HunCERT konferencia: azonos csatornán, de közös nyelven is?

HunCERT

A szervezők meghívására vettem részt a HunCERT Workshop 2019 rendezvényen, melynek címe az “Azonos csatornán” – internetes szolgáltatások adatvédelme a gyakorlatban lett. Az “Azonos csatornán” lényegében arra utalt, hogy a személyes adatok kezelése során (is) kiemelt kihívást jelent a műszaki és jogi szakterületek közti folyamatos összhang megteremtése.

A rendezvény egyik kiemelt célja ezért a sok esetben eltérő megközelítésű, változatos terminológiát alkalmazó, ám egymástól többé már nem függetleníthető diszciplína egymáshoz való közelítése, az internetes szolgáltatók és az adatvédelmi szakemberek közti párbeszéd előmozdítása volt.

Mivel az adatvédelem egy rendkívül fontos témakör számomra (mint ahogy a jog és az informatika határterületei is), ezért kifejezetten örültem, hogy részt vehettem a rendezvényen, amely bizonyos értelemben tökéletesen azonos csatornán zajlott, hiszen a résztvevő meghívottak lényegében minden fontosabb kérdésben egyetértettek egymással.

Az más kérdés, hogy léteznek más csatornák is, ezek megjelenésének hiányát azonban nem lehet a szervezőknek felróni, de erről majd később. Előtte összefoglalnám a rendezvényen elhangzott legfontosabb gondolatokat, amit nem segített, hogy az előadók nem járultak hozzá az előadások rögzítéséhez, viszont jó hír, hogy elérhetők lesznek majd az előadások prezentációi.

Rigó Ernő (HunCERT) – nem meglepő módon – a HunCERT bemutatásával nyitotta meg a rendezvényt. Kiemelte, hogy a kezdeményezés elsődleges célja a hazai internet jobbá tétele. Ennek egyik fontos eleme az incidensbejelentő felület, illetve a 7/24-es ügyelet, ami egy igen nagy forgalmat bonyolító szolgáltatás. Igyekeznek a társadalmi tudatosságot is erősíteni, de elsődleges céljuk a biztonságtudatosság növelése a szolgáltatóknál.

Kiemelte a PROBE projektet, amelyhez bárki csatlakozhat, aki saját, nyilvános IP-vel rendelkezik. A projekt kapcsán a hálózatra csatlakoztatott eszközök passzívan figyelnek és a támadásokat várnak, lényegében honeypot jelleggel. Az MTA SZTAKI korábban elnyerte a Nemzetbiztonsági Szakszolgálat beszerzési eljárását honeypot rendszerekre, így vélhetően a két projekt közös elemeket is tartalmaz, bár ez a konferencián nem hangzott el. Mindenesetre a HunCERT számára ezek a projektek a kutatóintézeti tevékenység miatt is rendkívül fontosak.

Az előadás az adat fogalmának kibontásával folytatódott, mint tény, jel vagy épp szimbólum. Az információ lényegében a feldolgozott adat, a tudás az információ használata, amely végül elvezethet a bölcsességig, bemutatva a DIKW piramis felépítését is (Az egyes szintek tipizált kérdései: adat – ?, információ – Mi?, tudás – Hogy?, bölcsesség – Miért?).

A talán kissé távolról indító elméleti alapozás – bár szokatlannak érződött – de később kiderült, hogy egyáltalán nem volt öncélú, ugyanis a tényleges és nagyon is konkrét adatvédelmi és informatikai kérdések feloldásánál alapvető jelentőségűvé válhat a megfelelő fogalomhasználat. A konferencia egyik alptézise is éppen az volt, hogy a jogi és informatikai megközelítések közös nevezőre hozása elképzelhetetlen az alapvető fogalmak egységes és életszerű értelmezése.

Krüpl Zsolt (Rádiós Segélyhívó és Infokommunikációs Országos Egyesület) egyből ki is emelt egy nem egészen pontosan tisztázott fogalmat, a törlést. Informatikai értelemben ugyanis a törlés egyáltalán nem olyan triviális, mint a hétköznapi értelmezésben. Egy linux-ból vett példát bemutatva a memóriában tárolt adatoknál korlátozott ideig, de kikényszeríthető a törlés utáni adatmegismerés. Más példákkal megvilágítva: törléskor az állomány adatblokkjai megmaradhatnak a fizikai adathordozón.

Verziókezelésnél a korábbi verzió megőrizhet szenzitív adatokat, a rendszer logikai törlés funkciója elfedheti a fizikai törlés hiányát, a backup/snapshot állományokból adott esetben lehetetlen az utólagos törlés, mert az integritás ezt követően a fennmaradó részre nem lesz igazolható.

