A szokásosnál izgalmasabb konferencia

Május elején cégünk képviseletében tartott előadást Vargáné Parrag Jolán az Aruba Cloud magyarországi képviseletének vezetője a CIO Hungary 2016-os konferencián, Zalakaroson. Joli nagy izgalommal és lelkesedéssel készült előadására. Szerette volna méltón képviselni cégünket ezen a nagyszabású konferencián. Előadásának címe: Az európai adatközponti szabályozás és az adatbiztonság. Szeretnénk röviden összefoglalni ezt a nagyszerű előadást.



Nézzük, miről is volt szó:

Mikor kiállítóként jelenünk meg konferenciákon, gyakran mondják a standunkhoz látogatók, hogy ők csak olyan adatot tesznek ki a felhőbe, ami egyébként se lenne baj, ha elveszne. Ez ihlette az előadás témáját, az adatvédelmet. Bár az utóbbi két évben azt tapasztaltuk, hogy nőtt a Cloud felhasználók száma, sokaknál továbbra is visszatartó erő, hogy adataikat nem igazán érzik biztonságban felhős környezetben. Az Európai Parlament, meg kívánja védeni az európai lakosságot első sorban a titkosszolgálatok megfigyeléseitől, ezért szigorúbb adatvédelmi szabályok elfogadtatását sürgette. Az amerikai titkosszolgálatok megfigyelési gyakorlatát Edward Snowden leplezte le és gyakorlatilag ez az ügy miatt kirobbant botrány volt az ok, amiért a parlament szükségesnek ítélte a törvények újragondolását, szigorítását.

Az adatvédelem reformja egyben a bizalomhiányt is kívánja orvosolni oly módon, hogy az állampolgároknak több jogot ad. Legyen lehetőségük véglegesen törölni az információkat az internetről, vagy más szolgáltatóhoz történő átköltöztetés „history” nélkül. A cégeknek és intézményeknek 24 órán belül bejelentési kötelezettséget ír elő a törvény, ha adatbázisaikat támadás érte, hogy az adatok tulajdonosai megtehessék a megfelelő intézkedéseket. A szabálysértők pedig az eddiginél komolyabb büntetésre számíthatnak, amely elérheti éves árbevételük 2%-át. Tagországonként eltérő előírások helyébe EGY KONTINENS EGY TÖRVÉNY elv fog életbe lépni, azaz az egyablakos ügyintézés megteremtése, avagy több tagállamban is működő cégnek elegendő csak a székhely szerinti adatvédelmi hatósággal tartani a kapcsolatot, mert a TAGORSZÁGI FELÜGYELETEK együttműködnek majd. A Nemzeti Adatvédelmi és Információszabadság Hatóság, ahová fordulni lehet adatvédelemmel kapcsolatos sérelmek esetén.

Félreértések adódnak az adatvédelemre vonatkozó törvények kapcsán abból, hogy európai, vagy amerikai környezetből szemléljük őket. A szolgáltató székhelyét kell alapul vennünk. A probléma abból gyökerezik, hogy sajnos teljesen különböző módot használ az európai, ill. az amerikai törvény a magánszféra meghatározására, és annak módjára, hogy hogyan kell ezt megvédeni.

  • Amerikai megközelítésből: Az Európai Közösség próbált kidolgozni egy megoldást arra vonatkozóan, hogy hogyan lehetne biztosítani azt, hogy pl. az USA-ból működő cégek is megfelelő adatvédelmet tudjanak garantálni az európai felhasználóknak. Ennek eredményeképpen született egy nemzetközi megállapodás, SAFE HARBOR néven, amelyhez minden amerikai eredetű cég csatlakozhat és neki kell bizonyítania, hogy megfelel az európai adatvédelmi előírásoknak. Az amerikai szolgáltatók úgy gondolják, hogy ezzel mindent megtettek, ezen felül nem kell mást tenniük. Viszont nekünk, európaiaknak ez még kevés. Mi az amint a SAFE HARBOR nem garantál? Hogyan fordulhat elő, hogy mégis hozzáférnek a nemzetbiztonsági szervek a felhőben tárolt adatokhoz, pedig olyan amerikai szolgáltatóval kötöttünk szerződést, aki csatlakozott a SAFE HARBOR-höz? Sokak figyelmét elkerüli egy fontos dolog, amit szeretnénk kiemelni, hogy a SAFE HARBOR-ben van egy mondat, ill. kitétel: „A TÖRVÉNY KIVÉTELT TEHET”. Ez pedig azt jelenti, hogy pl. bűnüldözési, ill. nemzetbiztonsági érdekből felül lehet írni az adatvédelmi elveket. PATRIOT ACT, azaz a hazafias törvény, amely ezt engedélyezi. Tehát gyakorlatilag a felhőszolgáltatás tekintetében a SAFE HARBOR-höz való csatlakozása egy amerikai cégnek nem nyújt nagyobb védelmet adatbiztonság tekintetében egy európai felhasználó számára.
  • Európai megközelítésből: óvatosságra intenek a törvények, felhívják a figyelmet arra, hogy aki felhőszolgáltatást vesz igénybe, az bizonyos fokon elveszíti a kontrollt saját adatai felett. Hisz korlátozott információkkal rendelkezhet arról, hogy a szolgáltató pontosan hogy is kezeli, az ő adatait, milyen biztonsági megoldásokat alkalmaznak, ki ill. kik férnek hozzá az adatokhoz stb. Mindezek ellenére azt kívánják elérni, hogy ugyanolyan adatbiztonságot tudjon nyújtani, mint amilyet a nem felhős környezet is garantál. Ezekből következően felhívják a figyelmet az átláthatóság kérdésére, hogy a szolgáltató működési modellje, szerződési feltételei mennyire átláthatóak. Ügyelni kell arra, hogy kevésbé legyen kockázatos és jól átlátható legyen!

 

Néhány jó tanács, hogy mire érdemes odafigyelni a Felhő szolgáltató kiválasztásánál:

-     CHECK LIST:

  • milyen adatokat kezelünk?
  • milyen károk érhetnek?
  • milyen védelmet igényel?
  • szolgáltató felelősségvállalása arányban van-e a fentiekkel?
  • az adatok felett gyakorolt kontrolt milyen módon tudjuk mi felülvizsgálni?
  • információk védelmére, incidens kezelésére milyen megoldást kínál?

-     KOCKÁZATELEMZÉS: még a szolgáltató váltás előtt szükséges körültekintő kockázatelemzést végezni, átgondolni annak a következményeit, ha esetleg elveszítjük a kontrollt adatai felett.

-     SZOLGÁLTATÓ FELTÉTELEIT körültekintően vizsgáljuk meg, bizonyosodjunk meg róla, hogy van-e lehetőség ezen módosítani, kicsit egyedivé tenni, finomítani rajta.

-     ÁTKÖLTÖZÉS esetén tudni kell, hogy milyen biztosítékot ad a szolgáltató arra, hogy az átköltözés, vagy hazaköltöztetést követően az a korábbi szolgáltatónál igénybe vett szolgáltatásnak nem marad nyoma, törlésre kerülnek-e az adatok meghajtók azonnal?

Köszönjük szépen, hogy végig olvasta rövid beszámolónkat, így azokhoz is eljutott, akik nem tudtak részt venni a konferencián.