Az Európai Unió új adatvédelmi rendelete, a GDPR (General Data Protection Regulation) a korábbi, hazai szabályozáshoz képest újdonságként tartalmazza a titkosítás alkalmazását a személyes adatok védelme érdekében.
A GDPR követelményei a titkosítással kapcsolatban:
Az új adatvédelmi rendelet egyrészrol a 6. cikkben, az adatkezelés jogszerűségével kapcsolatban írja elő, hogy ha az adatgyűjtés céljától eltérő célból történő adatkezelés nem az érintett hozzájárulásán vagy valamely olyan uniós vagy tagállami jogon alapul, egyéb feltételek mellett az adatkezelő többek között figyelembe veszi a megfelelő garanciák meglétét, ami jelenthet titkosítást vagy álnevesítést is.
Másrészről az adatkezelés biztonságáról szóló 32. cikk akként rendelkezik, hogy az adatkezelő és az adatfeldolgozó a tudomány és technológia állása és a megvalósítás költségei, továbbá az adatkezelés jellege, hatóköre, körülményei és céljai, valamint a természetes személyek jogaira és szabadságaira jelentett, változó valószínűségű és súlyosságú kockázat figyelembevételével megfelelo technikai és szervezési intézkedéseket hajt végre annak érdekében, hogy a kockázat mértékének megfelelő szintű adatbiztonságot garantálja, ideértve, többek között, adott esetben a személyes adatok álnevesítését és titkosítását.
A GDPR elfogadott szövege alapján a titkosítás nem egy kötelezően előírt intézkedés a személyes adatok védelmével kapcsolatban, ugyanakkor az elterjedsége és viszonylagos költséghatékony bevezethetősége miatt igen népszerű és gyakori technikai kontroll.
Megjegyzendő az is, hogy maga a titkosítás “privacy supporting”, adatbiztonságot támogató intézkedésnek tekinthető, mivel a célja nem kifejezetten a személyes adatok védelme, hanem egy meghatározott jelsorozat transzformációja oly módon, hogy annak a tartalmát csak az arra technikailag képes fél ismerhesse meg.
Ugyanakkor az adatkezelőknek és az adatfeldolgozóknak célszerű figyelemmel lenni azokra a nem várt esetekre, amikor valamilyen adatvédelmi bejelentést indukáló incidens történik. Nem rendelkezik róla kifejezetten a GDPR, viszont az adatvédelmi incidensek bejelentéséről szóló 33. cikk szerint nem szükséges az adatkezelőnek bejelentést tennie a felügyeleti hatóság felé, ha az adatvédelmi incidens valószínűsíthetően nem jár kockázattal a természetes személyek jogaira és szabadságaira nézve.
Megjegyzést érdemel továbbá az is, hogy a kritpográfiai eljárásokkal, illetve követelményekkel, valamint a titkosítási eljárások megfelelő muködéséhez szükséges kulcsmenedzsment tevékenységekkel kapcsolatban például az ISO/IEC 27001:2013 szabvány is külön szabályozási célokat fogalmaz meg (A melléklet, 10.1, illetve 10.2 pontok).
Mit jelent a titkosítás?
A titkosítás, vagy más szóval rejtjelezés az emberiség történetében már idejekorán jelenlévő megoldás a tárolni, közölni, vagy továbbítani kívánt információk védelmére. Korai alkalmazását természetesen a hadviselés tette szükségessé. Mai kifejezéssel élve a titkosítás olyan technikai intézkedés, amely az adatok bizalmasságát hivatott biztosítani. A ma használt titkosító algoritmusokban közös, hogy a titkosításhoz, illetve a visszafejtéshez egy “kulcsnak” nevezett jelsorozatot használnak. Eszerint meg lehet különböztetni asszimetrikus (pl. elektronikus aláírás esetében a privát és nyilvános kulcspárok) és szimetrikus titkosító algoritmusokat (pl. blokk titkosítók, AES-256), aszerint, hogy milyen kulcsot használnak az adatok titkosításához, illetve visszafejtéséhez.
A kulcshossz, illetve az algoritmus visszafejthetősége alapján elméletileg és gyakorlatilag feltörhetetlen titkosítási megoldásokat lehet megkülönböztetni. Gyakorlati szempontból az utóbbi fogalom érdemel figyelmet, amely azt jelenti, hogy az adott kor számítási kapacitása és képessége mellett a titkosítás visszafejtése aránytalan nagy mennyiségű időt vagy kapacitást venne igénybe.
