2018. május 25-én lép életbe az Európai Unió egységes adatvédelmi rendelete (General Data Protection Regulation, GDPR). A GDPR rövidítéssel ismertté vált szabályozás számos feladatot ró a telekommunikációs szolgáltatókra, a T-Systems Magyarország Zrt.-nél értelemszerűen az átlagosnál is nagyobb előkészítési munkálatokkal kellett számolni.
A cégnek hatalmas mennyiségű diszkrét adattömeg védelméről kell garantáltan gondoskodni, mivel a vezetékeken és az éterben történő kommunikáció során (telefon, fax, mobiltelefon, SMS, e-mail stb.) gigantikus mennyiségű adat és információ keletkezik. Kaszás Zoltán vezérigazgatóval a már megvalósult adatvédelmi fejlesztéseket és a tervezett projekteket tekintettük át.
– Az új európai adatvédelmi törvény végrehajtásához kapcsolódóan milyen beruházások, fejlesztések történtek a T-Systems-nél az elmúlt években?
– Már a most tapasztalható erős GDPR-megfelelési trend előtt évekkel megkezdtük azokat a belső információvédelmi fejlesztéseket, amelyek csökkentik a működési kockázatainkat. Ezt saját jól felfogott érdekünkben azért tettük, hogy egy stabil, biztos hátországot tudhassunk magunk mögött, védve a saját és ügyfeleink által ránk bízott adatokat.
– Hogyan valósult meg ez a gyakorlatban?
– Ma már az alapinfrastruktúrák természetes részei például az antivírusrendszerek, a tűzfalak, a spam filterek vagy a jogosultságkezelő rendszerek – ezek az elődcégeknél is évtizedek óta működő kontrollok voltak. Erre építettünk rá újabb védelmi rétegeket, úgymint az auditadatok központi gyűjtését és kiértékelését támogató log-elemző rendszert, az IPS-t és a határvédelmünket megerősítő Web és Mail proxy, Network Access Control, illetve Honeypot megoldásokat.
– Csak a külső alkalmazások gyenge vagy támadható pontjait vizsgálták?
– A klasszikus hálózatbiztonsági megközelítésen túl a belső alkalmazásaink sérülékenységeit is alaposan kielemeztük, majd kijavítottuk a feltárt hiányosságokat. Fontosnak tartom megjegyezni, hogy ezek nem egyszeri akciók voltak. Évek óta rendszeres belső és külső auditok keretében vizsgáljuk alkalmazásaink sérülékenységeit, és amilyen gyorsan lehet, orvosoljuk a feltárt hibákat. Míg korábban egy-egy alkalmazásunk vizsgálatára évente csak egyszer került sor, addig mára ez az intervallum egyetlen hónapra csökkent. A gyakoribb vizsgálatok sajátos következményeként viszont azzal kellett szembesülnünk, hogy újra és újra ugyanazokkal a korábban már feltárt sérülékenységekkel is szembetaláljuk magunkat, aminek az az oka, hogy a szoftvergyártók nem jönnek ki elég gyorsan az alaposan letesztelt javításokkal vagy új verziókkal.
– Üzleti szoftverek esetében ez valóban váratlan probléma. Milyen megoldást találtak?
– Úgy határoztunk, hogy egy plusz védelmi réteget húzunk fel az alkalmazásaink elé a Web Application Firewall technológiával, amivel gyorsan el tudjuk rejteni a sérülékenységeket a támadók elől, így az átlagos „védtelenségi időt” nagyságrendekkel lecsökkenthetjük. Ez a probléma megoldásának a technológia része, de a folyamatainkon is változtatni kellett annak érdekében, hogy egy magasabb biztonsági szintre léphessünk. Ezt úgy valósítottuk meg, hogy a belső IT-folyamatainkba kötelező biztonsági kontrollpontokat is beépítettünk. Az adatbiztonság alapelvei közé tartozik, hogy a biztonsági ellenőrzések és javítások kihagyhatatlanok az igény felmerülésétől kezdve a tervezésen keresztül egészen a tesztelésekig. Ezen ellenőrzések hatékonyságát és mélységét a legmodernebb tesztelő, sérülékenységelemző és etikushacker-eszközökkel támogatjuk. Ezen a területen hatalmasat fejlődtünk az elmúlt két évben.
– Milyen külső vagy belső minősítési vizsgálatokon kell megfelelni?
– A T-Systemsnek összesen hét, nemzetközi tanúsítvánnyal is rendelkező irányítási rendszere van, ezek közül a nagy auditor cégek által végzett ISO 27001, ISO 20000, NATO AQAP auditokon ellenőrzik a rendszereink megfelelőségét. A sok nagy ügyfélnek köszönhetően azonban szinte állandóan zajlik nálunk valamilyen audit, amelyek során az általuk megbízott auditor cégek közvetlenül vizsgálják a biztonsági szintünket. Ezenkívül minden második munkanapra esik egy biztonsági belső audit, amelyek során a saját eszközeinket, folyamatainkat és nem utolsósorban a kollégák biztonságtudatosságát ellenőrizzük. És ezzel elérkeztünk a legfontosabb sikertényezőhöz, az emberhez…
– Sok cégnél éppen az emberi erőforrást tartják a kritikus tényezőnek, éppen ezért a legkönnyebben lecserélhetőnek…
– Nálunk ez nem így van, sőt nagyon nem így van. Meggyőződésem, hogy a T-Systems legnagyobb értéke a munkatársak szaktudása, együttműködése és lojalitása. Ez persze azt is jelenti, hogy a legnagyobb kockázataink is a humán faktorból származnak. A cégvezetés támogatja a kollégák innovatív gondolkodásmódját, kreativitását és kezdeményezőkészségét, éppen ezért nem merev szabályokat alkalmazunk, hanem bízunk munkatársaink biztonságtudatosságában és folyamatosan fejlesztjük is azt. A szokásos képzéseken túl konkrét szituációkban is mérjük és fejlesztjük a kollégák tudatosságát – például a biztonsági csapatunk által indított „áladathalász” e-mailekkel. E mögött is egy biztonsági beruházás áll, egy olyan phishing szoftvert illesztettünk a rendszerbe, amellyel nemcsak elküldeni tudjuk az adathalász leveleket, hanem azt is pontosan visszamérhetjük, hogy ki milyen szinten volt biztonságtudatos. És gyorsan rövidre is zárjuk a kört: az érintett munkatárs azonnal a bemért szintnek megfelelő és személyre szabott e-learning oktatást kaphat.
– Eddig csak a logikai vagy szoftveres adatvédelemről esett szó. De milyen védelmet kapnak a hardverek?
– Bár nem friss beruházás, de nem szabad megfeledkeznünk a fizikai biztonságról sem. A T-Systems Adatközpont nem csak ügyfeleinknek nyújt biztonságos szerverelhelyezést, természetesen mi magunk is itt üzemeltetjük belső infrastruktúránk jelentős részét. Ha már az ügyfelek biztonságáról beszélünk, el kell mondani, hogy kidolgozás alatt van egy olyan üzleti modell, egy olyan módszertan, amelyben az ügyfelek eredeti igényeit maximálisan figyelembe véve – sőt azokat esetenként kiegészítve – olyan termékeket és szolgáltatásokat adunk az ügyfeleknek, amelyek biztonsági szintje megfelel a kockázat mértékének. Ebben kezdeményezőként kívánunk fellépni, tehát akkor is biztosítani akarjuk a kezünkből kiadott termék biztonságát, ha az eredetileg nem volt az ügyfél kimondott igénye. Röviden összefoglalva: azokat az eredményeket, amelyeket házon belül megvalósítottunk, át akarjuk adni ügyfeleinknek a ránk bízott projekteken keresztül.
– Mely hatóságok milyen meghatalmazással jogosultak a tárolt adatok, illetve a rögzített beszélgetések kikérésére?
– Ebben a kérdésben nagyon egyértelmű feladataink és felelősségeink vannak a Magyar Telekommal közösen, ehhez az elektronikus hírközlésről szóló törvény ad számunkra útmutatót. Természetesen vannak hatósági megkeresések, és mi a törvényesség maximális betartásával, jól definiált folyamatok és felelősségek mellett gyorsan megadjuk a rendelkezésünkre álló információkat. Nagyon fontosnak tartom leszögezni, hogy sem a Magyar Telekom, sem a T-Systems nem rögzít telefonbeszélgetéseket, arra a Nemzetbiztonsági Szakszolgálatnak van kizárólagos törvényi felhatalmazása.
