Webtown blog

Gondolataink cikkekbe rendszerezve

null Adatvédelem a weben: biztonságot minden felhasználónak!

Tóth Enikő

Adatvédelem a weben: biztonságot minden felhasználónak!

A GDPR elsősorban a személyes adatok védelmére koncentrál. A felhasználónév és jelszó párosok, a születési adatok vagy egy-egy érzékenyebb tény, például az orvosi leletek nyilvánosságra kerülése komoly veszélyekkel fenyeget. De egy vállalkozás életében nem csak a személyes információk biztonsága fontos. Ha nem vigyázunk, üzleti titkok, belső adatok, értékes kutatási eredmények is illetéktelen kezekbe kerülhetnek. Mit tehetünk, hogy elkerüljük ezt? Összegyűjtöttünk néhány ötletet!

Miért óvjuk az adatokat?

Az adatvédelem több szempontból is kiemelten fontos. Egyrészt a látogatóink személyiségi jogai megkövetelik, hogy lehetőleg minél diszkrétebben kezeljük azokat az információkat, amelyeket megosztanak velünk. Másodszor: egy óvatlan pillanatban komoly üzleti titkok szivároghatnak ki. Ezek befolyásolhatják például egy vállalat részvényeinek árát, de akár egy tender kimenetelét is. Ez a cég méretétől függetlenül kellemetlen incidens.

Az adatok védelme kiemelten fontos a cég megítélése szempontjából

A személyes adatokkal, illetve a jelszó és felhasználónév párosokkal napjainkban is sokszor visszaélnek, de szerencsére ma már rengeteg olyan módszer létezik, amely megakadályozza a különböző rendszerekbe történő észrevétlen behatolást. A kétfaktoros azonosítás például csaknem teljesen képes kiszűrni a jelszavak ellopásából nyert információkkal érkező behatolókat. Az esetleges adatszivárgás azonban komoly erkölcsi, ezen keresztül pedig anyagi károkat okoz a cégeknek.

Adat ma már lehet bármi. A big data vagyis a nagy adattömegek korában sok cég és szakember már látszólag teljesen jelentéktelen számokból is értékes következtetéseket tud levonni. A legtöbbször azonban nincsen szükség ipari kémkedésre. A legtöbb adatszivárgás esetén teljesen banális balesetek történnek: egy eltévedt e-mail, egy kalandos kedvű hacker vagy egy bosszúra éhes volt kolléga szolgáltat ki fontos tényeket az üzletről.

Ha az adatokat sikerül megvédeni az ezekhez hasonló, durvább behatásoktól, az a finomabb módszerek ellen is hatásos lehet. Ha ugyanis a legnagyobb sérülékenységeket sikerül kiiktatni, már csak néhány egyszerű lépésre van szükség ahhoz, hogy a rafináltabb támadásokat is visszaverjük. Lássuk, hogyan!

Az adatbiztonság első lépése: kivel osztunk meg információt?

Amit egy embernél több tud, az nem lehet titok!” - ez a régi mondás az informatikában is fontos tanulságokat hordoz. Azok az információk, amelyeket sok emberrel osztunk meg, minden erőfeszítésünk ellenére hamarabb fognak nyilvánosságra kerülni, mint azok az adatok, amelyekről csak egy szűk réteg tud. Az adatbiztonság alapja az, hogy kialakítsuk a cégen belüli adatkezelési protokollt.

A helyes adatkezelési protokoll segít, hogy a támadók ne az információ egészéhez férjenek hozzá

Ma már számos jó gyakorlat létezik arra, hogyan lehet egy csapaton, intézményen, vállalaton belül úgy áramoltatni a tudnivalókat, hogy a munkájához mindenki megkapja a szükséges információt, azonban titkok ne kerülhessenek a felszínre. Az ilyen módszerek tanulmányozása és elsajátítása hasznos lehet, de nem kell ennyire messzire menni ahhoz, hogy biztonságos kommunikációt alakítsunk ki. Ehhez legtöbbször elég csak a biztonságos megosztás alapelvét követni.

Eszerint a vállalaton, kollektíván belül mindenkinek csak azokhoz az adatokhoz szabad hozzáférnie, amelyek a munkájához, tevékenységéhez feltétlenül szükségesek. Íme néhány, az életből vett példa:

A nagyvállalat minden operátora láthatja, hogyan alakul a cég teljesítménye és milyen eredménnyel zárt a részlege az adott félévben. Nem kapnak azonban részletes elemzéseket és nem ismerhetik a vezetőség által kötött megállapodásokat sem. Nincs szükségük a jövőre vonatkozó spekulációkra, hiszen csak annyi a dolguk, hogy a saját csapatuk teljesítményét értékeljék a vállalaton belül.

Egy kisebb építészeti cég esetén a vállalkozás két marketingese láthatja, hol és milyen munkán dolgoznak a kollégái, nem férnek viszont hozzá a helyszíneken készült képekhez. Így kerülik el, hogy azok - akár véletlenül - kikerüljenek a honlapra. Ezekből a képekből ugyanis az ügyfelek versenytársai fontos információkhoz juthatnának.

A második lépés: legyen gátja a hozzáférésnek!

Ha megvan a megfelelő megosztási rendszer, valahogyan meg kell oldani az adatokhoz való hozzáférés korlátozását. A jelszavas védelem ennek az egyik legkényelmesebb és egyben leggyakoribb módja is.

Kellő felhasználói fegyelem mellett (erős jelszavak alkalmazása, ezek biztonságos tárolása, stb.) ez a védekezés általában elég hatékony tud lenni, de ma már fejlettebb módszerek is léteznek arra, hogy pontosan azonosítsuk a felhasználókat.

A biológiai azonosítók használata például rendkívül hatékony, hiszen az ujjlenyomatot, az arcot vagy a retina mintáját - jó esetben - elég nehéz hamisítani. Az egyszerűbb rendszerek egy része korábban könnyen kijátszható volt. Ma viszont ritka, hogy egy jó minőségű portréfotóval át tudjuk verni a telefon azonosító rendszerét, vagy fólián hagyott ujjlenyomattal oldjuk fel a számítógép zárolását.

Nem csak biológiai jegyek lehetnek azonosítók. Ma már egyre több helyen találkozhatunk olyan biztonsági rendszerrel is, amely képes a felhasználó mozgása, jellemző tevékenységei, vagy a bejelentkezési helyszínek alapján is felismerni, ha nem a megfelelő személy próbálkozik a bejutással. Egyre több az olyan program, szoftver, amelyik képes azonosítani a gyanús belépési kísérleteket, erről pedig jelentést és figyelmeztetést küld a megfelelő helyre.

Mivel ma már a legtöbben nem csak telepített, de mobil eszközöket, sőt, viselhető technológiát is használnak, ez a típusú azonosítás nagyon pontos is lehet. Sok eszközt akár már ma is fel lehet oldani egy másik segítségével - a telefonnak például elég lehet, hogyha közelítünk az okosórával a képernyő felé.

Bár ez a módszer még nem elterjedt, a különböző okoseszközöket már ma is lehet azonosításra használni, persze még jóval egyszerűbb módon. Az OTAC (One Time Access Code) vagyis egyszeri belépésre jogosító azonosító sokszor már ilyen formában érkezik. Az egyszeri belépési azonosító általában egy karaktersor, amely egyszer használatos és csak bizonyos ideig jogosít belépésre.

A harmadik lépés: legyen az egész felhasználóbarát!

A UX design, vagyis a felhasználói élmény gondos megtervezése kulcsszerepet játszik az adatvédelemben. Ha ugyanis a bejelentkezési és védelmi rendszereket nem lehet elég gyorsan és könnyedén használni, a felhasználók előbb-utóbb óhatatlanul elkezdik megkerülni a kapukat.

Ezen a ponton az adatvédelem minden lépése összefügg. Ha megfelelően osztottuk meg az adatokat, egyetlen felhasználó fiókjának feltörésével csupán egy kis szeletnyi információ kerülhet nyilvánosságra. Ha mindezt biztonságosan lezártuk, csökkentettük a feltörési kísérletek számát. Ha pedig sikerült egyszerű és kényelmes módot találni az adatok védelmére, kicsi az esélye annak is, hogy a belépők maguk szivárogtatnak - bár ezt természetesen csak a rendelkezésre álló - szeletnyi - anyaggal tudják megtenni.

Egyszerűbb, mint látszik: a mi megoldásunk

Jó adatmegosztási stratégia mellett az “átlagos” felhasználók szintjén nincsen szükség katonai szintű titkosításra. A - lehetőleg kétfaktoros - bejelentkezés és a rendszer megfelelő karbantartása általában elég a védelemhez. A kibertámadások jelentős része ma már egyébként sem a felhasználói oldalról próbál behatolni a rendszerbe. A rosszindulatú erők sokszor rögtön a szerver adatainak megszerzésével próbálkoznak.

