Gazdaság

ADATVÉDELEM ELMÉLETBEN ÉS GYAKORLATBAN – Csak a fejben tartott adat van biztonságban?

Ha arra kíváncsi emberek egy felmérés során megvizsgálnák, vajon a hazai vállalkozások, intézmények számítógépes nyilvántartásai, kimutatásai, címlistái, könyvelési és egyéb adatai közül mennyit tárolnak teljesen védtelenül, a legelemibb biztonsági, adatvédelmi szabályok betartása nélkül, alighanem igen magas százalékos arány lenne a végeredmény.

Vannak fogalmak, amelyek a rendszerváltás során a kiöntendő fürdővízbe kerültek: ilyen például a munkavédelem vagy a Szervezeti és Működési Szabályzatok sokasága. Ezek közül persze sok valóban a szemétre való, értéktelen, bürokraták szülte kényelmetlenségi intézmény, viszont vannak olyanok, amelyeket főbenjáró bűn lenne egyszerűen sutba vágni.

Szeretjük, nem szeretjük például, de mindenképpen hasznosnak kell tekintenünk, ha egy adott cégen belül kidolgoznak egy informatikai szabályzatot (utasítást), amelyben rögzítik az informatikai eszközök használatának rendjét, az információ(hordozó)k tárolásának szabályait, a használt adatállományok minősítését (titkos, bizalmas, nyílt), a hozzáférési jogosultság rendjét (jelszó, prioritások), az irat-, illetve adathordozó-megsemmisítés módját stb. Ennek megléte ugyanis az adatvédelem szervezési alapfeltétele.

Vannak, akik az adatvédelmet valamiféle belterjes dolognak, a túlbuzgó számítástechnikusok kitalálta fontoskodásnak tekintik. Vannak, akik csak az adatvédelem jogi vonatkozásait érzik fontosnak, másoknak pedig lelakatolt páncélszekrények rendszerében megbúvó dossziéhegyek rémlenek csak fel a szó hallatán. Természetes, hogy másnak gondolja magát az adat fogalmát és annak védelmi kérdéskörét egy számítástechnikus, egy jogász vagy éppen egy rendszerszervező. A számítástechnikus bonyolult titkosító algoritmusok rendszervédelmi hasznosításán fáradozik, a jogász definiálni és rendezni igyekszik kézenfekvő fogalmakat, a szervező pedig különféle szabályrendszerek kidolgozásával küzd, hogy “zsilipelni” tudja az adatok iránt érdeklődőket.

Ahhoz viszont, hogy bármelyikük is eleget tudjon tenni szakmai feladatának, mindenképpen birtokolnia kell olyan információkat is, amelyeket a másik munkája hozott felszínre. Először is tisztában kell lenniük az adat – számítógépi, jogi – fogalmával, tudniuk kell különbséget tenni értékes és értéktelen adat között, ismerniük kell az adatok áramlásának számítógépi folyamatait, tudniuk kell, melyik rendszernek mi az erőssége és melyek a gyenge pontjai, tudniuk kell, milyen típusú adatok iránt honnan várható – esetleg nemkívánatos – érdeklődés, és tudniuk kell, hogy az adatok értékességének függvényében melyik lehet az adekvát védekezési forma az adatbiztonság érdekében.

Fontos és fontosnak vélt adatok

Adat és adat, fontos adat és fontosnak vélt adat között szignifikáns a különbség: az egyikről szóló hír eltulajdonításra vagy reprodukálásra serkentheti az érdekelt ellenfelet, a másik viszont a kutyát sem érdekli mindaddig, amíg valamely különös esemény különleges jelentőséget nem tulajdonít neki.

Világosan kell látnunk: az adatok védelmének tárgyában legfontosabb azt mérlegre tennünk, hogy kinek áll érdekében rajtunk kívül a meglévő adatok birtoklása.

Hogy mitől értékes egy adat? A numizmatika verethibás félkrajcárosához vagy a filatélia egyedi rajzolatú bélyegeihez hasonlóan a számítógépi adat értékét is relatíve ritka volta adja: bizonyos összefüggésben, bizonyos célok szolgálatában csak nagyon kevesen rendelkeznek ezzel az információval.

Vegyünk egy példát. Az mindaddig nem fontos információ, hogy Tóth Béla Budapesten született, Pécelen járt gimnáziumba, 43-as cipőt és 39-es inget hord, és a Fradinak drukkol, amíg nem indul a következő elnökválasztáson a Rózsaszín Párduc Párt színeiben. Az viszont már “eleve” információ, ha tudomásunkra jut, hogy Tóth Béla, Nagy Rezső, Kis Ubul és még tízezer társuk egész életét arra tette fel, hogy elvásott lábbeliket reparáljon patkószegek igénybevételével. Ha tehát mi történetesen patkószeggyártásra adjuk a fejünket, biztos piacot találhatunk Tóth, Nagy, Kis és társai személyében. Még olcsóbb és kifizetődőbb megoldás, ha mi csak az információt értékesítjük, és eszünk ágában sincs patkószeget gyártani, ilyenkor pusztán a meglévő adatbázisunkat ajánljuk fel a Patkószeggyártó Műveknek: fizessék meg annak az értékét, hogy mi tudjuk, kik a legnagyobb patkószeg-felhasználók ebben az országban.

