Keleti Arthur IT Biztons ági stratéga, KFKI Főszervező, Informatikai Biztonság Napja

1. „Nem érdemes a hibáinkat elkövetni, ha nem tanulunk belőle!”Gondolatok a biztonsági incidensek nyilvánosságra hozatalával kapcsolatos szabályozás adatvédelmi vonatkozásairól Keleti Arthur IT Biztonsági stratéga, KFKIFőszervező, Informatikai Biztonság Napja

2. Tartalom • Miről is beszélünk? - Az adatvesztésről dióhéjban • Incidensek nyilvánosságra hozatala: a gyakorlat (USA) • A nyilvánosság szerepe, reakciói, a szabályozás hatásai • Tapasztalatok, statisztikák, eredmények, pro és kontra • A téma helyzete az EU-ban és Magyarországon • A továbblépések lehetőségei, javaslatok, elképzelések

3. Az adatvesztésről, adatszivárgásról • Mit történhet egy adattal? Nem megengedett módon hozzáférnek, ellopják, módosítják, törlik, nyilvánosságra hozzák, felhasználják stb. • Hogy lehetséges ez? Az adatokat az egyre összetettebb informatikai rendszereink tartalmazzák. Jobb esetben védik. A rendszerek biztonsága és a bennük tárolt adatok kezelésének folyamatai nem megfelelőek és nem egyenszilárdak. Nagyon nem azok… • A probléma komplexitása elriasztja a szervezeteket annak megoldásától, sajnos gyakran még a felismerés fázisába sem jutnak el. • Ez azonban nem csökkenti az adatvesztésből fakadó károk nagyságát vagy az adatszivárgás mentén keletkező globálisabb problémákat: identitás eltulajdonítása, bankszámla csalások stb.

4. Adatokkal összefüggő incidensek 2002-2007 (WW, főleg USA) 190 db belső okokra vezethető vissza (42 rosszindulatú, 146 véletlen)575 db-ot külső forrás okozta, 8 db pedig eddig ismeretlen forrásból eredt 600 esetben társadalombiztosítási számok, 63 esetben bankkártyaszámok, 72 esetben általános adatvesztés és 35 esetben tévesen szemétbe dobott információk voltak érintettek. Forrás: Open Security Foundation jelentések

5. Adatokkal összefüggő incidensek 2008(WW, főleg USA) Összes eset száma: 483 db Összes érintett bejegyzés száma: 83,350,024 db Egészségügyi szám, jelző, adat: 343 db Címek és telefonszámok: 366 db Forrás: Open Security Foundation jelentések

6. Adatokkal összefüggő incidensek 2008 Szemétből származó – 5% Csalás – 6% Postai levél – 4% Elvesztett meghajtó – 3% Ellopott PC – 6% Ellopott dokumentum – 3% Email – 3% Ellopott szalag – 3% Elvesztett média– 3% Web – 14% Ellopott laptop – 20% Hack – 17% Forrás: Open Security Foundation jelentések

7. Nyilvánosságra hozatali gyakorlat, USA • 2000-2002: több területen is megjelenik az igény a fogyasztók, vásárlók, állampolgárok teljes körű és korrekt tájékoztatására (pl. élelmiszer címkék) • Motiváció az adatszivárgás terén: 2005-ben 56 milliárd USD veszteség származik belőle, 6 383 USD / áldozat • A nyilvánosságra hozatal vezérfonalai: • “A napfény gyógyít” elve: amire fény vetül azt meg lehet oldani • “Jogunk van tudni” elve: minden állampolgárnak értesülnie kell, ha adatait helytelenül kezelték, mert csak akkor intézkedhet • California 2003-ban elfogadja és beiktatja az biztonsági incidensek jelzéséről, kezeléséről szóló törvényt

8. Nyilvánosságra hozatali gyakorlat, USA … A törvény elfogadása az USA-ban 2002-2006

9. Nyilvánosságra hozatal államonként • 44 állam + néhány nevesített terület vezette be • Minden államban különböző tartalom • Vezérelvként mindegyik változatban megkövetelik: • az incidensek jelzését, • a megfelelő időpontban, • amennyiben személyekhez köthető információ • akár elveszett, • akár valószínűsíthető, hogy arra nem jogosultakhoz került, • és sejthetően sértetlensége, bizalmassága, hitelessége sérült. • A sértett lakhelyéhez kötik a konkrét végrehajtást

10. További témakörök a törvényekben • Az incidens (breach) definíciója nem mindenhol egységes. Általában a definíció lényege: “engedély nélküli hozzáférés olyan személy vagy szervezet által kezelt számítógépes adatokhoz, amely sérti azok biztonságát,megbízhatóságát, sértetlenségét és rendelkezése állását. Több álamban csak a NEM titkosított adatokat érti ide a törvény. Néhány állam a papíron kezelt adatokat IS a definícióba sorolja. • Személy pontos azonosítására alkalmas adat. Pontosabban egy személy neve mellé még egy vagy több olyan információ amivel egyértelműen azonosítani lehet. Van olyan állam, ahol csak a felhasználónevekre és jelszavakra vonatkozik a törvény.

