Kelenhegyi Péter | 2017 február 9. 18:45
Forrás: https://computerworld.hu/cio/az-elnok-es-a-pajzs-224398.html
Aggodalmak az Adatvédelmi pajzs körül; feszültségek a legnagyobb informatikai óriásoknál a határok biztonságáról és a bevándorlás szabályozásáról szóló rendelet miatt; ellentmondások a kiberbiztonsági rendelet és az elnöki mobiltelefon-használat körül – amerikai testvérlapunkból szemléztünk.
Decemberig, vagyis az Adatvédelmi pajzs (Privacy Shield) érvénybe lépésétől számított öt hónap alatt több mint 1100 amerikai vállalat írta alá a megállapodást, és további hatszáz kérelme várt felülvizsgálatra, igaz, elődje, a Biztonságos kikötő (Safe Harbor) 4500 amerikai tagot számlált. A múlt év végén még az foglalkoztatta a tengerentúli szaksajtót, mi lesz, ha az Európai Bíróság érvényteleníti a megállapodást. Nem teljesen ok nélkül, hiszen vannak folyamatban lévő peres ügyek, és idén a szokásos menetrend szerint az EU hatóságai mindenképpen felülvizsgálják a megállapodást (amelyhez január közepén Svájc is csatlakozott). Amennyiben a Pajzs kiállja a próbát, az EU, Svájc és az USA közötti adatforgalom újabb szereplőket vonzhat – annak ellenére, hogy elődjénél szigorúbb személyesadat-védelmi előírásokat tartalmaz.
Pajzs volt, van, lesz?
Mint arról lapunk is beszámolt (Computerworld 2015/21.), az Adatvédelmi pajzsnak nevezett megállapodás értelmében az egyesült államokbeli vállalatok az uniós állampolgárok személyes adatait csak úgy továbbíthatják amerikai területre, ha legalábbis az uniós adatvédelmi törvényben foglalt szigorral kezelik azokat.
A múlt év végéig zömmel pozitív fogadtatásra talált az Adatvédelmi pajzs, néhányan azonban nem jósoltak neki hosszú életet. Úgy vélték, hasonló sorsra juthat, mint elődje, a Biztonságos kikötő, amelyet 2015 októberében, az NSA-botrány kirobbanása után dobott sutba az Európai Bíróság. Aggodalmaikat fokozza, hogy írországi és francia aktivisták bíróságon támadják a megállapodást, mondván, a Pajzs nem védi kellőképpen az európai polgárok személyi adatait. Októberben az Európai Unió a Yahoo-t és a Facebook tulajdonában álló WhatsAppot szólította fel arra, számoljanak be arról, hogyan kezelik, kinek adják át a felhasználóiktól szerzett személyes adatokat.
Egyes vélemények, így például a New York-i központú Intralinks tartalommegosztó nemzetközi jogkörű adatvédelmi felelőse szerint az Adatvédelmi pajzsot ugyanúgy elkaszálhatják az európai bíróságok, ahogyan azt a Biztonságos kikötővel tették. A Computerworld által megszólaltatott szakember úgy véli, az Öreg kontinensen sok vállalatnál legföljebb gépiesen kipipált tesztlapnak tartják az Adatvédelmi pajzsot, ezért a hosszú távra tervezőknek nem árt más, esetleg saját, külön bejáratú adatcserére vonatkozó megoldások után nézniük.
Saját útját járja például a BMC Software és az Intel. Náluk kötelező érvényű szabályok vonatkoznak a leányvállalatok közötti adatátvitelre, amelyek kikötik azt is, hogy a fogadó oldalon mit kezdhetnek az információval. Mindazonáltal az alternatív megoldások jövője is bizonytalannak látszik. Amennyiben aggályosnak tartjuk, hogy a bűnüldöző és nemzetbiztonsági szervek betekinthetnek az előírásoknak megfelelően kezelt adatbázisokba, az egyedi céges megoldásokat sem nevezhetjük kevésbé aggályosaknak.
