Az Eur\u00f3pai Uni\u00f3 \u00faj adatv\u00e9delmi rendelete, a GDPR (General Data Protection Regulation) a kor\u00e1bbi, hazai szab\u00e1lyoz\u00e1shoz k\u00e9pest \u00fajdons\u00e1gk\u00e9nt tartalmazza a titkos\u00edt\u00e1s alkalmaz\u00e1s\u00e1t a szem\u00e9lyes adatok v\u00e9delme \u00e9rdek\u00e9ben.<\/p>\n
A GDPR k\u00f6vetelm\u00e9nyei a titkos\u00edt\u00e1ssal kapcsolatban:<\/strong> M\u00e1sr\u00e9szr\u0151l az adatkezel\u00e9s biztons\u00e1g\u00e1r\u00f3l sz\u00f3l\u00f3 32. cikk akk\u00e9nt rendelkezik, hogy az adatkezel\u0151 \u00e9s az adatfeldolgoz\u00f3 a tudom\u00e1ny \u00e9s technol\u00f3gia \u00e1ll\u00e1sa \u00e9s a megval\u00f3s\u00edt\u00e1s k\u00f6lts\u00e9gei, tov\u00e1bb\u00e1 az adatkezel\u00e9s jellege, hat\u00f3k\u00f6re, k\u00f6r\u00fclm\u00e9nyei \u00e9s c\u00e9ljai, valamint a term\u00e9szetes szem\u00e9lyek jogaira \u00e9s szabads\u00e1gaira jelentett, v\u00e1ltoz\u00f3 val\u00f3sz\u00edn\u0171s\u00e9g\u0171 \u00e9s s\u00falyoss\u00e1g\u00fa kock\u00e1zat figyelembev\u00e9tel\u00e9vel megfelelo technikai \u00e9s szervez\u00e9si int\u00e9zked\u00e9seket hajt v\u00e9gre annak \u00e9rdek\u00e9ben, hogy a kock\u00e1zat m\u00e9rt\u00e9k\u00e9nek megfelel\u0151 szint\u0171 adatbiztons\u00e1got garant\u00e1lja, ide\u00e9rtve, t\u00f6bbek k\u00f6z\u00f6tt, adott esetben a szem\u00e9lyes adatok \u00e1lneves\u00edt\u00e9s\u00e9t \u00e9s titkos\u00edt\u00e1s\u00e1t.<\/p>\n A GDPR elfogadott sz\u00f6vege alapj\u00e1n a titkos\u00edt\u00e1s nem egy k\u00f6telez\u0151en el\u0151\u00edrt int\u00e9zked\u00e9s a szem\u00e9lyes adatok v\u00e9delm\u00e9vel kapcsolatban, ugyanakkor az elterjeds\u00e9ge \u00e9s viszonylagos k\u00f6lts\u00e9ghat\u00e9kony bevezethet\u0151s\u00e9ge miatt igen n\u00e9pszer\u0171 \u00e9s gyakori technikai kontroll.<\/p>\n Megjegyzend\u0151 az is, hogy maga a titkos\u00edt\u00e1s “privacy supporting”, adatbiztons\u00e1got t\u00e1mogat\u00f3 int\u00e9zked\u00e9snek tekinthet\u0151, mivel a c\u00e9lja nem kifejezetten a szem\u00e9lyes adatok v\u00e9delme, hanem egy meghat\u00e1rozott jelsorozat transzform\u00e1ci\u00f3ja oly m\u00f3don, hogy annak a tartalm\u00e1t csak az arra technikailag k\u00e9pes f\u00e9l ismerhesse meg.<\/p>\n Ugyanakkor az adatkezel\u0151knek \u00e9s az adatfeldolgoz\u00f3knak c\u00e9lszer\u0171 figyelemmel lenni azokra a nem v\u00e1rt esetekre, amikor valamilyen adatv\u00e9delmi bejelent\u00e9st induk\u00e1l\u00f3 incidens t\u00f6rt\u00e9nik. Nem rendelkezik r\u00f3la kifejezetten a GDPR, viszont az adatv\u00e9delmi incidensek bejelent\u00e9s\u00e9r\u0151l sz\u00f3l\u00f3 33. cikk szerint nem sz\u00fcks\u00e9ges az adatkezel\u0151nek bejelent\u00e9st tennie a fel\u00fcgyeleti hat\u00f3s\u00e1g fel\u00e9, ha az adatv\u00e9delmi incidens val\u00f3sz\u00edn\u0171s\u00edthet\u0151en nem j\u00e1r kock\u00e1zattal a term\u00e9szetes szem\u00e9lyek jogaira \u00e9s szabads\u00e1gaira n\u00e9zve.