Emellett például az email szerverekben is tárolódhatnak technikai okokból adatok. A törlés kapcsán a NIST 800-88 rev. 1 lenne használható, ahol a purge eljárás tekinthető megfelelőnek, vagy a destroy, vagyis az adathordozó fizikai megsemmisítése. De például az SSD/flash véletlenszerű írása miatt bizonyos esetekben nem is lehetséges a korábbi fájlok által elfoglalt terület felülírása.

R. Kiss Sándor a sütik szerepéről és expanziójáról tartott egy érdekes összefoglalót. A történeti áttekintése alapján a felhasználói munkafolyamatok azonosítása már a “Web1”-ben is megtörtént, de szerveroldalon. Mivel azonban nem minden felhasználói cselekmény indukál szerveroldali eseményt, így szükségszerűen átlépett a munkafolyamat azonosítása a kliensoldalra is.

Lényegében a célzott marketing megjelenése volt a “fejlődés”, illetve expanzió katalizátora, de a követőkód beépítése alapvető eszköz az analitika kapcsán is, ezzel pedig elterjedtek a harmadik féltől származó cookie-k is. Egy érdekes példán keresztül az is bemutatásra került, hogy az egyébként biztonsági megoldásként értelmezhető (és nem kitörölhető) HSTS cookie is alkalmassá tehető a felhasználó azonosítására.

Dravecz Tibor (INTEGRITY Kft.) arra hívta fel a figyelmet, hogy félő, hogy még évekig a GDPR követelményeivel ellentétes, alacsonyabb szintű jogszabályok maradnak a jogrendszerben. Véleménye szerint a személyes adat igazából nem adat, hanem információ per definició alapján. Szerinte a tudás kitörlését várja el a jogalkotó, ugyanis csak a tudás felejthető el (párhuzamban a felejtés jogával). Az adat és információ definiálása kapcsán került itt előtérbe, hogy adatot lehet, információt viszont nem lehet törölni.

A törlés pedig költséges, időigényes és erőforrás igényes. Kritikája szerint a GDPR-t tagállami szinten szabályozó nemzeti jogszabályok lényegében példányosítják a GDPR szövegét. Ráadásul véleménye szerint az Info. tv. sem egyértelmű-érthető, indokolatlanul párhuzamos és többszintű. A személyes adat fogalmát szerinte a gyakorlatnak kellene kidolgoznia. Emellett fordítási problémát lát – például a továbbítás értelmezése kapcsán – a magyar nyelvű szövegváltozatban.

Szerinte ugyanis az email szolgáltatás – főszabály szerint – nem adattovábbítás. Véleménye alapján lényegében “homológia” van a postai levél és az elektronikus levél (email) között adatvédelmi szempontból. A postai szolgáltatás szabályozása ezért irányadó lehetne az IT területen is, mert az email az IT szakemberek szerint egy zárt csomag.

A felhőszolgáltatás, illetve a tárhely szolgáltatás tekintetében Dravecz Tibor úgy vélte, hogy a szolgáltató ilyenkor csak adatokat lát, de főszabály szerint információfeldolgozást nem végez. A definíciós kérdésekre ismét reflektálva visszautalt arra, miszerint a személyes adat információ. Kérdés, hogy felhőszolgáltatás esetén vajon kideríthető-e egyáltalán, hogy pontosan hol vannak az adatok?

Dr. Jambrik Gergely (ügyvéd) egyetértett abban a korábban felszólalókkal, hogy a személyes adat alapvetően információ, utalva arra is, hogy a Personally Identifiable Information (PII) talán eleve szerencsésebb fogalmi megközelítés lenne. Az informatikai problémákat és megközelítéseket a jogi gondolkodásban is végig kell(ene) vezetni. Fontosnak tartotta leszögezni, hogy véleménye szerint, aki nem férhet hozzá, az nem is kezel(het) adatot.

Az adatnak ráadásul nem kell olyan módon hozzáférhetetlennek lenni, ami ténylegesen is megkerülhetetlen. Az extrém, jogellenes cselekményekkel szemben nem az adatvédelemnek, hanem más jogágaknak kell védelmet nyújtani (büntetőjog). Aki pedig nem adatkezelő, az nem bízhat meg adatfeldolgozókat sem, ez fogalmilag kizárt. Vannak már működő analógiák, párhuzamok, amiket lehetne használni.

