fbpx

INGYENES ESZKÖZ A FÁJLRENDSZERT ÉRINTŐ SÉRÜLÉKENYSÉGEK FELISMERÉSÉHEZ

A Google hétfőn bejelentette, hogy elérhetővé tesz egy nyílt forrású eszközt a fejlesztők számára, ami megkönnyíti a fájl hozzáférési sérülékenységek felismerését. Az eszköz neve PathAuditor, amit a tech óriás már évek óta használ, most pedig úgy döntött, közzé is teszi, bízván abban, hogy a közösség is hozzájárul majd a fejlesztéshez. A PathAuditor képes észlelni az olyan potenciális sérülékenységeket a fájlrendszerrel összefüggésben, amelyek symlinkek segítségével jogosultság emeléshez vezethetnek. A program forráskódja elérhető a GitHubon.

Forrás

Adatvédelmi változásokat eszközölt a Twitter

Adatvédelmi információs portállal újított a Twitter, amelyen összefoglalja törekvéseit. Ezzel együtt viszont egy érdekes változást is bejelentett a jövőbeli tesztelésekkel kapcsolatban, hogy elkerülje az adatvédelmi bírságokat a kísérletezésből adódó hibák miatt.

Egy oldalra gyűjtötte adatvédelmi törekvéseit a Twitter, hogy ezzel is bizonyítsa fejlesztéseit a GDPR, a Global DPA (Data Processing Addendum) és a CCPA (California Consumer Privacy Act) kapcsán. Utóbbi törvény az amerikai felhasználóknak biztosítja az átláthatóságot a személyes adataik kezeléséről, és hogy megakadályozhatják adataik eladását harmadik félnek. A Twitter Privacy Center mostantól összefoglalja a vállalat adatvédelemmel kapcsolatban álló szabályozásait és beállítási lehetőségeit mindhárom szabályozással összefüggésben.

Ezzel egyidőben a Twitter az Adatvédelmi irányelveinek és felhasználási feltételeinek változását is bejelentette, melynek értelmében 2020. január 1-től az Európai unión, az Európai Gazdasági Térségen és az Egyesült Államokon kívül a felhasználóinak a szolgáltatást a dublini székhelyű Twitter International Company helyett a San Francisco-i Twitter Inc. fogja biztosítani. Döntését a cég a tesztelésekkel indokolja, az európai uniós és amerikai szabályozások ugyanis “nem elég rugalmasak” – fogalmaz a bejelentés.

Úgyhogy a vállalat a jövőben a Twitter Inc. keretein belül szeretné kipróbálni a különböző hirdetési megoldásokat, adatgyűjtési beállításokat, utasításokat és egyéb követelményeket. Azonban a bejegyzés hozzáteszi, hogy a letesztelt újdonságokat reményei szerint már globálisan is ki tudja majd terjeszteni.

Továbbá a felhasználási feltételekben a vállalat egyértelműsíti, hogy a szolgáltatásban közzétett Twitter üzeneteket “használhatja”. Azaz a cég szerkesztheti, átalakítja és lefordíthatja a tartalmakat a szabályzatban elfogadott szellemi tulajdonjogi engedély értelmében.

Eső után köpönyeg

A bejelentés részben az októberben napvilágot látott adatvédelmi fiaskóra reagál, mikor kiderült, hogy “véletlenül” biztonsági célra megadott személyes felhasználói adatokat használt a vállalat hirdetések targetálására. Az email címeket a Tailored Audiences szolgáltatásban vetette be a cég, amelyben a hirdetők saját marketing osztálya által összeállított listák alapján célozhatják meg reklámokkal a felhasználókat. Továbbá a Partner Audiences megoldásban, amely pedig harmadik felektől származó adatbázisokra támaszkodik. Mikor egy hirdető feltöltötte saját marketinglistáját a cég rendszerébe, az például a kétfaktoros azonosításhoz megadott telefonszámokat és email címeket is összevetette a listákkal a hirdetések pontosabb kiszolgálásához.

Read More

Adatvédelmi képzések: 2020 január 16 – készítsük el közösen az önkormányzat teljes adatvédelmlét!

Gyakorlati szakemberek kétszintű képzésére jelentkezhetnek azok, akik egy intézménynél, önkormányzatnál, cégnél, szervezetnél adatvédelmi feladatokat végeznek- vagy akik szeretnének ezzel foglalkozni.
Az első szinten adatvédelmi felelős, a második-ráépülő szinten adatvédelmi tisztviselő munkára történik a felkészítés.
A záróvizsgára a hallgató képes elkészíteni saját szervezete, cége, önkormányzata teljes adatvédelmi megfelelőségét, dokumentálását és ezeket a munkatársai számára le tudja oktatni. Ez a komplex anyag a záróvizsga alapja, melyet a bizottság előtt meg kell védeni.

