20 000 munkakereső személyes adata szivárgott ki, de hogyan lehetett volna elkerülni?

Nemrég a Telex számolt be arról, hogy nagyjából 20 ezer budapesti munkakereső adata szivárgott ki a Budapest Főváros Kormányhivatalának (BFKH) Foglalkoztatási Főosztályán elkövetett hiba miatt.

A munkakeresők nevét, lakcímét, e-mail-címüket és személyi számát tartalmazó Excel-táblázatot véletlenül adták hozzá egy e-mail csatolmányához. A hivatal megtette a szükséges intézkedéseket, és tájékoztatta az érintetteket. Arról azonban, hogy a jövőben milyen intézkedéseket tesznek a hasonló esetek elkerülése érdekében, nem számoltak be. Ebben a cikkben összegyűjtöttünk néhány tippet, amit a kormányhivatalon kívül bárki alkalmazhat, aki személyes adatokkal dolgozik.

Köztudott tény, hogy az adatszivárgásokhoz sok esetben még csak hackertámadásra sincs szükség. Még a legerősebb kibernetikai rendszerekben is az emberi tényező képezi a leggyengébb láncszemet.

Titkosítás, titkosítás…

A hasonló esetekben a legfontosabb, hogy a személyes adatokat tartalmazó fájlokat mindig titkosítva tároljuk. Még ha minden fájlra ugyanazt a jelszót használjuk is, amivel a szervezet minden tagja tisztában van, akkor is komoly biztonságot tudunk elérni, hiszen ha egy e-mail-csatolmányban (az e-maileket köztudottan nem lehet utólagosan törölni vagy visszavonni a fogadó levelesládájából) ez a fájl véletlenül kikerül, a külső kíváncsiskodók ebben az esetben sem fognak tudni hozzáférni. Az Excel maga is kínál beépített titkosítást, így pár kattintással már komoly védelmet lehet biztosítani.

Kétfaktoros ellenőrzés

Egy másik fontos lépés, amit a kormányhivatalnak, de bármely más szervezetnek is érdemes megfontolnia, az a kétszintű ellenőrzés bevezetése az érzékeny adatokat tartalmazó e-mailek küldése előtt. A kétszintű ellenőrzés lényege, hogy minden fontos emailt, amely személyes adatokat vagy bizalmas információkat tartalmaz, egy másik munkatárs is átnéz, mielőtt az kikerülne. Ez a lépés csökkenti az emberi hiba lehetőségét, hiszen egy második szemlélő nagyobb eséllyel veszi észre az esetleges tévedéseket vagy a rosszul csatolt fájlokat. Azzal is komoly fejlődést lehet elérni, ha egy beépített pop-up minden csatolmány esetében kér egy megerősítést, vagyis egyesével megjeleníti a csatolmányokat, majd megkérdezi, hogy azokat tényleg el szeretnénk-e küldeni.

Folyamatos adatvédelmi képzések

Kiemelt fontosságú ezenfelül a digitális oktatás és a biztonságtudatosság növelése a szervezeten belül. Az ilyen esetek is bizonyítják, hogy dolgozókat rendszeresen képezni kell a digitális adatbiztonság alapjairól. Legyen szó a jelszóhasználatról, a titkosítás fontosságáról és az adathalász e-mailek felismeréséről. Egy jól képzett dolgozói állomány jelentősen csökkentheti a hasonló esetek kockázatát.

Tűzoltás

A kormányhivatal gyors reakciója – vagyis azonnal értesítést küldtek az adaszivárgásról, felkeresték az érintetteket, és a címzetteket a csatolmány törlésére kérték – helyes lépés ugyan, de még mindig csak tűzoltásként értékelhető.

A legfontosabb üzenet minden ilyen adatkezelési hiba után az, hogy a megelőzés sokkal olcsóbb és hatékonyabb, mint a károk elhárítása. Nem szabad szem elől téveszteni, hogy a személyes adatok kiszivárgása nagyon gyakran pénzben nem mérhető veszteség, amely szélsőséges esetekben akár emberi életeket is tönkretehet. A jövőbeli incidensek elkerülése érdekében minden szervezetnek szigorú adatkezelési protokollokat kell bevezetnie, fejlesztenie a dolgozók biztonságtudatosságát, és akár egyszerű technológiai eszközökkel, megoldásokkal megerősíteni az adatvédelmet.

Ez is érdekelhet: 66 ezer Trezor felhasználó adatai szivároghattak ki egy sebezhetőség miatt.