11. További témakörök a törvényekben • Kiváltó ok. Minden hasonló rendelkezésnek talán a legfontosabb eleme. Mely esetben kell jelenteni egy incidenst? Az USA-ban 17 államban: minden incidensjelentése kötelező, kivételek: csak, ha úgy érzik, hogy az incidens veszélyt jelenthet a fogyasztókra. • A hatókör szempontjából nem igaz minden állami és piaci résztvevőre egyaránt. 23 államban egységes, de a többiben csak néhány kategóriát érint (pl. brókerek) • Az értesítés tekintetében is több paramétert vesznek figyelembe. Alapvetően az időt és az értesítendő kört határozzák meg, de ez változhat pl. az összeg nagyságától függően is. Szól a tájékoztatás módjáról is.

12. További témakörök a törvényekben • Kivételek is vannak a rendelkezések alól. Több államban egyéb szabványok vagy szabályok (pl. GLBA, HIPAA) alá tartozó szervezetekre nem vonatkozik a törvény. Van ahol a titkosítás, vagy éppen az, hogy papíron is tárolják az adatokat felmentést ad a törvény alól. • Büntetés szempontjából is eltérőek a szabályok. Több államban nincs felső határa a kiszabható büntetésnek. Van ahol alsó és felső limitek is vannak (pl. Arkansas-ban25.000 USD, ugyanez Floridában 500.000 USD)

13. A törvény hatásmechanizmusa + + Elsődleges hatás Értesítettfogyasztók Fogyasztók akik kezelika kockázatot - Incidenseknyilvánosságárahozatalát elrendelőtörvény Incidensek - Identitás lopásbűntette - Érintett szervezetekérdeke, hogyfejlesszék abiztonságirendszereiket + Másodlagos hatás Forrás: Romanovsky: Do Data BreachDisclosure Laws Reduce Identity Theft?

14. Tapasztalatok, eredmények • Nehéz egyértelműen megmondani, hogy milyen hatással van a törvény az adatvesztésekre, incidensekre, ennek oka, hogy • a kutatási adatok rossz minőségűek, sok bennük atorzító tényező • a rendelkezés nem egységes minden államban, a jelentések sem érkeznek ugyanúgy mindenhonnan • a felmérések szerint az identitás lopások forrásainak legalább 30-40% ismeretlen eredetű az áldozatok számára (ettől még okozhatják cégek) • Egyértelműen jó tapasztalat, hogy az incidensek által okozott kár nagysága csökkent az elmúlt években • A törvény hatókörébe eső cégek biztonsági rendszereiben sok fejlesztés történt (törvény nélkül nem motiváltak rá)

15. Pro-k és kontrák • Kontra: kicsi annak a valószínűsége, hogy valakinek ellopják az identitását (kb. 2%) • Kontra: a túlságosan gyakori jelentések megszüntethetik az érdeklődést, zavart kelthetnek, “farkast kiáltunk”. • Pro: a fogyasztók nem szavaznak bizalmat az adataikat hanyagul kezelő szervezeteknek • Pro: a nyilvánosság segít abban, hogy megismerjük mely területeken és szektorokban kell javítani az adatok kezelésén • Pro: a fogyasztók megtanulják, hogy mit jelent biztonságosan kezelni adat- és anyagi vagyonukat (pl. az interneten)

16. A téma helyzete az EU-ban • Az adatvédelmi kérdések fejlesztésének érdekében az Európa Tanács javaslatokkal egészítette ki az ePrivacy Direktíva néven is ismeretes rendeletet (Directive 2002/58/EC on privacy and electroniccommunications) • 2008 április 14-én az Európai Adatvédelmi Biztos a fenti review-hoz egy állásfoglalást készített, amelyben megfogalmazta, hogy a javaslat nem megfelelő mélységben foglalkozik az incidensek nyilvánosságra hozatalával. Ennek megfelelően a témában kiegészítő javaslatokat tett.

