Archive for március, 2015

Cégek adatvédelmi kockázatai – 2. rész

Posted on: március 20th, 2015 by dorarapcsak No Comments

Nem kell egy észak-koreai kormányzati támadást elszenvedő Sony óriáscégnek lenni ahhoz, hogy megértsük, az információs rendszerek világában az adatvédelmi kockázatok a mindennapi élet részét képezik. Minden olyan vállalatnak szembe kell néznie ezekkel a kockázatokkal, amely számítógépen, szerveren, vagy az interneten tárolt elektronikus adatokkal foglalkozik.
Adatvédelmi kockázatot jelent bármely adat, információ kezelése, kezdve a hagyományos irattározástól, a laptokon tárolt információkon keresztül egészen a felhőalapú rendszerekben rejlő veszélyekig. Az internetet használó vállalatok gyakorlatilag bármikor szembesülhetnek a szervereiket ért szolgáltatás-megtagadással járó támadással, vagy a honlapjuk működését megzavaró webes támadással.
A cégek ilyen jellegű kockázatainak megfelelő kezelése érdekében több bitztosító is kifejlesztett adatvédelmi és szakmai felelősségbiztosítási csomagot. A Virtual Call Center az AIG-nál kötötte meg ezt a biztosítást. A CyberEdge biztosítási csomag az adatszivárgás és személyes adatok megsértésének, adott esetben beláthatatlan következményeinek kezelésére kialakított védelmi csomag.

Foglalkozzunk az adatvédelmi kockázatokkal

Adatszivárgás esetén személyes adatok vagy az ügyfelek bizalmas üzleti információi szivárognak ki valahogy a cég rendszeréből, az adatok nem megfelelő kezelése vagy kibertámadás miatt.
Az IT csapatot lefoglalja a probléma, miközben a szokásos üzletmenet kiszolgálását is biztosítani kell. Ki kell deríteni, mi okozta az adatszivárgást: emberi mulasztás vagy támadás? El kell dönteni, az IT csapatban megvan a kellő tudás a helyzet kezelésére, le kell állítani a szervert vagy szükség van pótszerverre? Ha pedig rendelkezésre áll az IT katasztrófa helyzetek kezelésre kidolgozott terv, azt hogyan kell végrehajtani.
Az adatszivárgás híre a közösségi média korában gyorsan terjed. A vállalatba vetett bizalom néhány óra alatt megroppanhat. PR krízisben óvatosan és különös körültekintéssel kell kezelni a médiát, az ügyfeleket, a munkatársakat. A bizalom visszanyerése és a vállalat jó hírnevének védelme érdekében gyors cselekvésre és megfelelően irányított PR akcióra van szükség.
Az ügynek persze jelentős pénzügyi hatásai is vannak. Az illetékes hatóságok adatvédelmi bírságot szabhatnak ki az adatsértések miatt. Pert indítanak azok az emberek, akiknek a személyes adatai nem megfelelő módon voltak kezelve. Kártérítési igényt nyújthatnak be azon üzletfelek, akik az adatszivárgás miatt kártalanítást fizettek saját ügyfeleiknek. Mindezek kiegészülnek az adatvesztés okának felkutatásával, a hálózatok újra konfigurálásával, a védelem, az adatok és a rendszerek helyreállításával kapcsolatos költségekkel. Lehet, hogy mindezek miatt eközben a cég szokásos működése is leáll, amely bevételkieséssel jár. Egy ilyen válság hatása gyorsan megjelenik a részvényárakban, a cég értékének zuhanásában. A cég és vele együtt vezetőinek jó hírneve is könnyen csorbát szenvedhet, igazgatói válság alakulhat ki.

Cégek adatvédelmi kockázatai

Biztosított események

A CyberEdge fedezetet nyújt az adatvédelmi kockázatok nyilvánvaló, és kevésbé nyilvánvaló következményei ellen.
Adatvédelmi jogsértések, adatszivárgás vagy az adatok nem megfelelő kezelése esetén a CyberEdge a lehetséges pénzügyi következményeit enyhíti, segít az ilyen ügyek egyéb hatásainak kezelésében is. A biztosítás például segít a cég és vezetőinek jó hírnevére és a cég IT rendszereire gyakorolt negatív hatások mérséklésében, és így a hagyományos biztosítási fedezetet kombinálja a szakértői tanácsadással.

