Egyelőre elmaradt a GDPR-tól rettegők által várt káosz és vérfürdő, de a magyar hatóság vezetője szerint a változás fokozatos, és most jönnek még csak a nagyobb hazai bírságok. Az új adatvédelmi szabályozás viszont nemcsak a visszaéléseket nehezítette meg, hanem az adatokkal dolgozók munkáját is. A Huawei és más kínai cégek ellen viszont nem véd, ezek egyre mélyebben épülnek be az európai infrastruktúrába is, ami a szakértő szerint komoly kockázat, de már készülnek az uniós szabályok a helyzet kezelésére. A kamerák egyre okosabbak és egyre többet tudnak rólunk, de azért a kínaihoz hasonló megfigyelő állam kiépülésétől még nem kell tartani.
Mintha betettek volna a szoba közepére egy GDPR feliratú bombát, ami ketyegett, de amikor lejárt az idő, nem történt semmi.
A fenti mondat elég jól összefoglalja az előzetesen mindkét irányba igen nagy elvárásokat generáló új európai uniós adatvédelmi rendelet, a tavaly május végétől alkalmazott GDPR első évéről szóló tapasztalatokat. Keleti Arthur, az Önkéntes Kibervédelmi Összefogás (KIBEV) alapító-elnöke mondta kedden a Nemzeti Közszolgálati Egyetemen, a Biztonságpiac Konferencia egy pódiumbeszélgetésén, ahol a GDPR mellett az egyre okosabb, ezért egyre nagyobb adatvédelmi kihívást jelentő kamerákról, illetve a növekvő kiberbiztonsági kockázatot jelentő kínai techcégekről is szó esett.
Keleti Arthur szerint az ő vállalkozásai is mindent megtettek, hogy megfeleljenek az új adatvédelmi szabályozásnak, de utólag már nem biztos benne, hogy ennek sok értelme volt, mert mintha sok másik cég nem igazán követte volna őket ebben a törekvésükben. Persze aztán megjegyezte azt is, hogy összességében fontos előrelépés volt, hogy a GDPR és ezzel az adatvédelem kérdése bekerült a közbeszédbe, és a szigorúbb szabályoknak köszönhetően most már az EU is jobban fogást talál a problémás adatkezelési gyakorlatot folytató nagy – jellemzően amerikai – techcégeken. Az viszont még kérdés, hogy a kicsikre hosszú távon milyen hatással lesz.
Mádi-Nátor Anett, a kiberbiztonsági szolgáltatásokat kínáló Cyber Services nemzetközi igazgatója szerint a GDPR kellemetlen mellékhatása, hogy nemcsak a visszaéléseket nehezítette meg, de az ő munkájukat is, mert sokkal körülményesebbé vált az adatbányászat, az adatok etikus felhasználása is. Mint mondta, főleg eleinte jutottak nehezen a munkájuk során elemzett adatokhoz, és a helyzet az elmúlt néhány hónapban javult valamennyit, ahogy ez a szektor is elkezdett alkalmazkodni az új feltételekhez, de szerinte a kérdésnek ezt az oldalát a jogalkotó nem vette eléggé figyelemben. Pozitívumként értékelte viszont, hogy új piacok nyíltak meg előttük, mert olyan konzervatívabb iparágakba is be tudtak szállni beszállítóként, amelyek korábban kevésbé törődtek a kiberbiztonsággal, és a kritikus infrastruktúra védelmének is jót tesz az új jogi környezet.
Nyilván naivitás volt azt gondolni, hogy 2018. május 25-től minden egy csapásra megváltozik
– mondta Péterfalvi Attila, a GDPR betartatatásáért felelős hazai testület, a Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH) elnöke.
A GDPR egy rendelet, azaz nem átültetni kell a helyi jogrendbe, mint egy irányelvet, hanem közvetlenül alkalmazandó, és elég kevés mozgásteret ad a tagállamoknak. A jogalkalmazó helyzetét nehezíti az is, hogy hiába vannak még érvényben bizonyos tagállami szabályok, ha a GDPR-nak ellentmondanak, nem alkalmazhatók, ezeket az ellentmondásokat pedig ki is kell iktatni, sőt "már korábban meg kellett volna tenni" – mondta Péterfalvi. Ez a feladat itthon, ahogy a legtöbb másik tagországban is, kicsit megcsúszott, épp most van a parlament előtt az a 86 törvényből álló salátatörvény, amely a különféle szektorális szabályokat a GDPR elvárásaihoz igazítja.
A robbanás elmaradását viszont némileg árnyalta Péterfalvi. Egyrészt hiába május 25-től éles maga a GDPR, a NAIH eljárási szabályait is össze kellett volna hangolni, az ezt elvégző új Infotörvény pedig csak július 26-án lépett életbe, így eleve csak az ez után indult ügyekben lehet bírságot kiszabni. De mint mondta, ő már tudja, milyen határozatok várnak az aláírására, és
hamarosan az eddigieknél nagyobb bírságok is várhatók.