Amikor valamilyen portálrendszer fejlesztésén dolgozunk, a munka általában úgy indul, hogy egyeztetjük a megrendelővel az igényeket és közösen meghatározzuk, milyen jellegű és mennyire bizalmas információkat kell kezelnünk. Így magát az informatikai megoldást már úgy tudjuk felépíteni, hogy illeszkedjen ebbe a struktúrába.

Az általunk használt Liferay DXP tökéletesen illeszkedik a vállalati igényekhez. Mivel több felhasználói szintet is létrehozhatunk, akár oldalról-oldalra is szabályozhatjuk, az adatok melyik szegmenséhez fér hozzá valaki. A felhasználók között vannak, akik olvasási és szerkesztési jogokkal rendelkeznek, mások csak olvasni tudják a tartalmat. A DXP-ben egy beépített jóváhagyási funkció is van. Ez lehetővé teszi, hogy egyes felhasználók ne tudják publikálni a háttérben létrehozott anyagokat. Ők közzététel helyett jóváhagyásra továbbíthatják a tartalmat, az pedig csak akkor kerülhet (valamilyen fokú) nyilvánosságra, ha valaki már ellenőrizte azt.

A Liferay már önmagában is többféle bejelentkezési módot támogat. Regisztrálni lehet például közösségi média fiókkal vagy az e-mail accountunk hozzárendelésével, automatikus kitöltéssel is. Ez a módszer kényelmes lehet azoknak, akiket valamilyen marketing céllal szeretnénk az oldalra irányítani vagy akiknek lehetővé szeretnénk tenni, hogy a saját igényeikhez igazított, személyre szabott felületet lássanak.

A rendszer kezel azonban ennél összetettebb, e-mail cím + jelszó, vagy felhasználónév + jelszó párosokat is. Azt is megadhatjuk, ki és milyen adatokkal regisztrálhat, és milyen lehetősége van arra, hogy ezeket az adatokat később szerkessze. Egyes felhasználóknak engedhetjük például, hogy helyreállítsák az elfelejtett jelszavukat - így megakadályozhatjuk, hogy valakit az tartson fel akár több napra is a munkában, hogy kizárta saját magát a felhasználói fiókból. Ha viszont nem engedélyezzük ezt a funkciót, lehetőség van arra is, hogy az adminisztrátorok folyamatosan figyelemmel kísérjék, mindenki megfelelő jelszóval és jogosultság birtokában használja-e a felületet.

A különböző megoldások kombinációjával sokat tehetünk a biztonságért. Megengedhetjük például azt, hogy a felhasználók módosíthassák a saját adataikat, így az ügyfelek frissíteni tudják például a postacímüket vagy a telefonszámukat. Ezzel párhuzamosan viszont tilthatjuk, hogy az adatokkal dolgozó operátorok átírják azokat, így csökkenthetjük a tévedés vagy visszaélés kockázatát.

Az egyszerű megoldások logikus kombinációja elég lehet a sikerhez

A számos lehetőségnek és kombinációnak köszönhetően egy olyan rendszert tudunk kialakítani, ahol akár a belső és a külső kommunikáció is azonos platformon működhet. Ennek köszönhetően lehetséges az, hogy az operátorok ugyanazt a felületet használják a munkájuk során, amelyet ügyfélként már megismertek. Csökken a betanítás ideje és bonyolultsága is, hiszen csak egyetlen informatikai megoldás logikáját kell megismerni és megérteni. Mivel számos adattal, információval az adott rendszeren belül lehet dolgozni, nem kell lehívni, formázni vagy továbbítani azokat. Ennek köszönhetően sokkal kisebb az információ-szivárgás veszélye is.

A Liferay DXP számos, ma már bevett adatvédelmi eszközzel és megoldással kompatibilis, így ha szükség van rá, tovább lehet erősíteni a biztonsági gátakat. Összességében azonban egy könnyen kezelhető és az adatvédelmi stratégiához kiválóan illeszthető rendszert tudunk kiépíteni. A Liferay DXP használata költséghatékony, biztonságos és kényelmes megoldás, még akkor is, ha érzékeny adatok kezelésére van szükség.

A szakértelemmel felépített portál nem csak bevételt termel. A megbízhatóan működő digitális rendszer a cég tekintélyét is növeli. Csapatunk örömmel várja az ilyen típusú kihívásokat! Fordulj hozzánk bizalommal!