Az Adatvédelmi Szövetség és a Budapesti Műszaki Egyetem Mérnöktovábbképző Intézete olyan képzést indít, mely igen nagy elszántságot igényel, de elvégzésével a megfelelő kompetenciák birtokában képes helytállni az adatvédelem nehéz pályáján.
A képzés részben távoktatásos rendszerben működik a vidékiek utazásai miatt.

A két képzés összesen 200 óra, a sikeres első szint után lehet a második szintet elkezdeni.

A képzés neves oktatókkal, kiváló gyakorlati szakemberekkel történik.
Nagyon komoly kihívás, hisz több mint másfél hónap tömény tanulás és számonkérés alapján léphet tovább a második képzésre a hallgató. Read More

Bárki hozzáférhet személyes adatainkhoz

Magyarországon még mindig sok olyan papír kerül a szemétbe megsemmisítés nélkül, amely érzékeny adatot tartalmaz. Bár az uniós adatvédelmi rendeletet (GDPR) lassan másfél éve vezették be, sok cég – különösen a kisebb vállalkozások – iratkezelése mutat súlyos hiányosságokat – közölte a papíralapú adatvédelemmel foglalkozó, Fellowes nevű cég.

Egy fővárosi szeméttelepen végzett kutatással mérték fel, hogy a magánszemélyek és a cégek mennyire bánnak elővigyázatosan az adatokkal, mennyire figyelnek oda a biztonságos megsemmisítésre, és változott-e bármi is az uniós adatvédelmi rendelet bevezetése óta. A kutatás során 200 kilogramm szelektíven gyűjtött papírhulladékot néztek át, amelyből 30,8 kilogramm tartalmazott érzékeny adatokat. 2015-ben 37 kilogrammnyi papíron találtak személyes adatokat, tehát az elmúlt 4 évben nem történt lényeges változás az adatkezelési szokásokban az adatok biztonságos megsemmisítését illetően.

Nem vigyázunk eléggé az adatainkra

A legnagyobb probléma a családi vállalkozásoknál van. Ebben az esetben ugyanis gyakran együtt kezelik a magán és a céges iratokat. A közlemény szerint a 30,8 kilogramm, érzékeny adatokat tartalmazó iratok között leginkább kitöltött szerződések, együttműködési megállapodások, éves beszámolók, személyes okmányok, céges pályázatok és adópapírok voltak.

De még a nagyobb vállalatok is gyakran követnek el hibákat: a kidobott iratok között szerepeltek például tervrajzok is, benne a biztonsági berendezésekről és a tartószerkezetről szóló jegyzetekkel.

Azonban a magánszemélyek is meglehetősen hanyagul bánnak dokumentumaikkal. Gyakran kerül ugyanis a papírhulladék közé orvosi lelet, gyógyszerrecept és szövettani eredmény is, ezeken pedig sokszor a beteg összes személyes adata – név, születési idő, TAJ-szám – szerepel. Pedig jobb lenne, ha erre nagyobb figyelmet fordítanánk, mert a megsemmisítés nélkül kidobott dokumentumok óriási kárt okozhatnak. A papírokon szereplő adatokkal ugyanis könnyen visszaélhetnek.

Forrás

Helyszíni adatvédelmi képzés önkormányzatoknál

2020 januárjában indul a következő országjáró előadás-sorozat.

A Nemzeti Adatvédelmi Szövetség (NADAT) a vidéki önkormányzatok részére
a jelentkező önkormányzatnál adatvédelmi képzést tart, melyben az önkormányzati dolgozók megismerhetik az adatvédelem legfontosabb elemeit és saját felelősségüket. Foglalható az alábbi táblázat alapján, ahol sárgával jelöltek a már lefoglalt időpontok.

Amit kérünk:• A képzés ingyenes, útiköltségtérítés 20 000,- Ft az egész ország területén
• Az önkormányzat értesítse a környező vagy közös önkormányzatokat az előadásról
• Kérjük a helyi vállalkozásokat is informálja az előadásról, hívja őket mivel nekik is kötelező.
• Számunkra kiemelten fontos, hogy a jegyző és a polgármester is részt vegyen, hisz ők döntenek.