Ilyen lehet a postai és az elektronikus levél összehasonlítása, vagy épp a szerver- és helységbérlet összevetése. Szerinte az alapszándék kezd félrecsúszni, vannak a rendeletnek vadhajtásai. Reményei szerint a jelenlegi helyzet egyfajta stádium, amely után kiforr a szabályozási koncepció. Addig pedig első lépésként a részproblémákra kell valid megoldásokat találni.

Az előadás utáni kerekasztal beszélgetés első kérdése az volt, hogy jelenleg az adattörlésnél mi a tipikus magatartás? A válaszok szerint leginkább a dokumentumozás, a nyilatkozás általános, de a tényleges törlés már elképzelhető, hogy ritkább. A tudatosodás elindult, miközben voltak látszatmegoldások is. Az biztató, hogy legalább elindultak az adatbázis-tisztítások. Elsődlegesen egyébként a HR folyamatokban jelentek meg ezek a kérdések.

A második kérdés arra irányult, hogy aki nem fér hozzá az adathoz, az vajon kezelhet-e adatot? A válaszadók szerint nem lehet az extrém eseteket a szabályozásba bevonni. Az adatvédelmi gyakorlat gyakran fogyasztóvédelmi jellegű, és akinél kalapács van, az mindent szögnek vél. Gyakran a rendeltetésszerű használat marad el a tárhely szolgáltatást igénybe vevő részéről. A tárolás önmagában – mechanikusan – nem számíthat adatkezelésnek. Azonban abban is egyetértettek a résztvevők, hogy az informatikai szolgáltatóknak van felelőssége; a kérdés az, hogy milyen jogszabály alapján?

Harmadik kérdésként merült fel, hogy mik azok a műveletek, amik mégis a GDPR alá vonnak egy adott szolgáltatást? Például ilyen lehet egy konkrét adatok kapcsán archiváló szolgáltatás. Elhatárolási pont lehet, hogy olyan szolgáltatásnál, ahol a szolgáltatás csak úgy teljesíthető, hogy a szolgáltató megismeri az adatokat (vagyis azok információvá válnak), akkor az már adatkezelés.

Emellett tájékoztatási kötelezettsége is van a szolgáltatóknak a szolgáltatás igénybe vevője felé (a felelősséget vállalni kell). Ezzel összefüggő probléma, hogy a szolgáltatáscsomagok elfedik a jogi keretek egy részét, felelni pedig mindig az adatkezelő fog felelni a harmadik fél felé. Bizonyos esetekben a törvényi szabályozás pontosabb irányt is mutathatna (maximált adatkezelési idők), mert jelenleg nehéz a megfelelés, különösen amíg nincsenek kikristályosodott mérlegelési szempontok.

Végezetül felmerült a kérdés, hogy nem megfelelő törlésnél kié a felelősség? Az adatkezelésnél gyakran senki nem tudja, hogy törlik-e az adatot (egyáltalán azt sem, hogy ki, és mit ért törlés alatt). Az adattörlést ugyanis nem feltétlenül érzékeli az érintett (lehet, hogy csak a logikai törlés eredményét látja). Jó megközelítés lehet, hogy a törölt adat az, amit a szakértő sem talál meg, de ennek ellenére életszagú megoldásokat kell találni.

Az alapvetően pozitív és előremutató kerekasztal beszélgetés végén azért elhangzott az is, hogy a személyes adat méreg: minél kevesebb van annál egészségesebbek vagyunk. A konferencia összességében pozitív üzenetét emellett mindenképp beárnyékolja, hogy a gondolatmenetek, illetve jogi érvelések egyáltalán nem biztos, hogy egyeznek a jogalkotói szándékkal, vagy épp a hatóság, bíróságok majdani jogértelmezésével, bár erre az előadók is felhívták a figyelmet.

A NAIH részvételének hiánya mindenképp kritika lehetett volna a szervezők felé, azonban a rendezvényen elhangzott, hogy minden igyekezetük ellenére sem küldött az adatvédelmi hatóság előadót. A vélemények ütköztetése így lényegében elmaradt a konferencián, ami rendkívül sajnálatos.

Mindez azért is különösen nagy kár, mert ismerve az eddigi joggyakorlatot egészen biztos vagyok benne, hogy a konferencián bemutatott egyes érvelések ellentétesek a hatóság jogértelmezésével és gyakorlatával, ami persze nem jelenti azt, hogy egyébként ne lehetne jogilag azokat alátámasztani, mint ahogy természetesen az adatvédelmi hatóság értelmezése sem jogalap nélküli, sőt. Mivel pedig a téma különösen érdekes számomra, ezért a konferencia apropóján hamarosan írok majd a témakörről egy “különvéleményt” is.

A cikkhez ITT lehet hozzászólni. Ha tetszett, ne maradj le a következőről: