A biztonság kultúrája

Kicsit nehéz helyzetben érzem magam, mert annak idején, amikor a GDPR-nak először híre ment, vagyis életbe lépett 2016-ban a két éves türelmi időszak, ami most, május 25-én fog lejárni, szóval én már akkor rápörögtem a témára. Rápörögtem: értsd: megnéztem mi ez, összenéztem az éppen aktuális adatvédelmi szabályzatunkkal, amit nemcsak az ügyfelekkel, de a munkatársakkal is elfogadtattunk már akkor – és azóta is –, és megnyugodtam, hogy oké, rendben vagyunk, pipa. El is felejtettem az egészet. 

Most, 2018 év elejétől én is láttam, hogy eszméletlen pörgés van valami GDPR téma körül, mindenféle konferenciákkal, halálra ijesztgetéssel, és valahogy nem voltam hajlandó felvenni a búgócsiga üzemmódot, és igazság szerint nem is értettem, hogy mi ez a nagy pánik. Aztán rájöttem, hogy ez a GDPR ugyanaz, mint amit már két éve néztem. Nem számítok nyeretlen kétévesnek az IT biztonságról szóló kommunikációs platformokon, de meglepett, hogy az, amit anno elintéztem egy olvasással, meg egy összeegyeztetéssel, az ekkora vihart kavar szerte a világban. Nyilván nekem is volt még plusz feladatom ezzel, de hogy a csapból is ez folyjon, az meglepő volt számomra.

Kevesen emlékeznek rá, de annak idején, Magyarországon volt egy olyan rendelet, hogy mindenkitől, aki a neten megadja az elérhetőségét, egyidejűleg a lakcímét is el kell kérni. Kivéve, ha cégként iratkozik fel. Évszámokkal mindig gondban vagyok, de ha jól emlékszem, ezt 2008-ban kihirdették, és valamikor 2009 tavaszán lépett hatályba. Ez a rendelet is adatvédelmet hivatott szolgálni, olyan módon, hogy még kiszolgáltatottabbá tette a felhasználókat. Kell-e mondanom, hogy mint az adatvédelem élharcosa, a rendelet kihirdetéskor bevezettem ezt a baromságot a feliratkozásoknál, hogy elkértem a lakcímet is? Kell-e mondanom, hogy egyedül voltam a neten ennyire hülye? Kell-e mondanom, hogy rajtam kívül mindenki a kivárásra bazírozott és nekik lett végül igazuk? (Ahogy hatályba lépett a törvény, kb. 10 nap múlva törölték.)

Annak idején megtanultam, hogy elmeroggyant intézkedésekkel ki kell várni. Persze, ettől függetlenül azonnal csekkoltam ezt a GDPR-os izét, de nem tűnt ki belőle SZÁMOMRA, illetve a vállalkozásomra vonatkozóan semmi rendkívüli.

De most, a napokban leesett, hogy jaaaa, hogy van olyan weboldal, ahol még adatvédelmi szabályzat sincs?

Ja, hogy olyan is van, ahol még az EU cookie üzenetet sem alkalmazzák a látogatók felé? (Ami egy 6 éves történet.) Javagyúgy!

Na, hát akkor nyilván én is pánikolnék, ha most kellene a fejemben összerakni a tudományt ehhez, a nulláról, meg a jogászok ellentmondásos nyilatkozataiból. Biztosan én is pánikolnék, ha nem lenne mögöttem az elmúlt, immáron 11 év, és ha nem figyeltem volna oda eddig is az adatvédelmi alapvetésekre.

Annak idején nem jogászoktól lehetett megtanulni az adatvédelem és az adatbiztonság tudományát, hanem informatikusok-etikus hackerek-programozók-webmesterek-technikusok közösségében kupálódott ki mindenki, aki akart. Emlékszem, voltak viták is, mert voltak olyan informatikusok, akik azzal hencegtek, hogy még vírusirtójuk sincs, hahaha! Izgalmas és szép időszak volt, mindig nosztalgiával gondolok erre vissza (nyomai láthatóak még a viruskommando.hu blogon).

Annak idején érzékelhető volt, hogy ha lassan is, sőt, kínkeserves lassúsággal, de valamiféle kultúra kezd formálódni az IT biztonság terén az otthoni felhasználóknál is. Cégekkel ilyen ügyben ritkán dolgoztam, de ott is minden az embereken múlik.

Most meg itt van a nyakunkon a GDPR rendelet, így aztán igazából teljesen jogosnak tartom, ha a laikusok igyekeznek jogászoktól beszerezni a szükséges tudományt a május 25-e utáni létezéshez – mivel jogi terminus technicus-t kell értelmezni.

De ez óriási probléma a jövőnkre nézve.

Mert nem a jogászoknak kellene az adatvédelemmel és cyber biztonságossággal kapcsolatban megszólalniuk a sajtóban, hanem IT szakembereknek!

Borzasztóan halk szólamok szólnak csak arról, hogy az összes felhasználó internetezési kultúráján kellene hatalmasat fejleszteni, és hogy a cégeknél dolgozó munkavállalók jelentik a legnagyobb kockázatot az adatbiztonságra nézve, az eszközök – a szoftverek is eszközök – csak utánuk következnek. Ahol ember van, ott hiba is lesz. És bármennyire is terjed a mesterséges intelligencia, szerencsére ott még nem tartunk – és ne is tartsunk -, hogy automatizmusok gondoskodjanak a mi biztonságunkról.

A sok jogászbába között ma elvész a gyerek.

Ezek után cseppet sem jó hír, hogy a jogászok után a webmesterek következnek a szakértői ranglistán manapság, akik elárulják és megoldják, hogy hogyan lehet kikerülni a GDPR méregfogait mindenféle kódokkal, adatbázisokkal, táblákkal, bepipálandó checkboxokkal. Számomra 2018 szitokszava a checkbox lett…

A lényeg meg lényegtelen

Mindezek mellett teljesen elsikkad a lényeg: mindenkinek baromira oda kellene figyelnie a saját adataira, a saját magáról közölt információkra.

Az egy téves megközelítése a témának, hogy „hát, az nehéz, meg lehetetlen is”. Merthogy nem az. Nem egyszerű feladat, és SOK feladat is, de ha ez nem célunk, akkor megette a fene az egész GDPR-t, mert a jogászok átvágják majd a jogi gordiuszi-csomókat, és megint ott leszünk, ahol a part szakad.

8 éves gyerekek képesek felfogni, hogy:

  • Egyszerűen nem oszthatsz meg magadról akármit, mert amit a neten megosztasz, az az információ milliók kezébe kerülhet.
  • Nem kell mindenhova beregisztrálni, és belépve maradni, csak mert az baromira kényelmes.
  • Kell vírusirtó és tűzfal a gépedre, mert anélkül 5 perc alatt full vírusos lesz az egész gép (telefon is).
  • Nem kell minden fotót feltölteni ész nélkül.
  • Nem kell engedélyezni a helymeghatározást, és őrült módjára minden GPS koordinátát detektálni, ahol jártál.
  • Nem kell olyan szoftvereket és alkalmazásokat használni, amik ugyan látszólag kényelmet nyújtanak, de közben minden adatodhoz kényelmesen hozzáférnek. Mi a francnak olyan alkalmazás, amit sosem használsz? Töröld le!
  • Nem kell közösségi csoportokban arról beszélgetni, hogy milyen betegségekkel küzdesz éppen, és mit mondott az orvos, mikor mész kontrollra.
  • Nem kell a hitedről és a pártpolitikai meggyőződésesről ékesszólóan posztolni éjjel-nappal.

8 évesek – de még akár a fiatalabb gyerekek is – tudhatják már, hogy jobb, ha csendben és láthatatlanok maradnak a neten. Értem én, hogy a celebek pucsítós-csücsörítős szelfijei azt üzenik, hogy akkor vagy menő, ha ilyeneket közölsz magadról, de a világ értelmesebbjei tudják, hogy ezen esetekben inkább lúzer vagy, mint menő.

Nincs a biztonságnak kultúrája, és a GDPR kapcsán sem kapta fel senki a fejét arra, hogy jé, most majd jó alkalom lesz terjeszteni erről az igét, hanem az történik, hogy jogászkodással akarjuk letudni a munkát.

Hát ez nem fog menni.

Többet ér a jó szemlélet, mint bármilyen méregdrágán elkészített szabályzat, amit aztán senki nem tart be a cégnél!

Persze, értem én azt is, hogy senki nem akar a nyakába millió-eurós büntetéseket, és az egészben az a legsiralmasabb, hogy szerintem hetekig sakkoztak a GDPR megalkotói, hogy mekkora büntetési tételről kezdjenek értekezni a rendeletben, mi az az összeg, ami egész Európában átviszi a betonfalat az emberek, cégek, szakemberek, és persze jogászok fejében.

