatt szorosan együttműködött a Hatósággal. 

Nem csupán Rendszergazda 

A fentiekből is egyértelműen kiderül, hogy a cégeknek nem elég egy olyan vállalkozást megbízni az üzemeltetéssel, aki “csak ért hozzá”. Az IT rendszer biztonságos üzemeltetése, a jogtiszta szoftverek használata, a laptopok és számítógépek folyamatos karbantartása és a folyamatos ügyfélkapcsolat összessége nyújthat csak biztonságot. Még így is előfordulhat adatvédelmi incidens, de ezekre gyorsan lehet reagálni és a károkozás kockázata a minimálisra csökkenthető. 

Mi a mikro, kis, és középvállalkozásoknak nyújtunk teljeskörű informatikai szolgáltatásokat és egyedi igényekhez igazodva tartjuk karban a számítógépes rendszereket, valamint magasszintű felhasználói támogatással tesszük hatékonyabbá a cégek működését. Vegye fel velünk a kapcsolatot, keressen minket bizalommal.