Kritikus jelentőségű adatvédelem: hogyan lőttek lyukat a fejvadász pajzsán?

Súlyos adatszivárgási problémákkal – ezzel együtt komoly presztízsvesztéssel – találta szemben magát a közelmúltban egy hazai fejvadász vállalat, melynek potenciális munkavállalói adatbázisából több ezer IT-szakember személyes információi kerültek nyilvánosságra. A kínos incidens forrása egy külsős fejlesztő hibája volt, az eset rávilágított a kiberbiztonsági hiányosságokra, valamint a bizalmas adatok kezelésének komplexitására. Cégünk szakértői is megosztották gondolataikat a történtekről.

A fejvadász cég közleménye tisztázta: külső fejlesztőt bíztak meg egy vállalatirányítási rendszer kialakításával, ám a fejlesztő hibája miatt az adatok egy nyilvános GitHub tárolóba kerültek. A cég viszonylag gyorsan reagált ugyan, és kiberbiztonsági szakemberekkel együttműködve megkezdték a károk minimalizálását, jelenleg még felbecsülhetetlen mértékű presztízs- és bizalomvesztést szenvedtek el. Tovább súlyosbítja a problémát, hogy – a Telex beszámolója szerint – a fejvadász cég munkatársai az önmagukban is szenzitív személyes adatok mellé nem túl ízléses megjegyzéseket is fűztek a potenciális munkavállalókról, és persze ezek is kiszivárogtak.

Tanulságos történet a cégek adatkezelési felelősségéről

D. László István kollégánk, a United Consult (UC) cybersecurity üzletágának vezetője szerint az eset jól mutatja a modern vállalatok egyik legnagyobb kihívását: a bizalmas adatok megfelelő védelmét. „Az incidens nem csak a cég reputációjára volt káros, hanem súlyos kiberbiztonsági és információvédelmi kérdéseket is felvetett” – hangsúlyozta az üzletágvezető. Kiemelte: nem elég csupán technikai eszközökkel védeni az adatokat, hanem komplex megoldásokban kell gondolkodni.

„A kiberbiztonság nem csak technikai kérdés, hanem folyamatvezérelt is: a megfelelő tesztelés, a hozzáférési jogosultságok kontrollja és az adatkezelési folyamatok átláthatósága alapvető fontosságú egy cég biztonságos működéséhez” – fogalmazott kollégánk. Az adatok megfelelő védelme egyértelműen a cégek felelőssége, a GDPR-szabályozások szerint ráadásul sok millió eurós bírságot is kaphatnak azok a vállalatok, melyek nem kezelik kellő komolysággal a kérdést.

D. László István szerint egy Managed Security Service Provider (MSSP) alkalmazása jelentősen csökkenthetné az ilyen esetek kockázatát; erről egyébként éppen néhány héttel az adatszivárgási incidens előtt írtunk részletesen.

„Az MSSP-k speciális szolgáltatásokat nyújtanak, amelyek közé tartozik az állandó rendszerfigyelés, a fenyegetésfelismerés, a hozzáférés-kezelés és az adatvédelmi szabályozások betartatása. Ezek a szolgáltatók folyamatosan frissítik a biztonsági rendszereket, felügyelik a hálózati tevékenységeket, és azonnal reagálnak, ha potenciális fenyegetést észlelnek” – tette hozzá kollégánk.

A CRM-rendszerek és az adatok fokozott védelme

Vénkuti Krisztián, az UC Salesforce-szakértője szerint a CRM-rendszerek a hatalmas adatbázisok miatt már önmagukban is jelentős kiberbiztonsági kockázatokat hordoznak, így megóvásuk komoly kihívást jelent a cégeknek.

„Az adatok védelme egyre inkább előtérbe kerül, mivel ahhoz, hogy a vállalatok ki tudják elégíteni az egyre fokozódó ügyféligényeket – mint a perszonalizált kommunikáció, a testre szabott ajánlatok, a magasabb szintű ügyfélélmény – egyre több adatot tárolnak az ügyfelekről a CRM-rendszerekben, illetve az ezekkel integrált adatmegoldásokban” – osztotta meg tapasztalatait szakértőnk.