Krízis menedzsment

Egy adatvédelmi jogsértést követően a krízis menedzsment elősegíti a vállalat hírnevének védelmét és újraépítését. A társaság jó hírnevének védelme érdekében független tanácsadók díjazásának és kiadásainak fedezését vállalja a biztosító. A felelős vezetők jó hírnevének védelme érdekében a személyes hírnéven esett csorba kiköszörülésében PR szolgáltatásokat lehet igénybe venni, az ezért fizetett szakértői díjakat és kiadásokat állja a biztosítás. Fedezi az adatalanyok részére az esetleges jogsértések kapcsán küldött értesítések költségeit.

A pénzügyi következmények enyhítése

Adatfelelősség esetén a CyberEdge fedezi az adatvédelmi jogszabályok megsértésével, vagy valamely titoktartási kötelezettség megszegésével kapcsolatosan fizetendő kártérítéseket, illetve jogi védelmi költségeket, akár maga a biztosított, akár valamely külső (a biztosított megbízásából eljáró) partnere okozta a kárt.

Hálózatbiztonság témakörben fedezi az alábbiak miatt érvényesített kárigényekkel kapcsolatos jogi védelmi költségeket és a fizetendő kártérítést:

  • harmadik személyeknek a cég rendszerein tárolt adatainak vírussal történő megfertőzése;
  • a biztosított valamely olyan hibája vagy mulasztása, amelynek következtében illetéktelenek is hozzáférhetnek a harmadik személyek adataihoz;
  • hálózati-hozzáférési kód társaságtól történő eltulajdonítása;
  • személyes adatokat tartalmazó hardver eltulajdonítása;
  • valamely adatnak alkalmazott által történő jogosulatlan nyilvánosságra hozatala.

Vizsgálati költségek és bírságok esetében fedezi az adatvédelmi hatóság által indított vizsgálat kapcsán felmerülő jogi képviselet és védekezés ésszerű díjait vagy az adatvédelmi hatóság által kirótt adatvédelmi bírságot.

Opcionálisan köthető multimédia felelősség biztosítás, mely fedezi a harmadik fél szellemi tulajdonával kapcsolatos jogok megsértéséből, vagy valamely elektronikus tartalommal kapcsolatos gondatlanságból eredő kártérítést, és az ezekkel kapcsolatos jogi védekezés költségét. Ugyancsak opcionális a zsarolás biztosítás, mely fedezi az adatbiztonsági fenyegetés megszüntetése érdekében kifizetett váltságdíjat. Választható a hálózatkiesés biztosítás is mely fedezi a biztosított számítógépes hálózatában jelentkező, biztonsági hiba miatt bekövetkező üzemszünetből eredő nettó nyereségkiesést.
Velünk biztonságban
Bár a Virtual Call Center működése során a fenti kockázatok előfordulására csekély a lehetőség, ügyfelei maximális védelmének érdekében 2015. január 1-én adatvédelmi és szakmai felelősségbiztosítást kötött a vállalat az AIG-gel. A cég partnerei számára ily módon is extra biztosítékot szeretne nyújtani a folyamatos, gördülékeny üzletmenethez.

A cikkhez tartozó első rész: Biztonságban a Virtual Call Centerrel – 1. rész

Biztonságban a Virtual Call Centerrel – 1. rész

Posted on: március 9th, 2015 by dorarapcsak No Comments

A világ egyik legnagyobb biztosítójával, az American International Group-pal (AIG) kötött adatvédelmi és szakmai felelősségbiztosítást a Virtual Call Center. Az adatvédelmi és biztonsági szabályzatok átvizsgálása után az AIG a vállalatot alkalmasnak találta arra, hogy 2015. január 1-én megkössék a Cyberedge biztosítást.