Új elnök, új világ
Hivatalba lépése után néhány nappal az Egyesült Államok új elnöke aláírta a határok biztonságáról és a bevándorlás szabályozásáról szóló rendelet végrehajtási utasítását, és ugyanezen a napon léptette életbe az USA belbiztonságának javítását célzó rendeletet. Ám ahhoz, hogy a rendelet végrehajtói intézkedni tudjanak az illegális bevándorlókkal, a lejárt vízummal rendelkező és más vízumszabályokat megsértő külföldiekkel szemben, valahogyan nyomon kell követniük őket – a személyes adataik megsértése nélkül. S minthogy a rendelet szövege kitér az adatvédelmi törvényben rögzített „személyazonosításra alkalmas adatok” tiszteletben tartására, megfigyelőkben felmerült, hogy az intézkedések az Európai Unió és az Egyesült Államok közötti adatvédelmi keretrendszert, az Adatvédelmi pajzsot is érinthetik.
Röviddel a belbiztonságot erősítő rendelet aláírása után az Európai Parlament egyik tagja, Jan Philipp Albrecht aggodalmát fejezte ki amiatt, hogy az alááshatja az Adatvédelmi pajzsot, valamint a februártól érvényes Védőernyő (Umbrella Agreement) egyezményt. Egy európai bizottsági szóvivő szerint azonban erről nincs szó, mivel az Adatvédelmi pajzs az uniós állampolgároknak az Egyesült Államokba továbbított adatait védi, és nem terjed ki az Egyesült Államokban gyűjtött adatokra. Az USA adatvédelmi törvénye sosem biztosított adatvédelmi jogokat európai polgároknak – fogalmazott.
A múlt hónap végétől hatályos Védőernyő egyezmény az uniós, illetve egyesült államokbeli rendfenntartó szervek közötti, nyomozásokkal kapcsolatos adatok cseréjét szabályozza. Az egyezmény véglegesítése előtt, még tavaly, a Kongresszus új jogszabályként hatályba léptette a bírósági jogorvoslati törvényt, amely az európaiakra is kiterjeszti az amerikai adatvédelmi törvény védelmét, megadva nekik a lehetőséget arra, hogy jogsérelem esetén amerikai bírósághoz fordulhassanak. S minthogy az elnöki végrehajtási utasítás értelmében a hatóságok csak „a hatályos jogszabályoknak megfelelő mértékben” zárhatnak ki európaiakat az adatvédelmi törvény oltalma alól, úgy tűnik, hogy a bírósági jogorvoslati törvény nem vált érvénytelenné – összegezte a szóvivő, hozzátéve, hogy a Bizottság továbbra is éberen figyeli az európaiak személyes adatait esetlegesen érintő amerikai intézkedéseket.
Alkalmazottak kimentése
Csúcstechnológiai cégek heves ellenállását is kiváltotta a menekültek és hét, muzulmán többségű ország állampolgárainak beutazását – ideiglenesen – megtiltó elnöki rendelet. Számos ipari óriás foglalkoztat szakembereket távol az Egyesült Államoktól. E cégek egy része pert tervez a törvény megtámadására. A Google megerősítette, hogy a menedzsment tagjai 2 millió dolláros válságalapot hoztak létre, amelyhez munkavállalóik további 2 millióval járulhatnak hozzá. A pénzt négy emberi jogi alapítvány, illetve szervezet kapja a menekültek segítésére.
Mark Zuckerberg Facebook-alapító is felszólalt: Bevándorlók országa vagyunk, mindannyiunknak előnye származik abból, ha a legjobb, legelmésebb emberek, származzanak a világ bármely pontjáról, itt élhetnek és dolgozhatnak velünk – írta.
Támogatást ígért az esetlegesen érintett, jogszerűen az országban tartózkodó alkalmazottai családjainak az Intel: Vállalatunk alapítóinak egyike bevándorló volt, a jövőben is támogatni fogjuk a legális bevándorlást – közölte a cég szóvivője, részleteket azonban nem árult el.
