A pendrive és a GDPR esete

A titkosítással ellátott pendrive-ok hasznos szolgálatot tehetnek a GDPR-megfelelőség kapcsán. Egyebek mellett az oktatási intézmények esetében is.
 

Az EU-s GDPR (Általános Adatvédelmi Rendelet) minden olyan intézményt is érint, amelyek személyes adatokat kezelnek, így az oktatási szektort is. Kevesen gondolnak bele, hogy ennek értelmében bizonyos incidensek esetén akár egy iskolára is bírságot róhatnak ki. Ilyen incidensnek minősülhet az is, ha egy tanár vagy egy adminisztratív munkatárs elveszít egy pendrive-ot, amelyen diákok személyes adatai találhatók.
 
Az iskolai adatvesztések problémája nem újkeletű, számos hasonló eset fordult már elő világszerte. Néhány évvel ezelőtt például több mint 20 ezer diák személyes adata került veszélybe a Boston Public School hálózathoz tartozó 36 iskolában, amikor az iskolakerület azonosítókártyáinak szállítója, a Plastic Card Systems elveszített egy USB-meghajtót. Többek között a diákok nevei, iskolái, életkora, érdemjegyei, azonosítószámai, könyvtári olvasójegy-számai és fényképei is szerepeltek az elveszett adathordozón.
 
Az ITRC (Identity Theft Resource Center) kutatóközpont kimutatása szerint tavaly 1339 különféle visszaélés történt személyes adatokkal a vizsgált amerikai szervezeteknél, és összesen 174 millió adatrekord került nyilvánosságra. Az incidensek 8,7 százaléka az oktatási szektorban történt, ami azt mutatja, hogy ezen intézményeknek is kiemelt figyelmet kell fordítaniuk a személyes adatok védelmére.
 
Egy kis pendrive is nagy felfordulást okozhat
 
Az iskolai adatvesztések esetében az egyik veszélyforrás a nem megfelelő pendrive-ok használata. Sok felhasználó saját, olcsó, titkosítatlan USB-meghajtókon hordozza a fájlokat, amelyek kártevőkkel és vírusokkal lehetnek fertőzöttek. Persze nem csupán diákok és tanárok tárolnak információkat cserélhető adathordozókon, hanem más munkatársak is, például a könyvelők és az egészségügyi személyzet is.
 
A Google nem régi, két amerikai egyetem kutatóival karöltve végzett kísérlete során több száz titkosítatlan USB-meghajtót helyeztek el gazdátlanul az Illinois Egyetem területén. A megtalálók a 297 pendrive közül 290 darabot azonnal magukkal vittek a helyszínről, és 135 esetében meg is nyitották a rajtuk lévő fájlokat. A meghajtókat a megtalálók átlagosan 6,9 órán belül csatlakoztatták számítógéphez.
 
Védekezzünk titkosítással!
 
A Kingston szerint, ha egy USB-meghajtó elveszik vagy ellopják, és a rajta lévő adatok titkosítva vannak, akkor ez a GDPR meghatározásai alapján ugyan biztonsági incidensnek számít, de nem személyes adatokkal való visszaélésnek, tehát nem esik olyan szigorú megítélés alá. A titkosítás ezáltal segítheti az incidenskezelést, és a következmények súlyát jelentősen mérsékelheti.