2015. 05. 29.
forrás: hirado.hu, Képen: Pataki Gábor, a Mabave elnöke beszél
Bizalmas adatok maradhatnak az önkormányzatoktól leselejtezett informatikai eszközökön, mivel általában a szükséges anyagi erőforrásuk és a megfelelő szaktudásuk is hiányzik az információbiztonsági törvény előírásainak betartásához.
A Magyar Adatvédelmi és Adatbiztonsági Egyesület (Mavabe) felmérést végzett a Pest megyei önkormányzatok körében, arra kereste a választ, hogy az egyes hivatalok eleget tesznek-e az információbiztonsági, azaz a 2013. évi L. törvény, illetve az adatvédelmi jogszabályok egyes előírásainak.
Elsősorban arra volt kíváncsi az egyesület, hogy az önkormányzatok helyesen selejtezik-e le informatikai eszközeiket, és a folyamatot megfelelően dokumentálják-e. A felmérés vizsgálta, hogy a hivatalok rendelkeznek-e adatvédelmi és adatbiztonsági szabályzatokkal, illetve bejelentették-e a Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH) nyilvántartásába a bejelentésköteles adatkezelési műveleteiket.
Az eredmények szerint ritka, hogy egy önkormányzat a leselejtezés előtt megfelelően elvégezze az adathordozók adatoktól való fertőtlenítését és a folyamatot jegyzőkönyvben is dokumentálja. A legtöbben újraformázzák a leselejtezésre kerülő számítógépek merevlemezeit, vagy esetleg újratelepítik rajtuk az operációs rendszert. Ezek azonban nem megfelelő eljárások, mivel az ilyen merevlemezekről könnyen visszaállíthatóak a korábbi adatok vagy legalább egy részük.
A szabályozatlansághoz hozzájárul, hogy a felmérésben részt vevő szervezetek kevesebb, mint fele rendelkezik megfelelő adatvédelmi és adatbiztonsági szabályzatokkal. A bejelentési kötelezettségnek való megfelelés területén már valamivel jobb a helyzet, az önkormányzatok 56 százaléka vetette nyilvántartásba a NAIH-nál a bejelentésköteles adatkezelési műveleteit.
„Negyvenhárom 10 ezer fő alatti település önkormányzatát kerestük meg Pest megyében, és összesen tizenhat szervezet töltötte ki kérdőívünket. Az adatok tehát statisztikailag nem tekinthetőek reprezentatívnak, de tapasztalataink szerint sok magyarországi önkormányzatnál nagyon hasonló a helyzet” – emelte ki Pataki Gábor, a Mabave elnöke a felmérés eredményeiről.
A Lurdy Házban szerdán megtartott konferenciájukon az egyesület, valamint az adatvédelmi vizsgálatokkal foglalkozó L Tender Consulting és a minősített adattörlési megoldásokat gyártó Blancco képviselői arról is beszéltek, az információbiztonsági törvény kötelezettjeinek számos logikai védelmi intézkedést kell még meghozniuk ahhoz, hogy megfeleljenek a jogszabály előírásainak.
Petrányi-Széll András, a Blancco kommunikációs vezetője arra hívta fel a figyelmet, hogy az adathordozók megfelelő adattörlés nélküli leselejtezése felel az adatvédelmi incidensek jelentős részéért. Ezek az esetek ráadásul sokszor jelentős médiafigyelmet is kapnak, mivel a használt mobiltelefonokról és az adattörlés nélkül szervizbe adott notebookokról a közéleti szereplőket kompromittáló dokumentumok és fényképek kerülnek nyilvánosságra.
Az adathordozók védelmére vonatkozó eljárásrend kialakítása azonban nem az egyetlen feladat. Az önkormányzatoknak gondoskodniuk kell például az informatikai események naplózásáról, a naplóbejegyzések megőrzéséről és védelméről is. Schulmann Péter, az L Tender Consulting információbiztonsági szakembere szerint mindebben nehézség, hogy a hivatalok sokszor nem rendelkeznek korszerű hardverekkel és szoftverekkel, az informatikáért felelős munkatársaik pedig inkább üzemeltetési, mintsem tervezési ismeretekkel vannak felvértezve.