A titkosítás részleteivel kapcsolatban nem szól a rendelet, ugyanakkor kifejti, hogy a személyes adatok megfelelő szintű biztonságát garantáló intézkedéseknek figyelembe kell venniük a tudomány és technológia állását, valamint a végrehajtás kockázatokkal és a védelmet igénylő személyes adatok jellegével összefüggő költségeit. E rendelkezésből az a következtetés vonható le, hogy megfelelő ajánlás hiányában a ma megfelelőnek elfogadott kulcshosszú asszimetrikus és szimetrikus titkosítási megoldások jöhetnek szóba. A korosabb, régebbi titkosító algoritmusok nem biztosítnak megfelelo szintu védelmet, így alkalmazásuk nem felel meg a jogszabályi követelménynek. A fenti követelménynek megfelelően asszimetrikus algoritmusok esetében az 1024 (2048) bites, szimmetrikus algoritmusok esetében az 256 (512) bites kulcshosszok javasoltak. A titkosítás alkalmazása során célszerű figyelemmel lenni ugyankkor a megoldás korlátaira is, valamint a beépített és alapértelmezett adatvédelem követelményeire is.
Mit jelent a gyakorlatban, és mit ér a titkosítás?
Data at rest – tárolt adatok
A tárolt adatok titkosítása többféle képpen lehetséges. Egyik, elterjedt megoldás a végfelhasználói eszközökön, pl. mobil eszközökön, laptopokon, személyi számítógépeken alkalmazott titkosítási megoldások. Jellemzoen ezen a megoldások az egyes file-ok titkosításától kezdve a teljes háttértár titkosításáig terjednek. Ugyanakkor a személyes adatokat feldolgozó szervezeteknek gondoskodniuk kell a tényleges adattárolást, illetve feldolgozást megvalósító adatbázis és storage szerverek megfelelo védelmérol. File szerverek, storage eszközök védelmére szintén a teljes, diszk szintű titkosítási megoldások a gyakoriak. Adatbázisok esetében jellemzően a gyártók a saját megoldásaikat támogatva biztosítanak lehetőséget bejegyzés (record) szintű, vagy a teljes adatbázist érintő titkosítási megoldásokkal.
Eszköz beszerzésbél célszerű arra is figyelemmel lenni, hogy a mai technológiával megbízhatónak tartott titkosítási védelmet hardveres támogatással lehet elérni, pl. TPM chippel (Trusted Platform Module) felszerelt végfelhasználói eszközökkel, titkosítást támogató storage megoldásokkal, vagy mobil eszközök esetében a nagyobb gyártók saját megoldásaik.
Data in transit – továbbított adatok
Az adattovábbítás során használt titkosítási megoldások egyrészről a továbbított adatok titkosítását, másrészről az átviteli csatorna titkosítását is jelentik. A jelenleg legelterjedtebb megoldások az ISO OSI modell különbözo szintjein valósítják meg az adatok titkosítását. Interneten a legszembetűnőbb a standard HTTPS prtokoll használata, amely az átviteli szintű TLS (Transport Layer Security) protokollra épül. Ma a TLS 1.2 verziója számít megfelelőnek. Átviteli szint alatt, eszközök vagy hálózatok közvetlen összekötése során IPSec vagy ehhez hasonló megoldásokat alkalmaznak a gyakorlatban. Itt érdemes szót ejteni az end-to-end titkosítási megoldásokról, amelyek két végpont közötti titkosított adatforgalmat tesznek lehetővé (pl. instant messaging alkalmazások, VPN).
A titkosítással kapcsolatos hátrányok
A kontroll hatékony muködése egy jól működő titkosítási politka implementálását kívánja meg. Ebben segíthet a már hivatkozott ISO/IEC 27001:2013 szabvány is, amelynek a 10.1 és 10.2 pontjai az alábbiakat írják elő a tanúsított Információ Biztonsági Irányítási Rendszert (IBIR) üzemelteto szervezetek számára:
– legyen eloírás arra vonatkozóan a szervezeten belül, amely a kriptográfia alkalmazásával kapcsolatban meghatározza az alkalmazási követelményeket, illetve
– legyen eloírás arra vonatkozóan a szervezeten belül, amely a kriptográfiai kulcsok használatával, védelmével és életciklusával kapcsolatos követelményeket tartalmazza.
A tényleges kontroll implementálásban természetesen az ISO/IEC 27002 : 2013 szabvány nyújt angol nyelven útmutatást (a korábbi magyar nyelvu szabványt visszavonták).
Nem szabad megfeledkezni ugyanakkor arról sem, hogy önmagában az egyes titkosítási megoldások kiválasztása és implementálása nem elégséges a GDPR által előírt követelmények teljesítéséhez. Az adatkezelőknek és adatfeldolgozóknak a technikai intézkedések mellett a már bevezetett kontrollok rendszeres vizsgálata, tesztelése, valamint a szervezet sérülékenységeinek rendszeres felmérése és javítása is feladata.
Összefoglalva, a GDPR nem írja elő kötelező jelleggel a titkosítás alkalmazását, ugyanakkor erőteljesen támogatja és kifejezetten említi a jogszabályi szövegben. Annak érdekében, hogy ez a technikai kontroll megfelelően muködjön és a kívánt eredményt elérje, célszerű egy irányítási keretrendszeren belül bevezetni és működtetni a szervezeten belül.