A konfliktusok sora az ügyintéző kolléga és a lakossági ügyfél között történik, miközben az ügyintézők a legkevésbé felkészültek az adatvédelmi eljárások terén.

Az adatvédelem kialakítása során fontosnak tartjuk, hogy azok, akik találkoznak az ügyfelekkel, lakossággal, megértsék saját felelősségüket és a jogszabályok alapján jól lássák el feladataikat.

Örömmel teszünk eleget a hívásnak.

Read More

A salátatörvény teljes szövege

2019. évi XXXIV. törvény
az Európai Unió adatvédelmi reformjának végrehajtása érdekében szükséges törvénymódosításokról *
1. A közúti közlekedésről szóló 1988. évi I. törvény módosítása
1. § Hatályát veszti a közúti közlekedésről szóló 1988. évi I. törvény 21/G. § (4) és (5) bekezdése.

2. A foglalkoztatás elősegítéséről és a munkanélküliek ellátásáról szóló 1991. évi IV. törvény módosítása
2. § (1) A foglalkoztatás elősegítéséről és a munkanélküliek ellátásáról szóló 1991. évi IV. törvény (a továbbiakban: Flt.) 54. §-a a következő (20) bekezdéssel egészül ki:

„(20) A Kormány által az oktatásért felelős miniszter köznevelési feladatkörébe tartozó egyes feladatainak ellátására kijelölt szerv közvetlen hozzáférést biztosít az állami foglalkoztatási szerv részére a köznevelési információs rendszerben foglalt, az álláskereső azonosításához szükséges, valamint a tanulói jogviszony keletkezésének és megszűnésének időpontjával kapcsolatos adatokhoz az álláskeresőként való nyilvántartásba vétel, valamint a nyilvántartásból való törlés céljából.”

Read More

Adatvédelmi bűnbocsájtó cédulák és szakmai szervezetek… vélt biztonságérzetet tessék!

Elárasztották a vállalkozásokat, cégeket az ingyenes – olcsóbb-drágább „tuti” sablonok. Ez várható volt, de amitől ez az egész dolog siralmas, sokkal szomorúbb mint bárki gondolná, az a megtévesztés.
A különböző érdekképviseleti szervezetek – kihasználva a tagok bizalmát – szintén árulják ezeket a használhatatlan papírokat. Üzlet – tartalom nélkül.
Ha lenne értelme, akkor ez egy jó kezdeményezéssé válhatna, de így, előzetes képzések nélkül olyan, mintha valaki elkezdene könyvelni, saját kútfőből, egy sablon alapján. És az adatvédelem a könyvelésnél jóval összetettebb dolog.
Egy-egy szervezet adatvédelmi felkészítése hosszú hónapok munkája.
Csak az legyint, akinek nincs erről információja, pedig nagyon komoly dolog. Egy vállalkozásnál az adatvédelmi bírság teljes katasztrófát okozhat, pl. egy pályázatnál, mert a bírság egyszerűen kettévágja a felépített projektet.
A vállalt kötelezettségeket nem tudja a cég teljesíteni, mivel a bírságot azonnal kiszabják, fellebbezésnek helye nincs.
A fedezetnek kínált vagyontárgy- elsősorban az ingatlan- veszélybe kerül. Pedig volt sablon.
És akitől a sablont vette és aki megnyugtatta, hogy minden rendben van, az nem vállal semmiért felelősséget.
Tucatjával találhatók a szakmai szervezetek oldalain a sablont kínáló ajánlatok.
Az adatvédelem szabályait az Eu-ban kötelező betartani.
MINDEN vállalkozó, minden szervezet részére kötelező, akarjuk, nem akarjuk, nem veszünk tudomást róla, vagy elbújunk- előbb-utóbb eljön az igazság pillanata.
Nemzeti Adatvédelmi Szövetség
[email protected]
nadat.hu

A kvantumfölény IT biztonsági és GDPR kockázatai

Az összeesküvés elméletek rajongói már biztosra veszik, hogy a ma használt technológiát a kvantumszámítógépekkel már vissza tudják fejteni, ha nekünk „pór” népnek már elkotyogták, hogy a Google és az NSA 3,5 perc alatt oldott meg egy feladatot kvantumszámítógéppel amire a mai szuperszámítógépeknek még 10 000 évre lenne szükségük.

Mit jelent a biztonság területén ez az információ? A hírek szerint egy speciális, előre kidolgozott problémát volt képes megoldani a kvantumszámítógép – igaz azt nagyon gyorsan. Ez körülbelül olyan, mint amikor először tudott egy számítógép két számot összeadni. Majd eltelt néhány tíz év mire valós napi probléma megoldására tudták programozni a számítógépeket.

