Ahogy arról korábban már beszámoltam, a jövőben állami alkalmazással lesznek törölhetők az egyedi állami azonosítóval felcímkézett adathordozók Magyarországon. Jelenleg már a törlőalkalmazás is elérhető.
A törlési folyamatról a VEGLEGESTORLES.HU weboldalon kaphat tájékoztatást az érintettek adatait kezelő érdeklődő. Az általános adatvédelmi rendelet, valamint az ez alapján létrejött magyar szabályozás ugyanis az adatkezelő kötelezettségévé teszi az adatok biztonságos kezelését.
Ezen adatokat bizonyítható módon úgy kell törölni, hogy az adat visszaállítására már ne legyen fizikai lehetőség. Az adatkezelő a birtokából kikerült adathordozó egyszerű törlésével az adatot nem törli véglegesen, ez nem vezet az adat visszafordíthatatlan megsemmisítéséhez, így ezzel az adattörlési kötelezettség nem tekinthető teljesítettnek.
Ehhez speciális eljárásokra van szükség, amihez a döntéshozó Magyarországon a NATO beszállító engedéllyel rendelkező, német Certus Software CECE (Certus Erasure Consumer Edition) nevű szoftverét válaszotta ki, amely az információbiztonság területén egyébként jól csengő Common Criteria (CC) EAL3+ tanúsítvánnyal is rendelkezik.
A Common Criteria sajátossága, hogy meglepően transzparens, így elérhető a szoftver CC dokumentációja is, amiből kiderül, hogy az eredeti tanúsítás még 2016-ban történt, ami 2018-ban lett megújítva a v3.11.7 verziószámú „Certus Erasure Engine” alkalmazásra.
Ami mindenképpen megemlítést érdemel, hogy a CC tanúsítást nem a német cég kérte, hanem egy másik vállalat, a román Nera Computers S.R.L. (a CC tanúsítás adottságai miatt általában ezt a gyártó szokta kérni, vagyis jó eséllyel a motor eredetileg Romániában készült), a tanúsítást pedig a spanyol hírszerzés alatt működő Centro Criptológico Nacional (CCN) del Centro Nacional de Inteligencia (CNI) végezte.
A CC tanúsítás, mint szolgáltatás mindössze néhány országban érhető el (sokkal több ország fogadja el, köztük Magyarország is), így az egyáltalán nem meglepő, hogy a román vállalkozás máshol tanúsította a terméket, hogy más példát ne mondjak, a kínai Huawei is előszeretettel a spanyol szervezetnél tanúsíttat, és nem máshol.
A CECE Adattörlő alkalmazás felhasználói leírása is elérhető, amely alapján úgy tűnik, hogy egy bootolható USB pendrive segítségével történik a művelet. A leírás szerint miután az alkalmazást telepítette a felhasználó a pendrive-ra, csatlakoztnia kell azt a számítógépre és ellenőriznie kell, hogy minden készen áll-e az indításhoz:
„1. A számítógépen nyissa meg a BIOS/UEFI rendszert és állítsa be első lehetőségként az USB-ről való indítást.
2. Tiltsa le az összes indításbiztonsági védelmet (biztonságos indítás, külső indítás stb.) is.
3. Vezetékes internet esetén csatlakoztassa a számítógépes helyi hálózatra
csatlakoztató (ethernet) kábelt.
4. Wifi esetén tiltsa le a számítógépes helyi hálózatra csatlakoztató (ethernet) kábel hardveres zárolását.”
A mobilkörnyezetben az alkalmazásnak értelemszerűen számtalan engedélyre van szüksége, így az alkalmazásnak hozzáférésre van szüksége az eszközön tárolt összes adathoz ahhoz, hogy törölni tudja azokat (fényképek, média, kapcsolatok és fájlok), az adattörlési igazolás létrehozásához az alkalmazást alapértelmezett SMS-alkalmazásként is be kell állítani, az alkalmazásnak hozzáférésre van szüksége más alkalmazások felügyeletéhez, hogy törölhesse a használati adatokat, valamint az alkalmazásnak eszközadminisztrátori jogosultságokkal kell rendelkeznie ahhoz, hogy az összes adatot törölhesse a mobilkészülékről.
Továbbra sem értem, hogy az ilyen alkalmazások miért nem hazai fejlesztőcégtől kerülnek kiválasztásra, még akkor sem, ha egyébként esetleg adatvédelmi vagy információbiztonsági aggályt nem vetnek fel a fentiek.
A cikkhez ITT lehet hozzászólni. Ha tetszett, ne maradj le a következőről:
