Az iWiW is sorra kerül
A biztosi hivatal bejárata
(mobiltelefonnal készült kép)
IT café: Egy másik, nagy port felvert esetről is szeretném megkérdezni. Tavaly év végén, illetve az idei év elején a Veszprémi Egyetemen két súlyosnak tekinthető adatbiztonsági incidens is történt. Példaértékűnek tartom őket, mivel nem hiszem, hogy pont Veszprémben dolgoznak a leghanyagabb informatikusok, viszont a körülmények folytán ezek kerültek napvilágra, s több olyan jellemzőre is rávilágítottak, melyekkel Magyarországon eddig nem néztünk szembe. A két eset jelentős mértékben eltér egymástól: az egyiknél egy, a személyét felvállaló ember mondhatni véletlenül bukkant rá a neten „felejtett” adatokra, míg a másikban egy valódi hackertámadásról volt szó. Ami meglepett, hogy mennyire nem tudta az egyetemi vezetés kezelni, kommunikálni a történteket, s azóta is hiába várok a hivatalos állásfoglalásra, mivel számtalan megkeresés után sem hajlandók kiadni egy záróközleményt.
Jóri András: Számomra az a legfőbb tanulsága mind az Ügyfélkapu, mind a Veszprémi Egyetem ügyének, hogy vajon hány olyan eset van, amely nem kerül nyilvánosságra. S épp ezért gondolom, hogy Magyarországon is helye lenne egy olyan szabályozásnak, mely a biztonsági incidensek nyilvánosságra hozását előírná. Erre egyébként reális esély van, mivel létezik egy európai e-privacy irányelv, s kifejezetten az elektronikus hírközlési szektor adatvédelméről szól, s annak most lesz egy módosítása, mely várhatóan ki fog erre terjedni. Azt azért hozzátenném, hogy az Ügyfélkapu esetében a felelősségre vonás menete, sebessége és mértéke úgy zajlott, hogy azt pozitívan kell értékelnünk. S bár a biztonsági szakmák jellegükben zártak, zárkózottak, de talán azt is meg kellene szoknia az informatikai biztonságtechnikai szakembereknek, hogy nem élhetnek az eddigi elzárt elefántcsonttornyukban, és – ahogy ez sok nyugati országban, ha nyögvenyelősen is, de megtörtént –, hogy a biztonsági incidensek nyilvánosságra kerülése az életünk digitalizálódása miatt közügy lett, emellett a nyilvánosság a további hasonló jellegű esetek megelőzését is szolgálja.
„Az Országgyűlés a személyes adatok védelme, és a közérdekű adatok nyilvánosságához való alkotmányos jog védelme érdekében 1995 óta adatvédelmi biztost választ. Az adatvédelmi biztos az állampolgárok információs jogait védi az állam és a magánszektor adatkezelőivel szemben.
Adatvédelmi biztossá olyan személy választható, aki egyetemi jogi végzettséggel, kiemelkedő elméleti vagy legalább 10 éves szakmai gyakorlattal bír. A megbízatás hat évre szól, de az adatvédelmi biztos egyszer újraválasztható.
Az adatvédelmi biztos – a többi országgyűlési biztossal (ombudsmannal) együtt – az Országgyűlési Biztos Hivatalában működik és látja el feladatát, ahol külön szakértőkből, jogászokból, informatikusokból és államigazgatási szakemberekből álló munkatársi kör, az Adatvédelmi Biztos Irodája segíti, és látja el a feladataival kapcsolatos ügyviteli és előkészítő teendőket.
Az adatvédelmi biztos intézménye a kormányzattól, az államtól és a magánszektortól független szerv, amely utasításokat nem fogadhat el. Az évenkénti beszámolási kötelezettsége révén csak az Országgyűlésnek tartozik felelősséggel.”
Forrás: Magyarország.hu
Emellett látható a minőségi változás is, eljutottunk hazánkban is egy olyan pontra, amikor már a digitalizált adatkezelés tömegessé válása miatt az átlagembert is sokkal inkább érdekli az adatainak sorsa, s ehhez feltehetően magának az információbiztonsági szakmának, valamint a szoftvertervezésnek, illetve -üzemeltetésnek is alkalmazkodnia kell. Magyarul: újra kell gondolni az eddigi gyakorlatot, főképp ha a közigazgatásról vagy az államigazgatásról van szó.
IT café: A múlt héten adta ki a Google Street View-val kapcsolatos állásfoglalását. Mondana pár szót erről?
Jóri András: A jogi helyzetet most elemzem, és szeretném elérni azt, hogy az európai adatvédelmi hatóságok állásfoglalását, amennyire lehet, harmonizáljuk a Street View ügyében. Sok technológiai és jogi kérdés felmerül: pl. mi a név- és rendszámadatok pontos sorsa, személyes adatnak minősülhet-e egy épület. A Street View mint jelenség azért fontos, mert egy profitorientált cég a helyi közösségek véleményét és a nemzeti jogokat figyelmen kívül hagyva, egyoldalúan kívánja újradefiniálni a magánszféra határait, ami elfogadhatatlan.
IT café: Milyen egyéb, az informatikai adatbiztonságot folytató vizsgálatokat folytat mostanában, illetve miket vett tervbe?
Jóri András: Egy komoly vállalkozás lesz a közeljövőben az iWiW vizsgálata. Két szempontból nézzük meg. Egyrészt, hogy jogi szempontból megfelelően működik-e: adatkezelés, a célzott reklámok ügye, az önrendelkezés jogával élhetnek-e az érintettek, vagyis törlés után mi történik az adatokkal, esetleg milyen adatszolgáltatást teljesítenek külső félnek, nyomozó hatóságnak, illetve monitorozzák-e bármilyen szinten a felhasználók tevékenységét, ha igen, jogszerűen-e vagy nem, mint például a Facebookon, ahol a rossz szándékú felhasználók kiszűrése a cél, s ennek érdekében teljességgel jogszerűen figyelik a tevékenységeket.
Az iWiW-vel egyébként kifejezetten jó a kapcsolatunk, tehát nem gyanús tevékenységek miatt fogunk vizsgálódni, hanem azért, mert az ő esetükben ma már a legnagyobb, nem állami, személyes információkat tároló adatbázisról van szó, s ezért egy ilyen kontroll elkerülhetetlen.