Mint ahogy adat és adat, védelem és védelem között is számtalan árnyalat különböztetendő meg.

Értelmezési zavarok

Gyakori fogalom például a hozzáférésvédelem, amikor is az szabályoztatik, hogy a meglévő adatokat kinek van joga egyáltalán megtekinteni, vagy azokkal kinek van joga bármiféle számítógépi manipulációt végeznie (módosítani, megváltoztatni stb.).

Más dolog az adatvédelem. Talán legfőbb különbség a hozzáférésvédelemhez képest az, hogy itt már az adatgyűjtést is jogosultságokhoz kötik, a valamely célú felhasználásról nem is beszélve. Kézenfekvő, mivel az adat is tulajdon. Az(ok)é, aki(k)re az információ vonatkozik, illetve azoké, akik – engedéllyel – elsőként összegyűjtötték a másokról, más dolgokról szóló információkat. A tulajdonhoz fűződő jogokat az informatika területén részben jogi, részben szervezési, részben pedig technikai eszközökkel védik. A jogi státuszt tisztázandó törvények is születtek e tárgyban Magyarországon, amelyek viszont definiálatlanul hagytak, illetve tévesen definiáltak számos fogalmat, komoly értelmezési zavarokat idézve elő. A vonatkozó törvények érvényéről, hatékonyságáról egyébként képet alkothat bárki, aki kapott már olyan direct mail-t, amelyben biztosan “ő a főnyeremény nyertese”, vagy amely “kizárólag az ő számára kidolgozott” konstrukció keretében vissza nem térő üzleti nyereséggel kecsegtet.

Megint más dolog a szoftver másolásvédelme. Magyarországon – s talán nem csupán itt – ezt szokás a leginkább utálni, főként azt a hardver-szofver-kulcsos fajtáját, amely a felhasználásra irányuló jogosulatlan próbálkozást összehasonlíthatatlanul nagyobb károkozással viszonozza, mint amilyen kárt az esetleges illetéktelen adatbitorlás eredményezne. A szoftver szerzői jogát biztosítani hivatott sorszám-regisztrációs bejegyzésekkel szemben viszont még a legelvetemültebb bit-tolvajoknak sincs kivetnivalójuk.

Van az adatoknak olyan védelme is, amely talán érdemen felül is túlzott publicitást kapott, ez a vírusvédelem. Persze hiba lenne lebecsülni a számítógépi vírusok által okozható károkat, ugyanakkor a túlzottan nagy publicitás egyenértékű a biztatással: eltorzult lelkületű bit-faragók érezhetik “fontosnak” magukat, hiszen nélkülük egy egész iparágat – a vírusirtókét – fenyegetne végveszély. Egyébként: ki ne tudna megírni egy vírust, és ki ne tudná elhelyezni azt egy szabadon átjárható számítógépes rendszerben? Az ostobán védtelen rendszerek tönkretételéhez elég egy-két számítógépes alapkönyvet elolvasni, s egy mindent törlő batch-file bombakénti elrejtése ekkor már nem okozhat különösebb gondot (Vö. még erase *.*).

A szabotázs fogalmába az informatikában teljesen természetesen értődik bele a vírusfertőzés is, függetlenül a vírusfertőzést előidéző tevékenység szándékos vagy véletlen voltától.

Védelem vagy kiszolgáltatottság

Ha belegondolunk, tulajdonképpen teljesen logikus a vírusírást a szabotázs körébe sorolni. Egy vírust útjára bocsátani egyenértékű azzal, mint amikor valaki a gép winchesterét töri darabokra egy túlsúlyos kalapáccsal, vagy egy jól fejlett patkómágnessel cirógatja meg a nem kedvelt információhordozó hardvert. Elterjedtek olyan pletykák a “hozzáértők” körében, hogy a Windows ‘95 az a megváltó operációs rendszer, amely ellehetetleníti a vírusokat, szegény vírusíróknak más szórakozás után kell nézniük. E pletyka sem több persze, mint egy szuper-marketingzseni agyszüleménye, de jól jelzi, milyen lépések következhetnek az adatbiztonság felé vezető úton: ha az operációs rendszerek szintjén sikerül megvalósítani az adatok integritásának védelmét (mondjuk, valamely egyezményes jelrendszer, adategység-összefüggés konvenciószerű biztosításával), valóban megvan az esély arra, hogy a gépbe került “szemét” a szemétkosárba kerülhessen, s a kuka mélyén ne kelljen bomba után kutakodni. Igen ám, de ennek az esetleges operációs rendszernek az alkalmazásával mindenestül kiszolgáltatottjaivá válunk annak gyártójának: amint az általuk választott egyezményes kódrendszer mellett döntünk, abban a pillanatban már összes adatunk biztonsága kizárólag az ő jóindulatukon, becsületükön múlik. Valahogy persze így működik ez a jelenlegi gyakorlatban is, nem véletlenül emelik fel olyan sokat szavukat a Microsoft világmonopóliumra törekvésével szemben.