17. A téma helyzete az EU-ban • 2007-2008 során Angliában is intenzíven foglalkozni kezdtek egy nyilvánosságra hozatalt elrendelő törvény gondolatával (HMRC 25 millió gyermeksegélyezési adatot veszített el novemberben, a MoD elveszített laptopján a fegyveres erők 600 ezer jelentkezőjének adatai voltak ...) • A Tudományos és Technologóiai Tanács véleménye szerint: “az incidensek nyilvánosságra hozatalát előíró törvény azon intézkedések közé tartozik, amelyek a legfontosabb előrelépést jelentenék a magánszemélyek biztonságos internet használatában” • 2008 végén az angliai ICO (Infrormatikai Biztos) bírságolási jogkört kap az adatszivárgási ügyekre

18. A téma helyzete az EU-ban • 2009 január 9-én az Európai Adatvédelmi Biztos újabb javaslattal egészítette ki a már korábbi első véleményt az ePrivacy Direktívához. Ebben már egyértelműen megfogalmazza az adatszivárgási incidensek nyilvánosságra hozatalának rendszeréhez feltétlenül szükséges elemeket (II. fejezet): • az incidens definíciója • a törvény hatálya alá eső szervezetek • a kiváltó okok meghatározása • az incidens szintjét elbíráló szervezet • a jelentés, értesítés célcsoportja

19. A téma helyzete az EU-ban • A javaslat boncolgatja az Európai Parlament, a Tanács és a Biztos értesítési modelljei közötti különbségeket. Mindhárom jó megközelítés, elvi különbségek vannak köztük. • Mindhárom javaslat ugyanúgy fogalmazza meg az incidens definícióját, amely valószínűleg ebben a formában kerül majd elfogadásra:“a breach of security leading to the accidental or unlawful destruction, loss, alteration, unauthorized disclosure of or access to personal data, transmitted, stored or otherwise processed” • Valószínű, hogy incidens lesz majd minden olyan esemény, amely “kárt okozhat”

20. A helyzet hazánkban Mely IT biztonsági illetve üzletmenet folytonosságot biztosító eszközöket/szolgáltatásokat/megoldásokat alkalmazzák? TOP10 - 2008 Államigazgatás Vállalatok Bázis: összes vállalat, n=401 Bázis: összes intézmény, n=101 Forrás: I. Független IT-biztonsági Piackutatás (IVSZ, ITBN)

21. IT biztonsági alkalmazások elterjedtsége 2008 Forrás: I. Független IT-biztonságiPiackutatás (IVSZ, ITBN) Bázis: összes válaszadó [vállalat=401, Top200 vállalat n=25, KKI n=104]

22. A jövő: javaslatok magunknak • Egységes jelentési-, nyilvánosságra hozatali forma (nincs lehetőség a hátrányból marketing módszerekkel előnyt kovácsolni) – meghatározza a tartalmat (pl. kihez kell, lehet fordulni) • A törvény minden szervezetre vonatkozik, amely érzékeny adatokat kezel • Részletes (akár szektorfüggő) kritériumrendszer szabályozza, hogy mely eseményeket kell jelenteni • Független központi szervezet, amely minden jelentést megkap és gondoskodik az adatok szolgáltatásáról, mérhetőségéről, statisztikáiról, jelentéséről • Állampolgári tájékoztatási programok (miként limitálhatja banki műveleteit, mit tegyen, ha ellopják az adatait) • Erősítsük meg a vállalatok, intézmények adatbiztonsági rendszereit

23. A megoldás felé tehető lépések (pl. adatvédelmi projekt) Külső, keretréteg Absztrakciós réteg Technológiai réteg Adat utak Szerverek Törvények Folyamatok Laptopok Sztenderdek Hordozható eszközök Belső előírások Szerepkörök Auditorok Felhasználók Konfiguráció Adatbázisok Adminisztrátorok Pénzügyi lehetőségek Alkalmazások

24. Források és érdekes olvasnivalók • EDPS second Opinion on ePrivacy Directive review and security breach: privacy safeguards need to be strengthenedhttp://europa.eu/rapid/ • Do Data Breach Disclosure Laws Reduce Identity Theft? - Sasha Romanosky http://weis2008.econinfosec.org/papers/Romanosky.pdf • Open Security Foundation – DataLossDBhttp://datalossdb.org/ • Security Breach Notification Legislation/Lawshttp://www.ncsl.org/programs/lis/cip/priv/breach.htm • Európai Adatvédelmi Biztos oldala (EDPS)http://edps.europa.eu/EDPSWEB/ • International Identity Theft Ring Operating in the U.S. and Romania Disruptedhttp://www.romanianewswatch.com/2008/08/international-identity-theft-ring.html

25. Köszönöm a figyelmet! Keleti Arthur IT Biztonsági stratéga, KFKIFőszervező, Informatikai Biztonság Napja keleti.arthur@itbn.hu