Az iskolai adatvesztés és a GDPR: erre is figyeljünk!

Két hét múlva, május 25-én érvénybe lép az EU új Általános Adatvédelmi Rendelete, a GDPR, amely a magánszemélyek adatvédelmi jogait erősíti meg az Európai Unió területén. Az új előírások minden olyan intézményt érintenek, amelyek személyes adatokat kezelnek, így az oktatási intézeteket is. Kevesen gondolnak bele, hogy ennek értelmében bizonyos incidensek esetén akár egy iskolára is bírságot róhatnak ki. Ilyen incidensnek minősülhet az is, ha egy tanár vagy egy adminisztratív munkatárs elveszít egy pendrive-ot, amelyen diákok személyes adatai találhatók. Az iskolai adatvesztés tehát nem vehető félvállról.

 

Iskolai adatvesztés

Az iskolai adatvesztések problémája nem újkeletű, számos hasonló eset fordult már elő világszerte. Néhány évvel ezelőtt például több mint 20 ezer diák privát adatai kerültek veszélybe a Boston Public School hálózathoz tartozó 36 iskolában, amikor az iskolakerület azonosítókártyáinak szállítója, a Plastic Card Systems elveszített egy USB-meghajtót. Többek között a diákok nevei, iskolái, életkora, érdemjegyei, azonosítószámai, könyvtári olvasójegy-számai és fényképei is szerepeltek az elveszett adathordozón.

Az ügy egyáltalán nem számít egyedinek. Az ITRC (Identity Theft Resource Center) személyazonosság-lopásokat vizsgáló kutatóközpont kimutatása szerint tavaly 1339 különféle visszaélés történt személyes adatokkal az USA-beli szervezeteknél, és összesen 174 millió adatrekord került nyilvánosságra. Az incidensek 8,7%-a az oktatási szektorban történt, ami azt mutatja, hogy az intézményeknek nagyobb figyelmet kell fordítaniuk a személyes információk védelmére.

 

A nem megfelelő pendrájvok kockázata

Az iskolai adatvesztések esetében az egyik legnagyobb veszélyforrás a nem megfelelő pendrive-ok használata. A felhasználók jelentős arányban saját részre vásárolt, olcsó, titkosítatlan USB-meghajtókon hordozzák a fájlokat, amelyek kártevőkkel és vírusokkal lehetnek fertőzöttek. Így az egész iskolát veszélybe sodorhatják, hiszen a memóriakulcsok alkalmazása az oktatásban széles körű: nem csupán diákok és tanárok tárolnak információkat rajtuk, hanem más intézeti munkatársak is, például a felvételi folyamat során, az ösztöndíjak kezelésénél, a könyvelésnél, az egészségügyi ellátásban, vagy a biztonsági szolgálatnál. Ám nem a vírusok jelentik a legnagyobb fenyegetést: az adatok biztonsága még nagyobb aggodalomra ad okot. Az elvesztett, ellopott, elkeveredett és ottfelejtett USB-meghajtók száma eléri az évi 20 milliót, ami komoly biztonsági kockázatot jelent, hiszen a kutatások szerint a pendrive-ok megtalálói mindig megnyitják az azon tárolt fájlokat, amennyiben az eszköz nincs titkosítva.

Az emberi kíváncsiság diadalmát bizonyítja a Google nemrégiben, két amerikai egyetem kutatóival karöltve végzett kísérlete is, melyben többszáz titkosítatlan USB-meghajtót helyeztek el gazdátlanul a University of Illinois at Urbana-Champaign egyetem területén. A megtalálók a 297 pendrive közül 290 darabot (98%) azonnal magukkal vittek a helyszínről, és 135 esetében (45%) meg is nyitották a rajtuk lévő fájlokat. A meghajtókat a megtalálók átlagosan 6,9 órán belül csatlakoztatták számítógéphez – az elsőt a megtalálás után mindössze 6 perccel. A kutatók azt feltételezik, hogy a megtalálók kezdetben önzetlen szándékkal nézték meg a fájlokat annak érdekében, hogy felkutassák a jogos tulajdonost, de aztán már a kíváncsiság vezérelte őket.

 

A titkosítás előnyei

Fontos tudni, hogy ha egy USB-meghajtó elveszik vagy ellopják, és a rajta lévő adatok titkosítva vannak, akkor ez a GDPR meghatározásai alapján biztonsági incidensnek számít és nem pedig személyes adatokkal való visszaélésnek, tehát nem esik olyan szigorú megítélés alá. Az adatvesztés ellen tehát a szabadalmaztatott hardveralapú titkosítási módszer véd a leghatásosabban, mivel kiiktatja a leggyakoribb támadási útvonalakat, vagyis csak az férhet hozzá az eszközön tárolt adatokhoz, aki tudja az előzetesen megadott jelszót. Ezenfelül ez a titkosítási módszer teljes körű kompatibilitást garantál a platformok között, azaz együttműködik bármilyen operációs rendszerrel, USB-porttal rendelkező beágyazott eszközzel és fájltároló rendszerrel.

Hardveresen titkosított biztonsági kulcsok például a Kingston Digital titkosított termékei is, melyekről itt írtunk részletes tesztet. Ezek minimalizálják az adathordozással járó kockázatokat, és gondoskodnak a kritikus adatok védelméről. Emellett úgy járulnak hozzá a szigorú adatbiztonsági követelmények, köztük az új uniós GDPR-előírások teljesítéséhez, hogy nem nehezítik meg a munka és a feladatok elvégzését sem a diákok, sem az oktatási intézmények számára. A fejlett védelmi funkciók – például a vírusvédelem és a távfelügyelet – mellett a vállalat személyre vagy szervezetre szabott programot is kínál, amellyel a felhasználók, az egyetemek és egyéb oktatási intézmények egyedileg azonosíthatják a titkosított meghajtókat, például sorozatszámok, dupla jelszavak és egyedi logók segítségével. A Kingston biztonsági pendrive-jain tárolt adatok tehát mindig védve vannak a jogosulatlan hozzáféréssel szemben: ami a titkosított memóriakulcson van, az titkos is marad.

Ne maradjon le erről sem!