<\/p>\n Megjegyz\u00e9st \u00e9rdemel tov\u00e1bb\u00e1 az is, hogy a kritpogr\u00e1fiai elj\u00e1r\u00e1sokkal, illetve k\u00f6vetelm\u00e9nyekkel, valamint a titkos\u00edt\u00e1si elj\u00e1r\u00e1sok megfelel\u0151 muk\u00f6d\u00e9s\u00e9hez sz\u00fcks\u00e9ges kulcsmenedzsment tev\u00e9kenys\u00e9gekkel kapcsolatban p\u00e9ld\u00e1ul az ISO\/IEC 27001:2013 szabv\u00e1ny is k\u00fcl\u00f6n szab\u00e1lyoz\u00e1si c\u00e9lokat fogalmaz meg (A mell\u00e9klet, 10.1, illetve 10.2 pontok).<\/p>\n Mit jelent a titkos\u00edt\u00e1s?<\/strong> A kulcshossz, illetve az algoritmus visszafejthet\u0151s\u00e9ge alapj\u00e1n elm\u00e9letileg \u00e9s gyakorlatilag felt\u00f6rhetetlen titkos\u00edt\u00e1si megold\u00e1sokat lehet megk\u00fcl\u00f6nb\u00f6ztetni. Gyakorlati szempontb\u00f3l az ut\u00f3bbi fogalom \u00e9rdemel figyelmet, amely azt jelenti, hogy az adott kor sz\u00e1m\u00edt\u00e1si kapacit\u00e1sa \u00e9s k\u00e9pess\u00e9ge mellett a titkos\u00edt\u00e1s visszafejt\u00e9se ar\u00e1nytalan nagy mennyis\u00e9g\u0171 id\u0151t vagy kapacit\u00e1st venne ig\u00e9nybe.<\/p>\n A titkos\u00edt\u00e1s r\u00e9szleteivel kapcsolatban nem sz\u00f3l a rendelet, ugyanakkor kifejti, hogy a szem\u00e9lyes adatok megfelel\u0151 szint\u0171 biztons\u00e1g\u00e1t garant\u00e1l\u00f3 int\u00e9zked\u00e9seknek figyelembe kell venni\u00fck a tudom\u00e1ny \u00e9s technol\u00f3gia \u00e1ll\u00e1s\u00e1t, valamint a v\u00e9grehajt\u00e1s kock\u00e1zatokkal \u00e9s a v\u00e9delmet ig\u00e9nyl\u0151 szem\u00e9lyes adatok jelleg\u00e9vel \u00f6sszef\u00fcgg\u0151 k\u00f6lts\u00e9geit. E rendelkez\u00e9sb\u0151l az a k\u00f6vetkeztet\u00e9s vonhat\u00f3 le, hogy megfelel\u0151 aj\u00e1nl\u00e1s hi\u00e1ny\u00e1ban a ma megfelel\u0151nek elfogadott kulcshossz\u00fa asszimetrikus \u00e9s szimetrikus titkos\u00edt\u00e1si megold\u00e1sok j\u00f6hetnek sz\u00f3ba. A korosabb, r\u00e9gebbi titkos\u00edt\u00f3 algoritmusok nem biztos\u00edtnak megfelelo szintu v\u00e9delmet, \u00edgy alkalmaz\u00e1suk nem felel meg a jogszab\u00e1lyi k\u00f6vetelm\u00e9nynek. A fenti k\u00f6vetelm\u00e9nynek megfelel\u0151en asszimetrikus algoritmusok eset\u00e9ben az 1024 (2048) bites, szimmetrikus algoritmusok eset\u00e9ben az 256 (512) bites kulcshosszok javasoltak. A titkos\u00edt\u00e1s alkalmaz\u00e1sa sor\u00e1n c\u00e9lszer\u0171 figyelemmel lenni ugyankkor a megold\u00e1s korl\u00e1taira is, valamint a be\u00e9p\u00edtett \u00e9s alap\u00e9rtelmezett adatv\u00e9delem k\u00f6vetelm\u00e9nyeire is.<\/p>\n Mit jelent a gyakorlatban, \u00e9s mit \u00e9r a titkos\u00edt\u00e1s?