Az elmúlt időszakban a vállalatoknál alkalmazott számítógépes rendszereknek egy újabb potenciális veszélyforrással kell szembenézniük. A robbanásszerű technikai változások eredményeképpen ma már nem lehetetlen egyszerű telefonvonalon keresztül, egy modem segítségével szinte a világ bármely nyílt számítógépes rendszeréhez csatlakozni. Sok esetben sikerült “ügyes” számítógép-felhasználóknak a szigorúan zárt, komoly jelszavas védelemmel rendelkező számítógépes hálózatokhoz is hozzáférni. (Például a Pentagonéhoz).

Sokan szapulják is az Internetet túlzottan szabados felépítése miatt, úgymond hiába annak minden erénye – mármint a közlésre szánt információk szabad áramoltatása -, ez egyben a legnagyobb veszélye is: ellenőrizetlen, ellenőrizhetetlen, semmiféle kritikai szűrésen át nem eresztett anyagok (például atombomba-receptek, gyermekprostitúció) számára is szabad utat enged.

Nyilvánvaló, hogy a kisebb cégek, magánfelhasználók más jellegű veszélynek vannak kitéve. De ha arra gondolunk, hogy számos kisvállalkozás minden információja (személyzeti nyilvántartások, gazdasági kimutatások, tervek, pénzügyi könyvelések, adóbevallások, ügyféllisták) egy teljesen “védtelen” (védelem nélküli) személyi számítógépen vannak tárolva, a legelemibb biztonsági rendszabályok alkalmazása, betartása nélkül, akkor már sok embernek van aggódnivalója.

Kulcs az ember kezében

Sokan, sokféleképpen foglalkoznak ma Magyarországon adatvédelemmel, a magyar szakemberek felkészültsége elméletileg lehetővé tenné, hogy az adatvédelem önálló ágazattá nője ki magát a számítástechnikai iparagon belül. Vannak műhelyek, amelyek komplett hardver/szoftver együttesek kifejlesztésével igyekeznek a kínálat oldaláról ébreszteni az igényt, fejlesztési tempójuknak ugyanakkor határt szab a piac kicsinysége: kevesen hajlandók és még kevesebben tudnak áldozni adatvédelmi rendszerek implementációjára. A pénz gyakran nem ott van, ahol igazán értékes adatok szorulnának megfelelő védelemre. Így lehetséges az a paradoxon, hogy egyesek nemritkán jóval több energiát fecsérelnek – olykor igencsak értéktelen – információik védelmére, mint amit azok valójában megérdemelnének, mások pedig egyszerűen azért jutnak koldusbotra, mert arra nem sikerült pénzügyi forrást teremteniük, hogy a tevékenységüket megalapozó információs rendszer biztonsági követelményeinek eleget tudjanak tenni. Ugyanakkor: egy számítógépet lehet hét lakatra zárt helyiségben leláncolva tartani, mindenféle szoftveres trükkök által elkendőzve az érdemi információkat – ha van olyan (ellen)érdekelt, akinek a számára az adott számítógépben tárolt adatok különösen nagy fontossággal bírnak, egy percig sem lehetünk nyugodtak. Neki ugyanis helyzetéből fakadóan célja kell, hogy legyen a tárolt adatok birtoklása vagy enyhébb esetben legalábbis reprodukálása.

Bármilyen furcsa is tehát a fetisizált számítógépek uralta világban ezt kijelenteni: a számítógépi információk védelmének kulcsa az információval dolgozó emberben keresendő. A jól megfizetett, kellőképpen kiképzett munkatárs megbízható gazdája lehet az információnak, de csakis az ilyen munkatárs lehet az.

Egyébként meg mikor tudhatja bárki is igazán biztonságban adatait? Cinikusan azt kell válaszolnunk: hogy ha fejben tartja őket. A modern rabló-pandúr játék lényege ugyanis a fegyverkezési versenyhez hasonló: akinek van atombombája, az riogathat vele, aki viszont tudja, hogy lehet hatástalanítani a másik atombombáját, az többet tud: egy lepéssel a másik előtt jár.

Ajánlott videó

Olvasói sztorik