Valami hasonló lehet a helyzet a kvantumszámítógépekkel is. Egyszerű feladatot már el lehet végezteti, de a komplex programozási lehetőség még látszólag messze van.

A mindennapi felhasználók számára egyelőre nem jelent változást a kvantumfölény, de az államtitkok titkosítása esetében már nem lehetünk ilyen biztosak – tette hozzá Sándor Zsolt András a Gill & Murry adatvédelmi partnere. Már csak idő kérdése és új titkosítási eljárások után kell néznünk, mivel a jelenleg használt 128 és 256 bites titkosítások a kvantum technológia segítségével pillanatok alatt visszafejthetők lesznek.

A II. világháborúban az Enigma megfejtését is titokban tudták tartani, vajon ma mért lenne más a helyzet?! Ebben az esetben a biztonsági szakértő – folytatta Sándor – nem tud mást tanácsolni mint, hogy a biztonság egy más elemét kell addig segítségül hívni – például fizikailag kell a hozzáférést kontrolálni – amíg biztossá nem válik, hogy az alkalmazott titkosítási eljárások megfelelő védelmet biztosítanak az adataink számára.

Forrás

Az info-törvény teljes szövege (2011. évi CXII. törvény az információs önrendelkezési jogról és az információszabadságról)

2011. évi CXII. törvény
az információs önrendelkezési jogról és az információszabadságról *
Az Országgyűlés az információs önrendelkezési jog és az információszabadság biztosítása érdekében, a személyes adatok védelmét, valamint a közérdekű és a közérdekből nyilvános adatok megismeréséhez és terjesztéséhez való jog érvényesülését szolgáló alapvető szabályokról, valamint az ezen szabályok ellenőrzésére hivatott hatóságról az Alaptörvény végrehajtására, az Alaptörvény VI. cikke alapján a következő törvényt alkotja:

I. FEJEZET
ÁLTALÁNOS RENDELKEZÉSEK
1. A törvény célja
1. § * E törvény célja a hatálya alá tartozó tárgykörökben az adatok kezelésére vonatkozó alapvető szabályok meghatározása annak érdekében, hogy a természetes személyek magánszféráját az adatkezelők tiszteletben tartsák, valamint a közügyek átláthatósága a közérdekű és a közérdekből nyilvános adatok megismeréséhez és terjesztéséhez fűződő jog érvényesítésével megvalósuljon. Read More

Nem elégedett az EU a Microsoft GDPR előírásaival, a vállalat a szerződések változtatását ígéri

A Microsoft európai intézményekkel kötött szerződései nem tartják tiszteletben az EU legújabb adatvédelmi szabályait, például a GDPR-t – jelentette ki az európai adatvédelmi biztos (a Reuters- en keresztül ). Az európai adatvédelmi biztos áprilisban nyitotta meg ezt az új vizsgálatot és együttműködött a holland igazságügyi minisztériummal, amely hasonló vizsgálatot folytatott júniusban.

„Bár a vizsgálat még nem ért véget, az előzetes eredmények a vonatkozó szerződéses feltételeknek az adatvédelmi szabályoknak való megfelelésével kapcsolatban komoly aggodalmakra adnak okot, valamint a Microsoft szerepével az EU intézményei számára, amelyek termékeit és szolgáltatásait használják” – nyilatkozta az európai adatvédelmi biztos.

A GDPR adatvédelmi szabályai, amelyek célja, hogy az EU fogyasztói számára nagyobb rálátást nyújtson a személyes adataikkal kapcsolatban, 2018 májusában léptek hatályba. A Microsoft szorgalmazta a felhasználói adatvédelem támogatását a GDPR bevezetésének időpontja előtt, de a vállalat nyilvánvalóan ennél képes, és hajlandó is magasabb szintű megoldásokat alkalmazni. Néhány változásra a Microsoft szóvivőjének nyilatkozata alapján:

„Elkötelezettek vagyunk abban, hogy ügyfeleinknek segítséget nyújtsunk a GDPR, a 2018/1725 rendelet és más alkalmazandó törvények betartásában” – mondta a Microsoft szóvivője. “Megbeszéléseket folytatunk ügyfeleinkkel az EU intézményeiben, és hamarosan bejelentjük a szerződéses változásokat, amelyek megoldják az európai adatvédelmi biztos által felvetett aggályokat.”

Forrás