Nagy ügyvédi irodákat is sújtott már zsaroló trójaival elkövetett támadás. Az ügyvédi irodák rendszereiben tárolt információt azonban nem csak, sőt nem elsősorban az ilyen programok veszélyeztetik legsúlyosabban, hanem azok a támadások, melyeknek célja bizalmas információ megszerzése.
A Magyar Ügyvédi Kamara januárban részletes ajánlást adott ki Útmutató az ügyvédi információbiztonság javításához címmel, melyet dr. Homoki Péter, az uniós országok ügyvédi kamaráit tömörítő CCBE (Council of Bars and Law Societies of Europe) informatikai jogi szakosztályának elnöke készített. (Az ajánlás teljes szövege letölthető pdf-ben a Magyar Ügyvédi Kamara oldaláról.)
Az ajánlás oka, hogy az ügyvédeket és az ügyvédi irodák alkalmazottait törvény kötelezi a titoktartásra. Ez a kötelezettség kiterjed azokra a rendszergazdai szolgáltatást nyújtó cégekre is, melyek vállalják, hogy az információkat tartalmazó számítógépeket és okostelefonokat üzemeltetik.
Nincs univerzális megoldás, de van szükséges minimum
Homoki szerint az irodák eltérő méretei (pl. alkalmazottak száma és technikai felszereltsége miatt nem lehet általános szabályokat bevezetni. Míg egy nagyobb méretű irodánál jó alap lehet az ISO 27001 és 27002 szabvány alkalmazása a biztonságos működés kialakítására, ugyanez "teljességgel értelmetlen volna az ügyvédi praxisok nagy részét kitevő egyéni ügyvédeknél, ahol az alkalmazottak száma is minimális" – írja az ajánlás.
Ugyanakkor mérettől függetlenül olyan környezetet kell kialakítani, amelyben a törvényben is meghatározott követelményhármas biztosítható: az bizalmassága, sértetlensége és hozzáférhetősége.
Az ajánlás szerint van egy olyan minimum, amelyet minden ügyvédi irodának – mérettől függetlenül – be kellene tartania ahhoz, hogy a fenti követelményeknek megfeleljen. Ezek részben a biztonságos környezet kialakítását segítik, részben praktikus intézkedések, melyekkel minimalizálható – bár teljes mértékben nem zárható ki – az incidensek lehetősége.
A környezet kialakítását biztosítja az ún. vagyonleltár (iratok, ügyfélinformációk, szoftverek, hardverek stb.), az információk osztályozása például típusok és bizalmasság szempontjából, az eszközhasználat szabályozása (e-mail, mobil stb. használata), MDM (mobil devices management) kialakítása stb.
A keretek meghatározása fontos, hiszen az alapján lehet kialakítani a biztonságos munkavégzés napi gyakorlatát. Ugyanakkor bármilyen keretet fel lehet állítani, ha a gyakorlat nem követi le. A Kamar ajánlása ilyen gyakorlati tanácsokkal is szolgál.
A napi gyakorlat a legfontosabb
Mindenekelőtt minden operációs rendszerhez kell vírusvédelem. Ez alól még a közvélekedés szerint – tévesen – önmagában is biztonságos Mac OS X és a Linux sem kivétel.
Rendszeresen mentést kell készíteni az elektronikusan tárolt információkról. Ez különösen fontos, hiszen ez az ügyvédek legfőbb vagyontárgya. Érdemes leírni azt a folyamatot is, hogy esetleges adatvesztés esetén hogyan kell visszaállítani a mentésből az információkat.
Egyrészt védeni kell a belső hálózatot (pl. tűzfal), másrészt csak biztonságos hálózati hozzáféréssel szabad dolgozni. Ez igaz a távoli hozzáférésre (távmunka) és a mobil eszközök használatára (BYOD – Bring Your Own Device) is. Ez azért különösen érzékeny pont, mert az ügyvédeknek gyakran kell gyorsan hozzáférniük akár távolról és mobil eszközről is az iroda rendszerében tárolt dokumentumokhoz, információkhoz. Az elő is kell írni, hogy egy ügyvéd mindig és szigorúan csak titkosított csatornákon kommunikáljon.
Mindig minden felhasználónál meg kell határozni (identity management), hogy mihez férhet hozzá, hiszen másra van szüksége a rendszergazdának, a titkárnőnek és az ügyvédnek. Ám azt is ellenőrizni kell, hogy milyen információkhoz fért hozzá valójában (naplózás).
Az adatokat nem csak gyűjteni kell, hanem időnként selejtezni is. A Kamara ajánlása szerint az adattároló eszközökről – merevlemezekről, külső adattárolókról, USB-kulcsokról, telefonokról stb. – minden titkot és személyes adatot törölni kell a leselejtezés során. Ez az ajánlás azért problémás, mert az adatvédelmi előírásoknak megfelelő módon csak speciális szoftverekkel – például a Magyarországon elérhető Blancco eszközökkel – végezhető el, melyek az adatok többszörös felülírása után részletes jegyzőkönyvet is kiállítanak az eljárás eredményéről.
Homoki szerint az adatbiztonságnak, mert az adathordozók helytelen leselejtezéséből hasonló számú biztonsági incidens keletkezik, mint a hackertámadásokból. Az általa megfogalmaztott ajánlás egyébként nem csak a klasszikus adathordozók törlését javasolja, hanem például a nagyobb kapacitású irodai másolókban, szkennerekben találhatókat is, hiszen azok tartalmazhatnak érzékeny adatot.
A NIS2-megfelelőség néhány technológiai aspektusa
A legtöbb vállalatnál a megfeleléshez fejleszteni kell a védelmi rendszerek kulcselemeit is.
CIO KUTATÁS
TECHNOLÓGIÁK ÉS/VAGY KOMPETENCIÁK?
Az Ön véleményére is számítunk a Corvinus Egyetem Adatelemzés és Informatika Intézetével közös kutatásunkban »
Kérjük, segítse munkánkat egy 10-15 perces kérdőív megválaszolásával!
Nyílt forráskód: valóban ingyenes, de használatának szigorú szabályai vannak