Rámutatott, hogy az utóbbi időben berobbanó AI-alapú megoldásokat hatékonyan ki tudják használni a vállalatok, ám ehhez szintén széles adatvagyonra van szükség, amelyen tanulni, dolgozni tudnak a modellek. Ez a széleskörűbb, teljesebb adatvagyon pedig nagyobb veszélyforrást is hordoz magában, amit egyre szofisztikáltabb eszközökkel, egyre nagyobb tudatossággal kell kezelni.

Lefegyverezték a fejvadászt

Szakértőink tehát úgy vélik, a fejvadász cég esete egyértelműen rávilágít arra, hogy a kiberbiztonság és adatkezelési folyamatok átgondolása nélkül egyetlen vállalat sem védett a hasonló incidensekkel szemben. A megfelelő kiberbiztonsági protokollok bevezetése, valamint a külső szakértők bevonása, például egy MSSP bevonása, elengedhetetlen a jövőbeli hasonló események megelőzéséhez.

További információkért, adatvédelmi tippekért és személyes tanácsadásért keresse kiberbiztonsági, illetve CRM-szakértő munkatársainkat cégünk, a United Consult elérhetőségeinek bármelyikén!

Süti	Időtartam	Leírás
cookielawinfo-checkbox-advertisement	1 year	Set by the GDPR Cookie Consent plugin, this cookie records the user consent for the cookies in the "Advertisement" category.
cookielawinfo-checkbox-analytics	11 hónap	Ezt a sütit a GDPR Cookie Consent plugin állítja be. A süti az "Analytics" kategóriába tartozó cookie-kra vonatkozó felhasználói hozzájárulás tárolására szolgál.
cookielawinfo-checkbox-functional	11 hónap	A cookie-t a GDPR Cookie Consent plugin állítja be a "Funkcionális" kategóriába tartozó cookie-kra vonatkozó felhasználói hozzájárulás rögzítésére.
cookielawinfo-checkbox-necessary	11 hónap	Ezt a sütit a GDPR Cookie Consent plugin állítja be. A cookie a "Szükséges" kategóriába tartozó cookie-kra vonatkozó felhasználói hozzájárulás tárolására szolgál.
cookielawinfo-checkbox-others	11 hónap	Ezt a cookie-t a GDPR Cookie Consent plugin állítja be. A cookie-t a "Egyéb" kategóriába tartozó cookie-kra vonatkozó felhasználói hozzájárulás tárolására használják.
cookielawinfo-checkbox-performance	11 hónap	Ezt a sütit a GDPR Cookie Consent plugin állítja be. A cookie a "Teljesítmény" kategóriába tartozó cookie-k felhasználói hozzájárulásának tárolására szolgál.
CookieLawInfoConsent	1 year	CookieYes sets this cookie to record the default button state of the corresponding category and the status of CCPA. It works only in coordination with the primary cookie.
PHPSESSID	munkamenet	A süti tárolja és azonosítja a felhasználó egyedi munkamenet-azonosítóját a felhasználói munkamenetek kezelése érdekében a weboldalon. Ez egy munkamenet cookie, és törlődik, amikor az összes böngészőablak bezárásra kerül.
viewed_cookie_policy	11 hónap	A cookie-t a GDPR Cookie Consent plugin állítja be, és arra szolgál, hogy tárolja, hogy a felhasználó hozzájárult-e a cookie-k használatához. Nem tárol semmilyen személyes adatot.