Meg Whitman, a Hewlett Packard Enterprise elnöke körlevélben tájékoztatta munkatársait arról, hogy az intézkedés számos alkalmazottat érint. Az IBM-től twitteren kiküldött közlemény szerint az IBM-esek számára időről időre bebizonyosodott, hogy az előre vezető úton – az innováció, a fejlődés és a társadalom egésze szempontjából – szükség van az elkötelezettségre és a világ felé való nyitottságra.
Elhibázottnak és visszalépésnek nevezte a rendeletet a Microsoft közleménye: „Sokkal hatékonyabb eszközök is vannak a közbiztonság javítására, amelyek nem okoznak ennyi járulékos kárt az ország jó hírnevének és értékeinek”. A cég Indiában született elnöke, Satya Nadella a munkatársak számára szervezett fórumon kifejtette: „Egyetlen társadalomban sincs helye az elfogultságnak és bigottságnak, semmilyen összefüggésben. Számomra éppen a felvilágosult bevándorlás-politika tette lehetővé, hogy itt legyek, és az legyek, aki vagyok”. A Microsoft szóvivője szerint a vállalat jogi és egyéb segítséget nyújt a bevándorlási tilalom által érintett munkatársainak, ugyanakkor egyeztetéseket kezdeményez az elnöki apparátussal és a Kongresszussal.
Nincs biztonságos számítógép
Újévi köszöntőjében a megválasztott elnök már ejtett szót arról, miként vélekedik az IT-biztonságról – idézi az esetet testvérlapunk. „Az igazán fontos dolgokat írják le egy papírlapra, és küldjék el futárral” – szólt a tanács. Ezek után Androidos telefonjával került címlapra az új elnök: a Fehér Ház biztonsági személyzete aggódhat, hogy a ház új lakója nem hajlandó áttérni az elnöki BlackBerryre.
– A leggyengébb láncszem az ember; a legerősebb biztonsági megoldások sem érnek semmit, ha valaki nem követi a kiberbiztonsági előírásokat. Lehet a rendszerben végponttól végpontig tartó titkosítás, ha a végponton nem a megfelelő berendezéseket és eszközöket használják, az illető felettébb sérülékeny lesz – figyelmeztetett Chris Perry, a mobilkészülékekhez kódolt magánhálózatokat kínáló Secured Communications elnöke. Emlékeztetett, hogy a Fehér Háznak saját, az elnök és környezete számára műszaki megoldásokat biztosító telekommunikációs csapata van.
Számítógép-biztonsági fórumok szerint az ominózus készülék egy Samsung Galaxy S3 vagy S4 lehet. Elég, ha az elnök rákattint egy fertőzött oldalra, és a telefon máris élőben továbbítja telefonbeszélgetéseit vagy a környezetében elhangzó szavakat – jegyezte meg a Computer Science Institute bloggere. A nulladik napos fenyegetések miatt egy vadonatúj androidos telefon vagy iPhone sem volna elég megbízható.
Miközben az elnök a kormányzati szervek kiberbiztonságának javítását sürgeti, az erről szóló rendelet aláírása egyelőre késik. Egy korábban kiszivárgott terv szerint a Belbiztonsági és a Nemzetvédelmi Minisztériumnak hatvan napja volna arra, hogy ajánlásokat dolgozzanak ki az Egyesült Államok kormányzati és magánhálózatainak védelmére. Donald Trump a tervek szerint múlt kedden írta volna alá a rendeletet, de röviddel előtte elhalasztotta azt. Ehelyett újságírókkal közölte: elvárja, hogy a kabinet titkárai és az ügynökségek vezetői teljes felelősséget vállaljanak az általuk felügyelt hálózatok biztonságáért. A kiberbiztonsági tervben az ország kulcsfontosságú létesítményeinek, erőműveinek, villamoshálózatának védelméről is szó van.