Zseniális találmány a 20 millió eurós büntetés belengetése, mert ez minden rálegyintést elsöpör, de jó lenne, ha a 170 oldalas rendeletből nemcsak ettől rettegnének a kedves cégvezetők, vállalkozók és webshop tulajdonosok.

Mert ez siralmas képet fest a magyar viszonyokról!

Van szerencsém belelátni abba, hogy mi zajlik a GDPR kapcsán külföldön, értelmesebb megközelítéskben

Mondok példákat:

– IT biztonságtechnikai témájú, rendszeres képzések bevezetése a cégeknél – ott is, ahol papíralapon dolgoznak.

– IT biztonságtechnikai célú motivációs rendszerek kidolgozása – hogy valóban megvalósuljanak az ezzel kapcsolatos célok.

– Biztonság alapú javadalmazás, illetve jutalmazás – zseniális… majd a pénztárcád emlékeztet arra, hogy oda kell figyelned, hogy titkos másolatba rakod a címzetteket, vagy láthatják-e egymást…

– A biztonság kultúrájának terjesztése az egyik legfőbb feladattá válik a középvezetői szinttől felfelé – nem alulról várják a megoldást (ami mitől is történne meg???), meg kívülről, hanem ez egy stratégiai fontosságú részterületté válik.

– Mindezek bevezetése és kipróbálása UTÁN dolgozzák ki a saját szabályzataikat. Nem külsős jogászokra bízzák a munka oroszlánrészét, hanem előbb elkezdik megvalósítani, és közben megalkotják az eljárásokat.

Magyarországon fordítva van:

a jogászok dolgoznak, mint a gép, de a szabályokat senki nem fogja betartani, mert senki nem is akarja betartani.

Sikerült a GDPR-nak úgy átkerülnie a köztudatba Magyarországon, mint borzalmas csapásnak, holott ez egy jó alkalom arra, hogy végre valóban felnőjünk az internetezés kihívásaihoz, és végre büszkén elmondhassuk magunkról: alkalmasak vagyunk erre a feladatra, és ezt át tudjuk adni a védtelenebb, de sok esetben sokkal felkészültebb gyerekeinknek is, vagy a nálunk kezdőbb felhasználóknak.

Szóljatok, ha ideje, hogy bilibe lógjon a kezem…

2 Hozzászólás

  1. álomarcú gyíkok helyett Csillóciusz

    Helló Rita! 🙂
    Ez a GDPR olyan, mint halottnak a csók. Nem támasztja fel, hacsak nem Csipkejózsika… és az, hogy mindent védenek 100 lakattal nem nagyobb kihívás egy hackernek? Az, hogy adok-veszek csoportokban TILOS hirdetni melót, csak egy haldoklási jelensége a Facebooknak. Persze onnan rengeteget lehetett „halászni” kényelmesen azoknak, akik akartak. De Rita… akiknek van „szerkójuk” és adatokra vadásznak, ugye nem gondolod, hogy most leállnak… Meg aztán mire ez a hatalmas védekezési mechanizmus? A választási csalásokkal kapcsolatban nemrég nyilatkozott egy informatikus az adatvisszafejtésről. Akkor meg? nevetséges élhetetlen szabályozás, amióta Marcsa néni kivitte a kosarában a tojást meg zöldséget frissen eladni, azóta nem fejlődött, hanem visszafejlődött az emberiség. Semmi szükség ennyi borzalmas élhetetlen szabályra meg papírra! A probléma megoldása az, hogy élni kellene hagyni mindenkit, és akkor jesszusom! NEM LENNE LOPÁS, CSALÁS, MERT LENNE KENYÉRRE ÉLELEMRE RUHÁRA ÉS MINDENRE.
    Egyszerű az élet, csak a gyíkok bonyolítják, akik mint tudjuk alakváltók. Vedd észre… és őket pedig egy nagy hatalmas áramszünet globálisan elűzi innen. De ehhez okos hackerek kellenek és nem alamuszi adatgyűjtők…

    • Persze, a GDPR egyáltalán nem arra van, amire gondolnánk, hanem piacépítésre EU-n belül 😉
      Én tutira nem így csináltam volna, ha az lett volna a célom, hogy az emberek tényleg biztonságban tudhassák az adataikat, de nem kérdeztek 😀

Hozzászólások lezárva