Süti	Időtartam	Leírás
_fbp	3 hónap	Ezt a sütit a Facebook állítja be, hogy a weboldal meglátogatása után hirdetéseket jelenítsen meg a Facebookon vagy a Facebook hirdetésekkel támogatott digitális platformon.
_ga	1 év 1 hónao 4 nap	A Google Analytics által telepített _ga cookie kiszámítja a látogatói, munkamenet- és kampányadatokat, valamint nyomon követi a webhely használatát a webhely analitikai jelentése számára. A cookie névtelenül tárolja az információkat, és egy véletlenszerűen generált számot rendel az egyedi látogatók felismeréséhez.
_ga_*	1 év 1 hónap 4 nap	A Google Analytics ezt a sütit az oldalmegtekintések tárolására és számolására állítja be.
_gat_gtag_UA_*	1 perc	A Google Analytics ezt a sütit egy egyedi felhasználói azonosító tárolására állítja be.
_gid	1 nap	A Google Analytics által telepített _gid cookie információt tárol arról, hogy a látogatók hogyan használják a webhelyet, miközben egy elemzési jelentést is készít a webhely teljesítményéről. Az összegyűjtött adatok között szerepel a látogatók száma, a látogatók forrása és az általuk anonim módon meglátogatott oldalak.
_hjFirstSeen	30 perc	A Hotjar ezt a cookie-t az új felhasználó első munkamenetének azonosítására állítja be. Egy true/false értéket tárol, amely azt jelzi, hogy a Hotjar először látta-e ezt a felhasználót.
_hjSession_*	30 perc	Az aktuális munkamenet adatait tartalmazó süti. Ez biztosítja, hogy a munkamenetablakon belüli későbbi kérések ugyanahhoz a Hotjar munkamenethez tartozzanak.
_hjSessionUser_*	1 év	A Hotjar ezt a cookie-t az új felhasználó első munkamenetének azonosítására állítja be. Egy true/false értéket tárol, amely azt jelzi, hogy a Hotjar először látta-e ezt a felhasználót.
CONSENT	2 év	A YouTube ezt a cookie-t a beágyazott youtube-videókon keresztül állítja be, és anonim statisztikai adatokat regisztrál.
last_pys_landing_page	7 days	PixelYourSite plugin sets this cookie to manages the analytical services.
last_pysTrafficSource	7 days	PixelYourSite plugin sets this cookie to manage the analytical services.
pardot	soha	A pardot cookie akkor kerül beállításra, amikor a látogató Pardot-felhasználóként van bejelentkezve. A süti aktív munkamenetet jelez, és nem nyomkövetésre szolgál.
pys_first_visit	7 days	PixelYourSite plugin sets this cookie to manage the analytical services.
pys_landing_page	7 days	PixelYourSite plugin sets this cookie to manages the analytical services.
pys_session_limit	1 hour	PixelYourSite plugin sets this cookie to manage the analytical services.
pys_start_session	session	PixelYourSite plugin sets this cookie to manage the analytical services.
pysTrafficSource	7 days	PixelYourSite plugin sets this cookie to manage the analytical services.

Süti	Időtartam	Leírás
fr	3 hónap	A Facebook ezt a cookie-t azért állítja be, hogy a felhasználók viselkedésének nyomon követése révén releváns hirdetéseket jelenítsen meg a felhasználóknak az interneten, olyan webhelyeken, amelyek Facebook pixel vagy Facebook közösségi plugin funkcióval rendelkeznek.
VISITOR_INFO1_LIVE	5 hónap 27 nap	A YouTube által a sávszélesség mérésére beállított süti, amely meghatározza, hogy a felhasználó az új vagy a régi lejátszófelületet kapja-e meg.
VISITOR_PRIVACY_METADATA	6 months	YouTube sets this cookie to store the user's cookie consent state for the current domain.
YSC	munkamenet	Az YSC cookie-t a Youtube állítja be, és a Youtube oldalakon beágyazott videók megtekintésének nyomon követésére szolgál.

Süti	Időtartam	Leírás
_hjIncludedInSessionSample_3420684	2 perc	Annak meghatározására szolgál, hogy egy felhasználó szerepel-e a webhely napi munkamenet-korlátja által meghatározott adatmintavételezésben.
pbid	6 months	Leírás nélkül.

Kritikus jelentőségű adatvédelem: hogyan lőttek lyukat a fejvadász pajzsán? 10. 18.

Kritikus jelentőségű adatvédelem: hogyan lőttek lyukat a fejvadász pajzsán?
10. 18.