Az AIG Cyberedge biztosítása adatvédelmi jogsértések, adatszivárgás vagy az adatok nem megfelelő kezelése esetén, illetve a lehetséges pénzügyi következmények során nyújt 200 000 euró (több mint 60 millió forint) értékig fedezetet.

A Virtual Call Center több mint 15 éve gond nélkül működik együtt ügyfeleivel, üzleti partnereivel. Az adatok védelmére kiemelt figyelmet fordít. Eddigi tevékenysége során kifogástalan szakmai bizalmat épített minőségi, biztonsági és adatvédelmi szempontból egyaránt. Ezt a bizalmat tovább szeretné erősíteni oly módon, hogy vállalati és szakmai felelősségbiztosítással is gondoskodik partnereiről. Az AIG adatvédelmi és szakmai felelősségbiztosítás egy olyan extra biztosítékot jelent, amely egy előre nem látható káresemény következtében, tehermentesíti az ügyfelet, elkerülve így folyamatos üzletmenet megakadását.
A partnereknek így kevésbé kell aggódniuk a nem várt események miatt és nyugodtan koncentrálhatnak saját üzletük fejlesztésére.

Biztonságban a Virtual Call Centerrel

A biztosítás védelmet jelenthet többek között az adatvédelmi jogszabályok esetleges megsértése és a titoktartási kötelezettség véletlen sérülése esetén. Életbe léphet hálózatbiztonsági eseményekkor is: biztosítja az ügyfelek személyes adatait tartalmazó hardvereiket és az adatokat. Fedezi továbbá a partnerek szellemi tulajdonával vagy valamely elektronikus tartalommal kapcsolatos, esetlegesen felmerülő kártérítési igényeket is.

Az AIG biztosítás a Virtual Call Centert nem csak magyarországi viszonylatban emeli ki versenytársai közül, hanem nemzetközi szinten is, hiszen megkülönböztetett figyelemmel gondoskodik ügyfeleiről, tovább erősítve bizalmukat és elkötelezettségüket.

A cikkhez tartozó második rész: Cégek adatvédelmi kockázatai – 2. rész

Adatbiztonság és adatvédelem – 2. rész

Posted on: március 5th, 2015 by dorarapcsak No Comments

Az eddig emlegetett előnyök mellett vannak problémás vonatkozásai is a felhőszolgáltatásoknak, és a leghevesebb vitákat az adatbiztonság és az adatvédelem kérdései generálják.

Azt bátran kijelenhetjük, hogy már a mai technológiai megoldások is tökéletesen alkalmasak arra, hogy a felhasználók biztonságban tudják adataikat. E technológiák jó része a kiberbűnözés és az ipari kémkedés mind nagyobb méreteire reagálva az illetéktelen hozzáféréstől védi az adatokat és a folyamatokat: titkosítások alkalmazása, azonosítási, hitelesítési mechanizmusok, esetleg VPN használata, a gondos adatszeparáció stb., míg a redundancia, a földrajzilag is eltérő helyeken lévő biztonsági mentések sokasága arra ad garanciát, hogy adattárolási katasztrófa esetén se vesszenek el a felhasználó adatai. (Ezeket technológiai megoldásokat a Virtual Call Center is mind alkalmazza.)

Adatbiztonság és adatvédelem - VCC BlogUgyanakkor a közelmúlt néhány, főként a napi sajtóban vihart biztonsági incidense olyan érzést kelthetett a szakterületen kevésbé jártasabbakban, hogy az adatok biztonságáért nem
minden szolgáltató tesz meg mindent, illetve a mégoly magas szintű védelmi technológiák sem óvnak meg az emberi tévedés vagy hanyagság okozta hibáktól. De közelebbről megnézve a történteket, látható, hogy ezek az adatvesztések vagy adatszivárgások – még ha egyik-másik olyan globális IT cégnél történt is, mint a Sony vagy az Apple – szinte mindegyike olyan vállalatnál esett meg, amelyeknél a felhőszolgáltatás nem főtevékenység: ezeknél a vállalatoknál a felhőmegoldások jórészt kiegészítő, illetve csak mostanában növekedésnek indult szolgáltatások.

E sebezhetőséget mutató cégek igazából a felhő terjedésének a „második hullámához” tartoznak, akik hagyományos sikeres üzletágaikat bővítik, illetve most alakítják át üzleti modelljüket. Az említett incidensek elemzései rámutatnak, hogy legyen szó bármely nagy és tekintélyes IT cégről, a biztonságos és stabil felhőszolgáltatásnak megvannak a szigorú szabályai, és ha ezeket nem tartják be, akkor nagy az esélye a hibázásnak.

Jól mutatja ennek inverzét, hogy a főtevékenységként felhőszolgáltatással foglalkozó vállalatok – például az e területen olyan széles spektrumú kínálattal rendelkező cégek, mint a Google vagy az Amazon (sőt a vállalati stratégiát már közel egy évtizede ebbe az irányba vezető Microsoft) – eddig gyakorlatilag még nem szenvedtek el komoly, adatszivárgással járó biztonsági incidenst. Sőt, e cégeknél még a szolgáltatás-kieséssel járó üzemzavar is ritka madár, adatvesztés pedig a bőséges rendundanciának köszönhetően szinte kizárt. Ennek fő biztosítéka, hogy a felhőből élő cégeknél nem néhány ember, esetleg egy munkacsoport foglalkozik a felhőszolgáltatással, hanem több divízió, igencsak méretes szakembergárdákkal, akik már részterületekre bontva menedzselik és fejlesztik a core-tevékenységet, hogy az általuk kínált felhő stabil, gyors, kényelmes és biztonságos legyen.

A fentiekből következik, hogy az adatbiztonságot illetően cégeknek különösen ajánlott tájékozódni egy szolgáltatás igénybevétele előtt az adott szolgáltató reputációjáról – ez ugyanúgy bizalmi kérdés, mint a bankválasztás. Nem véletlen, hogy a felhőszolgáltatók imázsának legfontosabb eleme a megbízhatóság. Érdemes megnézni a tanúsítványokat is – bár ezek rendszere sajnos még nem egységes – de mivel a szolgáltatók elemi érdeke a biztonságos, megbízható és stabil működés, ők maguk is mindent megtesznek azért, megszerezzék és fenntartsák a felhasználói bizalmat. Szerződéseikben különféle garanciákat
nyújtanak ügyfeleiknek, törekszenek az átláthatóságra, nyilvánosan kezelik esetleges biztonsági incidenseiket, széles körű támogatást nyújtanak szolgáltatásaikhoz, üzemzavar esetén megfelelő mértékű kárpótlásra lehet számítani tőlük – sőt, akadnak cégek, akik elég bátrak, ahhoz,hogy lehetőségeikhez mérten ellenálljanak a kíváncsi államnak is.

A másik, nagy indulatokat kiváltó terület az adatvédelem ügye, a felhő itt kapja a legtöbb kritikát. Egyrészt azért, mert a felhasználók a felhőben az adataikkal együtt a kontroll egy részét is átadják a szolgáltatónak, és sok vállaltnál a felhasználóknak alig van lehetőségük arra, hogy megtudják: a kiválasztott cég vajon mit tesz adataikkal. E területen – nem kevés botrány után – határozott előrelépés tapasztalható az utóbbi időben, ugyanis a nagy szolgáltatók számára egyértelművé vált, hogy a fejlett technológia mellett a felhasználói bizalom a legnagyobb tőkéjük, így sorozatos lépéseket tesznek az átláthatóság növelésére, igyekeznek mind több garanciát nyújtani.

Ám természetesen ez sem jelent száz százalékos biztosítékot, hiszen hiába létezik az Egyesült Államokra és az európai gazdasági térségre vonatkozó Safe Harbor egyezmény (mely előírásaival szabványosítja az adatkezelést az egyezményt aláíró országokban és vállalatoknál, hogy védje a felhasználókat), arra már az Európai Unió illetékes munkacsoportja (29. cikk szerinti adatvédelmi munkacsoport – Article 29 working party) is felhívta a figyelmet, hogy a sokféle törvényi szabályozás miatt egyezmény gyakran nem ad elegendő védelmet, illetve nem biztosítja a kellő jogsegélyt. Az Edward Snowden nevéhez fűződő kiszivárogtatások után különösen kiéleződött a konfliktus az USA és az EU között e területen. Az egyeztetések napjainkban is zajlanak, az EU új adatvédelmi irányelvei pedig határozottan kiállnak a szigorú adatvédelmi korlátozások mellett.

Megfontoltan döntsünk

Az ember fodrászt vagy autószerelőt is kellő körültekintéssel választ magának, így nyilvánvaló, hogy egy olyan esetben, amikor egy vállalkozás bizalmas adatait bízza egy külső felhőszolgáltatóra, és amikor működtetésének kiemelten fontos területeit teszi függővé egy szerződött partnertől, akkor a lehető legalaposabban utána kell néznie, hogy kivel fog együtt dolgozni. Amennyiben egy, az Európai Unióban működő cég megfelelő garanciákat szeretne kapni, szinte elkerülhetetlen, hogy a következő jellemzőket a döntés előtt ellenőrizze:

  • a kiválasztott felhőszolgáltató az EU egyik tagállamában működik-e – egy EU-n kívüli szolgáltató esetében a valószínűleg eltérő jogi és gazdasági környezet miatt nehezebb lehet a megszokott és megkívánt feltételeket elérni, nehézkesebb lehet az esetlegesen kialakuló jogi és üzleti viták rendezése
  • a felhőszolgáltatások kiemelten fontos előnye a nagy rendelkezésre állás biztosítása, épp ezért ezt a paramétert már az első tájékozódáskor meg kell vizsgálni – előfordulhat, hogy egyéb jellemzőket nézve találhatunk kedvezőbb ajánlatokat, de a nem kellő vagy bizonytalan feltételekkel megadott rendelkezésre állás annulálhatja ezeket az előnyöket
  • a szolgáltató milyen típusú és mekkora mértékű anyagi felelősséget vállal az esetleg meghibásodások, incidensek, üzemkiesések esetére, és van-e erre vonatkozó felelősségbiztosítása
  • a szolgáltató ügyfélköre milyen típusú cégekből áll (ezek a cégek milyen területeken dolgoznak), és velük milyen feltételekkel kötöttek szerződést
  • a leendő partner milyen típusú biztonsági auditokkal rendelkezik, ezeket az átvilágításokat kik végezték el
  • mennyi ideje működik a kiszemelt szolgáltató
  • a cég története során volt-e példa biztonsági incidensre – ha igen, hányszor, és milyen súlyosak voltak ezek, illetve: milyen módon kezelte ezt a vállalkozás
  • az utóbbi három évben milyen volt a szolgáltató eredményessége: a pénzügyi mutatók áttekintése
  • előfordulhat, hogy egy idő után szolgáltatót akarunk váltani, ezért létfontosságú arról meggyőződni, hogy milyen módon biztosítja a szolgáltató az adatok exportálását az arra jogosultak számára (pl. nem túlságosan zárt-e a platformja, ahonnan igen nehezen vagy egyáltalán nem lehet átvinni az adatokat egy másik platformra)
  • a szolgáltató mennyire rugalmas a potenciális új igények kezelésében
  • support: milyen technikai, esetleg személyes támogatást biztosít

A felhőtechnológiák és felhőszolgáltatások záró értékeléséhez érdemes újra analógiához folyamodni: ha a cégvezető autót vásárol vállalkozása számára, akkor nem azt a kérdést teszi fel magának, hogy az autó jó dolog-e, hanem azt nézi meg, hogy neki milyen paraméterekkel rendelkező járműre van szüksége, hogy cége munkájának színvonalát emelni tudja, illetve azt, hogy azt az adott kocsit megbízható forrásból szerezze be, ahol garanciát vállalnak, ahol nem vágják át, ahová később is visszamehet panaszaival és kérdéseivel.
Pontosan így működik ez akkor is, ha a vállalkozás felhőszolgáltatást keres.

A cikkhez tartozó első rész: A jövő a felhőé – 1. rész