A rendelet egyik fontos újítása például, hogy amelyik szervezetet adatbiztonsági incidens éri, például meghekkelik vagy gondatlanságból kikerülnek az általa kezelt adatok, 72 órán belül köteles jelenteni az incidenst. Pétervalvi szerint aki ezt elmulasztja, semmiféle méltányosságra nem számíthat, az ilyesmi automatikusan büntetést fog érni. Mint mondta, a GDPR-éra joggyakorlatának kialakulásához még időre van szükség, ezért az elmúlt pár hónapban ők is adtak némi türelmi időt az alkalmazkodáshoz. (Noha korábban éppen ő az Indexnek azt mondta, ilyen türelmi időre nem számíthatnak a cégek.) Péterfalvi szerint még akár évekbe is beletellhet, amíg kiforrja magát az egységes EU-s jogalkalmazás.
A beszélgetést moderáló Krasznay Csaba, a Nemzeti Közszolgálati Egyetem kutatója felidézte a múlt heti hírt, miszerint az egyre disztopisztikusabb megfigyelőrendszert kiépítő Kína állami arcfelismerő rendszerét működtető cég hanyagságából a megfigyeltekről valós időben gyarapodó adatokhoz bárki hozzáférhetett a neten. Ez a történet nemcsak a durva adatvédelmi hiba miatt tanulságos, hanem a kínai megfigyelés mértékét, a rendszer fejlettségét is érzékelteti.
Szűcs Gábor, a Robert Bosch biztonságtechnikai szakértője szerint épp nagy változás zajlik a kamerarendszerek fejlettsége terén. Az elmúlt tíz évben a passzív, zárt láncú rendszerekből egyre inkább átáll a világ a nyitott, távolról is elérhető rendszerekre, amelyek már nemcsak klasszikus vizuális megfigyelőberendezések, hanem egyben szenzorokkal felszerelt analitikai eszközök is. Egyes biztonsági kamerák például már egészen korai fázisban képesek érzékelni, ha valahol tűz üt ki; mások egy üzleten belül képesek elemezni a vásárlók mozgását, hogy megállapítják, melyek a leginkább frekventált részek; megint másikak a látogatók demográfiai adatait is képesek rögzíteni arcfelismerés segítségével. A hírekben olykor olvasható, rémisztően okos rendszerekről szóló történetek viszont Szűcs szerint nem minden esetben fedik teljesen a valóságot: egyrészt ezeknek az eszközöknek is végesek a képességeik, másrészt sok múlik azon, milyen feladatra használják őket, mert ha egy eszköznek csak annyi a feladata, hogy megszámolja az elhaladókat, akkor semmi szükség bele szofisztikált arcfelismerő szoftverre.
Péterfalvi szerint szabályozói szempontból különbséget kell tenni az üzleti célú, illetve a közterületi és más bűnüldözési, honvédelmi célú kamerák között, mert utóbbiak nem a GDPR, hanem az Infotörvény hatálya alá tartoznak. Persze elsősorban nem maga az eszköz a lényeg, hanem hogy milyen szoftver fut rajta, például a közterületi kameráknál az volt a kérdés jogalkalmazói szempontból, hogy az adataik felhőben tárolása jelent-e változást az adatokhoz való hozzáférés menetében – mivel önagmában nem jelent, a hatóság nem emelt kifogást ez ellen. A tömegközlekedési eszközökön működő kameráknál viszont úgy határoztak, hogy azok csak képet rögzíthetnek, mert a hang rögzítése kifejezetten ellentétes lenne a GDPR-ral.
Keleti Arthur szerint azt is érdemes végiggondolni, amikor a magánszektor szabályozásáról van szó, hogy vajon maga az állam hatékonyabban védené-e meg az adatainkat. Példaként hozta fel azt a néhány évvel ezelőtti esetet, amikor az Egyesült Államok személyzeti ügyekért felelős kormányügynökségét hekkelték meg (a gyanú szerint egyébként kínai hekkerek), és összesen 22 millió ember adatait lopták el. Azt is érdemes szem előtt tartani, hogy ma már minden mobiltelefonban ott egy kamera, és szinte lehetetlen szabályozni, hogy ki mikor mit vesz fel és hová továbbít. Ráadásul még ha maga a felhasználó nem is szándékozik rögzíteni semmit, nem zárható ki, hogy a mobilja attól még működésbe lép. A közelmúltban derült fény például egy olyan gyártói hibára, amelyet kihasználva hekkerek átvehették volna az irányítást az érintett eszközök kamerája felett.