<\/strong><\/p>\n Data at rest – t\u00e1rolt adatok<\/strong> Eszk\u00f6z beszerz\u00e9sb\u00e9l c\u00e9lszer\u0171 arra is figyelemmel lenni, hogy a mai technol\u00f3gi\u00e1val megb\u00edzhat\u00f3nak tartott titkos\u00edt\u00e1si v\u00e9delmet hardveres t\u00e1mogat\u00e1ssal lehet el\u00e9rni, pl. TPM chippel (Trusted Platform Module) felszerelt v\u00e9gfelhaszn\u00e1l\u00f3i eszk\u00f6z\u00f6kkel, titkos\u00edt\u00e1st t\u00e1mogat\u00f3 storage megold\u00e1sokkal, vagy mobil eszk\u00f6z\u00f6k eset\u00e9ben a nagyobb gy\u00e1rt\u00f3k saj\u00e1t megold\u00e1saik.<\/p>\n Data in transit – tov\u00e1bb\u00edtott adatok<\/strong> A titkos\u00edt\u00e1ssal kapcsolatos h\u00e1tr\u00e1nyok<\/strong> A t\u00e9nyleges kontroll implement\u00e1l\u00e1sban term\u00e9szetesen az ISO\/IEC 27002 : 2013 szabv\u00e1ny ny\u00fajt angol nyelven \u00fatmutat\u00e1st (a kor\u00e1bbi magyar nyelvu szabv\u00e1nyt visszavont\u00e1k).<\/p>\n Nem szabad megfeledkezni ugyanakkor arr\u00f3l sem, hogy \u00f6nmag\u00e1ban az egyes titkos\u00edt\u00e1si megold\u00e1sok kiv\u00e1laszt\u00e1sa \u00e9s implement\u00e1l\u00e1sa nem el\u00e9gs\u00e9ges a GDPR \u00e1ltal el\u0151\u00edrt k\u00f6vetelm\u00e9nyek teljes\u00edt\u00e9s\u00e9hez. Az adatkezel\u0151knek \u00e9s adatfeldolgoz\u00f3knak a technikai int\u00e9zked\u00e9sek mellett a m\u00e1r bevezetett kontrollok rendszeres vizsg\u00e1lata, tesztel\u00e9se, valamint a szervezet s\u00e9r\u00fcl\u00e9kenys\u00e9geinek rendszeres felm\u00e9r\u00e9se \u00e9s jav\u00edt\u00e1sa is feladata.<\/p>\n \u00d6sszefoglalva<\/strong>, a GDPR nem \u00edrja el\u0151 k\u00f6telez\u0151 jelleggel a titkos\u00edt\u00e1s alkalmaz\u00e1s\u00e1t, ugyanakkor er\u0151teljesen t\u00e1mogatja \u00e9s kifejezetten eml\u00edti a jogszab\u00e1lyi sz\u00f6vegben. Annak \u00e9rdek\u00e9ben, hogy ez a technikai kontroll megfelel\u0151en muk\u00f6dj\u00f6n \u00e9s a k\u00edv\u00e1nt eredm\u00e9nyt el\u00e9rje, c\u00e9lszer\u0171 egy ir\u00e1ny\u00edt\u00e1si keretrendszeren bel\u00fcl bevezetni \u00e9s m\u0171k\u00f6dtetni a szervezeten bel\u00fcl.<\/p>\n","protected":false},"excerpt":{"rendered":" Az Eur\u00f3pai Uni\u00f3 \u00faj adatv\u00e9delmi rendelete, a GDPR (General Data Protection Regulation) a kor\u00e1bbi, hazai szab\u00e1lyoz\u00e1shoz k\u00e9pest \u00fajdons\u00e1gk\u00e9nt tartalmazza a titkos\u00edt\u00e1s alkalmaz\u00e1s\u00e1t a szem\u00e9lyes adatok v\u00e9delme \u00e9rdek\u00e9ben.<\/p>\n","protected":false},"author":1,"featured_media":0,"comment_status":"closed","ping_status":"open","sticky":true,"template":"","format":"standard","meta":[],"categories":[900,770],"tags":[884,882,880,886,874,876,890,878,872,888,870],"_links":{"self":[{"href":"https:\/\/www.dataprivacy.hu\/index.php?rest_route=\/wp\/v2\/posts\/1539"}],"collection":[{"href":"https:\/\/www.dataprivacy.hu\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.dataprivacy.hu\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.dataprivacy.hu\/index.php?rest_route=\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/www.dataprivacy.hu\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=1539"}],"version-history":[{"count":3,"href":"https:\/\/www.dataprivacy.hu\/index.php?rest_route=\/wp\/v2\/posts\/1539\/revisions"}],"predecessor-version":[{"id":1542,"href":"https:\/\/www.dataprivacy.hu\/index.php?rest_route=\/wp\/v2\/posts\/1539\/revisions\/1542"}],"wp:attachment":[{"href":"https:\/\/www.dataprivacy.hu\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=1539"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.dataprivacy.hu\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=1539"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.dataprivacy.hu\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=1539"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}
\nAz \u00faj adatv\u00e9delmi rendelet egyr\u00e9szrol a 6. cikkben, az adatkezel\u00e9s jogszer\u0171s\u00e9g\u00e9vel kapcsolatban \u00edrja el\u0151, hogy ha az adatgy\u0171jt\u00e9s c\u00e9lj\u00e1t\u00f3l elt\u00e9r\u0151 c\u00e9lb\u00f3l t\u00f6rt\u00e9n\u0151 adatkezel\u00e9s nem az \u00e9rintett hozz\u00e1j\u00e1rul\u00e1s\u00e1n vagy valamely olyan uni\u00f3s vagy tag\u00e1llami jogon alapul, egy\u00e9b felt\u00e9telek mellett az adatkezel\u0151 t\u00f6bbek k\u00f6z\u00f6tt figyelembe veszi a megfelel\u0151 garanci\u00e1k megl\u00e9t\u00e9t, ami jelenthet titkos\u00edt\u00e1st vagy \u00e1lneves\u00edt\u00e9st is.<\/p>\n
\nA titkos\u00edt\u00e1s, vagy m\u00e1s sz\u00f3val rejtjelez\u00e9s az emberis\u00e9g t\u00f6rt\u00e9net\u00e9ben m\u00e1r idejekor\u00e1n jelenl\u00e9v\u0151 megold\u00e1s a t\u00e1rolni, k\u00f6z\u00f6lni, vagy tov\u00e1bb\u00edtani k\u00edv\u00e1nt inform\u00e1ci\u00f3k v\u00e9delm\u00e9re. Korai alkalmaz\u00e1s\u00e1t term\u00e9szetesen a hadvisel\u00e9s tette sz\u00fcks\u00e9gess\u00e9. Mai kifejez\u00e9ssel \u00e9lve a titkos\u00edt\u00e1s olyan technikai int\u00e9zked\u00e9s, amely az adatok bizalmass\u00e1g\u00e1t hivatott biztos\u00edtani. A ma haszn\u00e1lt titkos\u00edt\u00f3 algoritmusokban k\u00f6z\u00f6s, hogy a titkos\u00edt\u00e1shoz, illetve a visszafejt\u00e9shez egy “kulcsnak” nevezett jelsorozatot haszn\u00e1lnak. Eszerint meg lehet k\u00fcl\u00f6nb\u00f6ztetni asszimetrikus (pl. elektronikus al\u00e1\u00edr\u00e1s eset\u00e9ben a priv\u00e1t \u00e9s nyilv\u00e1nos kulcsp\u00e1rok) \u00e9s szimetrikus titkos\u00edt\u00f3 algoritmusokat (pl. blokk titkos\u00edt\u00f3k, AES-256), aszerint, hogy milyen kulcsot haszn\u00e1lnak az adatok titkos\u00edt\u00e1s\u00e1hoz, illetve visszafejt\u00e9s\u00e9hez.<\/p>\n
\nA t\u00e1rolt adatok titkos\u00edt\u00e1sa t\u00f6bbf\u00e9le k\u00e9ppen lehets\u00e9ges. Egyik, elterjedt megold\u00e1s a v\u00e9gfelhaszn\u00e1l\u00f3i eszk\u00f6z\u00f6k\u00f6n, pl. mobil eszk\u00f6z\u00f6k\u00f6n, laptopokon, szem\u00e9lyi sz\u00e1m\u00edt\u00f3g\u00e9peken alkalmazott titkos\u00edt\u00e1si megold\u00e1sok. Jellemzoen ezen a megold\u00e1sok az egyes file-ok titkos\u00edt\u00e1s\u00e1t\u00f3l kezdve a teljes h\u00e1tt\u00e9rt\u00e1r titkos\u00edt\u00e1s\u00e1ig terjednek. Ugyanakkor a szem\u00e9lyes adatokat feldolgoz\u00f3 szervezeteknek gondoskodniuk kell a t\u00e9nyleges adatt\u00e1rol\u00e1st, illetve feldolgoz\u00e1st megval\u00f3s\u00edt\u00f3 adatb\u00e1zis \u00e9s storage szerverek megfelelo v\u00e9delm\u00e9rol. File szerverek, storage eszk\u00f6z\u00f6k v\u00e9delm\u00e9re szint\u00e9n a teljes, diszk szint\u0171 titkos\u00edt\u00e1si megold\u00e1sok a gyakoriak. Adatb\u00e1zisok eset\u00e9ben jellemz\u0151en a gy\u00e1rt\u00f3k a saj\u00e1t megold\u00e1saikat t\u00e1mogatva biztos\u00edtanak lehet\u0151s\u00e9get bejegyz\u00e9s (record) szint\u0171, vagy a teljes adatb\u00e1zist \u00e9rint\u0151 titkos\u00edt\u00e1si megold\u00e1sokkal.<\/p>\n
\nAz adattov\u00e1bb\u00edt\u00e1s sor\u00e1n haszn\u00e1lt titkos\u00edt\u00e1si megold\u00e1sok egyr\u00e9szr\u0151l a tov\u00e1bb\u00edtott adatok titkos\u00edt\u00e1s\u00e1t, m\u00e1sr\u00e9szr\u0151l az \u00e1tviteli csatorna titkos\u00edt\u00e1s\u00e1t is jelentik. A jelenleg legelterjedtebb megold\u00e1sok az ISO OSI modell k\u00fcl\u00f6nb\u00f6zo szintjein val\u00f3s\u00edtj\u00e1k meg az adatok titkos\u00edt\u00e1s\u00e1t. Interneten a legszembet\u0171n\u0151bb a standard HTTPS prtokoll haszn\u00e1lata, amely az \u00e1tviteli szint\u0171 TLS (Transport Layer Security) protokollra \u00e9p\u00fcl. Ma a TLS 1.2 verzi\u00f3ja sz\u00e1m\u00edt megfelel\u0151nek. \u00c1tviteli szint alatt, eszk\u00f6z\u00f6k vagy h\u00e1l\u00f3zatok k\u00f6zvetlen \u00f6sszek\u00f6t\u00e9se sor\u00e1n IPSec vagy ehhez hasonl\u00f3 megold\u00e1sokat alkalmaznak a gyakorlatban. Itt \u00e9rdemes sz\u00f3t ejteni az end-to-end titkos\u00edt\u00e1si megold\u00e1sokr\u00f3l, amelyek k\u00e9t v\u00e9gpont k\u00f6z\u00f6tti titkos\u00edtott adatforgalmat tesznek lehet\u0151v\u00e9 (pl. instant messaging alkalmaz\u00e1sok, VPN).<\/p>\n
\nA kontroll hat\u00e9kony muk\u00f6d\u00e9se egy j\u00f3l m\u0171k\u00f6d\u0151 titkos\u00edt\u00e1si politka implement\u00e1l\u00e1s\u00e1t k\u00edv\u00e1nja meg. Ebben seg\u00edthet a m\u00e1r hivatkozott ISO\/IEC 27001:2013 szabv\u00e1ny is, amelynek a 10.1 \u00e9s 10.2 pontjai az al\u00e1bbiakat \u00edrj\u00e1k el\u0151 a tan\u00fas\u00edtott Inform\u00e1ci\u00f3 Biztons\u00e1gi Ir\u00e1ny\u00edt\u00e1si Rendszert (IBIR) \u00fczemelteto szervezetek sz\u00e1m\u00e1ra:
\n– legyen elo\u00edr\u00e1s arra vonatkoz\u00f3an a szervezeten bel\u00fcl, amely a kriptogr\u00e1fia alkalmaz\u00e1s\u00e1val kapcsolatban meghat\u00e1rozza az alkalmaz\u00e1si k\u00f6vetelm\u00e9nyeket, illetve
\n– legyen elo\u00edr\u00e1s arra vonatkoz\u00f3an a szervezeten bel\u00fcl, amely a kriptogr\u00e1fiai kulcsok haszn\u00e1lat\u00e1val, v\u00e9delm\u00e9vel \u00e9s \u00e9letciklus\u00e1val kapcsolatos k\u00f6vetelm\u00e9nyeket tartalmazza.<\/p>\n