A vállalatoknál folyó adatkezelések során még mindig nagyon kevés figyelmet kapnak az üzleti környezetben is széles körben használt pendrive-ok, pedig ha a vállalkozások el akarják kerülni a GDPR-rendelet be nem tartása miatt jövő májustól kilátásba helyezett euromilliós büntetéseket, érdemes ezeknek az eszközöknek a használatára is odafigyelni – hangzott el azon a sajtótájékoztatón, amelyen a Kingston Technology és a PWC Magyarország számolt be a téma kapcsán végzett európai és hazai felmérésről.

Nem mindegy, hogy adatvédelmi, vagy biztonsági incidensbe keveredünk

Ez mindenekelőtt arra a következtetésre jut, hogy a vállalkozások közel kétharmada nem törödik vele, hogy titkosítva vannak-e a céges pendrive-okon lévő adatok. A hazai vállalatok 34 százaléka, illetve az Európa más tájain működő cégek fele nem is tervez ezen a gyakorlaton változtatni. Nálunk a társaságoknak csupán a 11 százalékánál természetes a fokozottan védett USB-kulcsok használata.

A General Data Protection Regulation – GDPR sok területen támaszt új követelményeket a vállalatokkal szemben. Az egyik legfontosabb, hogy az adatvédelmi incidenseket 72 órán belül jelenteniük kell. Sokan nem tudják, hogy ebbe a kategóriába sorolható, ha valamelyik alkalmazott olyan nem titkosított pendrive-ot veszít el, ami személyes adatokat tartalmaz.

Ha az USB-meghajtó titkosított, az elvesztése biztonsági incidensnek minősül, és ebben az esetben nem kötelező a bejelentés.  
Nálunk az alkalmazottak 84, európai szinten a 92 százaléka használ pendrive-ot, ráadásul nagy részük válogatás nélkül tárol személyes és bizalmas üzleti adatokat is.

Könnyű ellopni, vagy elveszíteni a pendrive-ot

A magyar vállalatok 36 százalékánál az európai cégek esetében pedig a 44 százalékuknál fordult már elő, hogy a pendrive-okat vagy ellopták, vagy simán elvesztek valahol. A lopás egyelőre a kisebb arány, nálunk 5, európai átlagban 11 százalék. Megállapítható, hogy az USB-s adatbiztonság területén még szinte egyáltalán nincsenek felkészülve a vállalkozások a GDPR  jövő májustól élő szigorúbb alkalmazására.  

Bár a GDPR hivatalosan közel másfél éve érvényben van már, a hazai cégek igencsak megkésve reagálnak rá. A PwC Magyarország 2017 nyári GDPR konferenciája után felmérést végzett a résztvevők és ügyfelei között, ebből többek között az derült ki, hogy szeptemberig csupán a cégek negyede tartott a megvalósításnál, a vállalatok fele ugyanakkor semmilyen érdemi lépést nem tett még – hangsúlyozta Gyimesi Csaba, a PwC kiberbiztonsági szolgáltatásokért felelős vezető menedzsere.

A legnagyobb probléma, hogy a többség egyszerű jogi problémaként kezeli a kérdést. Az ügy érdekében valamit már tenni próbálók 40 százalékában éppen ezért a jogi osztály vezeti a megfelelési projekteket, és csak fele ennyinél irányító egy dedikált projektszervezet.

Fokozott biztonsági kockázat a saját eszközök irodai használata

A szakember arra is felhívta a figyelmet, hogy megfelelő IT-biztonsági kontrollok nélkül nem lehet megfelelni az elvárásoknak. A megfelelő technológia használata mellett a tudatos felkészítés is elengedhetetlen, sok hazai cégnél még igencsak hiányosak az ezzel kapcsolatos ismeretek. Nem árt, ha a vállalatok biztonsági házirendeket is bevezetnek általában a mobil adathordozók használatával kapcsolatban.

A tipikus biztonsági hibák közé sorolta például a kockázatelemzés hiányát, illetve azt az elterjedt gyakorlatot, ami biztonságos központi IT-rendszereket alkalmaz, de közben szigorúbb előírások nélkül engedi a saját eszközök munkahelyi használatát.