Érdekesek az olyan megoldások is, mint az Amazon kísérleti üzlete, az Amazon Go, amelyben a kamerarendszer automatikusan érzékeli, hogy ki mit vásárol, így nem kell sorba állni és fizetni, a bolt csak levonja kifelé menet a megfelelő összeget. Keleti szerint az átlagember ugyan imádná az ezzel járó kényelmet, a biztonsági szakembereknek ez óriási kihívás. "Őszinte leszek, én nem tudom, hogy ezt hogy lehet megoldani" – mondta Keleti, szerinte védelmi oldalon nagyon le vagyunk maradva a technológiai lehetőségek mögött.
Mádi-Nátor Anett is azt hangsúlyozta, hogy ma már nem elég a konkrét kamerákra gondolni, más olyan eszközökkel is számolni kell, amelyekben kamera van.
Gondolok itt például a mobiltelefonokra. Azokra, amiket egy most általam egyébként meg nem nevezett, nagyon híres kínai gyártó, például a Huawei gyárt
– nevezte meg végül mégis az Egyesült Államokban már hivatalosan biztonsági kockázatnak minősített céget.
Ezek az eszközök rengeteg adatot gyűjtenek, elemeznek és tárolnak. "Gondoljuk végig azt, hogy egy európai telekommunikációs hálózatban, ahol például az ilyen adatok is közlekednek, milyen gyártóknak az eszközei kerülnek beépítésre? A hálózatokba beépített eszközöknek szerintem több mint hatvan százaléka kínai gyártásból származik" – mondta. (Ahogy arról korábban külön is írtunk, a Huawei Magyarországon hálózati infrastruktúrájába is mélyen beépült a kritikus rendszerekben található eszközeivel.)
Mádi-Nátor szerint abba, hogy a kínai gyártók az általuk fejlesztett képességeket a saját országukon belül milyen megfigyelőrendszer kialakításához használják, nem lehet beleszólni. Az Európai Uniónak viszont fel kell készülnie a hasonló helyzetek és technológiák megfelelő kezelésére. Mint mondta, jelenleg két ipari szereplőkre vonatkozó EU-s jogszabálytervezet is előkészítés alatt áll. Ezek a tervek szerint elő fogják írni, hogy az Európában is működő gyártók a termékeiket már kutatás-fejlesztési szakaszban be kell, hogy csatornázzák egy nemzeti kompetenciaközpont-rendszerbe. "Ez a rendszer úgy fog kinézni, hogy minden tagállamnál kell, hogy legyen egy fő központ, amelyet az állam működtet. Mellette létezhetnek továbbiak is, de egynek mindenképpen fel kell majd állnia. Ide kell majd a terv szerint becsatornázni az ezeknek az eszközöknek a gyártása és tesztelése során keletkező technikai és kiberbiztonsági információt, különös tekintettel a sérülékenységekre."
"Ha már itt tartunk technológiailag, ragadjuk meg a lehetőséget, és hozzunk létre egy olyan civil CERT-struktúrát és egy olyan nemzeti tanúsítólabort, amely a kamerák, a mobiltelefonok és a hálózati eszközök sérülékenységeit képes feltárni és ezeket a kockázatokat csökkenteni, akár valamilyen áthidaló megoldással, akár a gyártóval együttműködve".
Ezzel elindulhatnánk abba az irányba, hogy ne legyünk annyira kiszolgáltatottak egy ázsiai gyártási láncnak, mint amilyen kiszolgáltatottak most vagyunk
– mondta.
Cikkünk megjelenése után Mádi-Nátor Anett és a Cyber Services a cikk pontosítását kérte, mert megítélésük szerint a konferenciáról írt beszámolónk nem tükrözi a valós álláspontjukat. Ezért az alábbi kiegészítést tették:
Jelenleg mind minőségében, mind szolgáltatásaiban a lehető legjobb elérhető technológia a kínai. Függetlenül a jelenleg az USA és Kína közt zajló kereskedelmi háborútól, az európai telekommunikációs hálózatok többsége jelenleg is bizalommal van az említett technológia felé, a költséghatékonyság mellett többek között meggyőző érv az európai gyártókapacitás hiánya. Észszerű lenne tehát a kínai gyártókkal való együttműködésre helyezni a hangsúlyt. Magyarország esetében kézenfekvő módon ez a kínai beszállító-gyártó a Huawei.
Mádi-Nátor Anett ezért tartaná jó iránynak a CERT-ek és a tanúsítólabor felállítását, hogy ezek működésére alapozva az iparági és magánfelhasználók ne érezzék magukat a biztonságra vonatkozó információhiányból fakadóan annyira kiszolgáltatottnak, mint amilyennek most érezhetik magukat.