Az adatszivárgás

Az adatszivárgás definíciója

Adatszivárgásnak nevezzük az olyan nem üzemszerű eseményeket, ahol az adatvagyonhoz tartozó, valamilyen szempontrendszer alapján minősített információ előírt vagy nem előírt módokon az információ megszerzésére és/vagy birtoklására és/vagy megismerésére fel nem jogosított fél birtokába jut.

Röviden összefoglalva adatszivárgás tehát nem más, mint amikor az adat/információ bizalmassága sérül.

Adatszivárgási események típusai, tényezői

Az adatszivárgási események több szempont alapján is csoportosíthatók. A bekövetkezés szempontjából megkülönböztethetünk szándékos vagy vétlen adatszivárgási eseményt, illetve az érintett adatok alapján is csoportosíthatók az események (például személyes adatokat vagy üzleti információkat érintő adatszivárgás).

Vétlen adatszivárgás

Vétlen adatszivárgásnak tekinthetők az elkövető biztonságtudatosság-hiányosságából bekövetkezett incidensek, de ide tartozhatnak az olyan események is, például amikor a felhasználó rossz címzettnek küld el egy levelet, vagy egy levél minden címzettjének válaszol anélkül, hogy azt ellenőrizné, hogy a küldendő információ megismerésére valóban rendelkezik-e minden címzett jogosultsággal.

A „vétlen” kifejezés megtévesztő lehet, hiszen a biztonságtudatosság hiánya felróható a felhasználónak, azonban a vétlen jelző ebben az esetben a nem szándékosságból, azaz a nem akaratszerű elkövetésből fakad.

Szándékos adatszivárgás

A szándékosan elkövetett adatszivárgás (köznyelvben „adatszivárogtatás”) ebből a szempontból egyszerűbben értelmezhető, tudatosan elkövetett cselekményről van szó, amely során az elkövető szándékosan sérti meg az adat vagy információ bizalmasságát.

Ilyen esetekben sok esetben felmerül a belső elkövető személye, nem véletlen, hogy az "insider threat" elleni védelem akkora fókuszt kap a legtöbb védelmi stratégiában. Természetesen az ilyen cselekmények ellen a legnehezebb védekezni, és a belső fenyegetés kockázatát a legköltségesebb csillapítani. 

Adatszivárgási tényezők

Humán tényezőnek tekinthető az emberi mulasztás, a biztonságtudatosság hiánya, a képzetlenség, illetve a különféle viselkedésbéli jelenségek, mint a fáradtság, a rosszindulat, a düh, a félelem stb.

Adminisztratív tényezőként beszélhetünk a szervezet szabályozási környezetének hiányosságáról vagy inkonzisztens folyamatok és eljárások okozta jelenségekről. Ilyen lehet például az adatklasszifikáció hiánya vagy hibás megvalósítása, amely esetekben az adott információ nem kerül minősítésre, a minősítés hiányában pedig értelemszerűen nem lehet információvédelmi szabályokat vagy műszaki védelmet alkalmazni.

Jellemzően a technológiai-, technikai tényezők kapják a legtöbb figyelmet, mivel ezek a tényezők köthetők inkább a hacker tevékenységekhez, bár a legtöbb esetben sajnos maguk a szervezeti folyamatok és a felhasznált technológiák közötti olló szélesre nyílása felelős az események többségének bekövetkezéséért. Ide tartozhatnak a védelmi eszközök hiányosságai vagy rossz beállításai, a nem megfelelően használt védelmi eszközök, alkalmazások és rendszerek sérülékenységei, valamint azok kihasználásai, az alkalmazások és rendszerek hibás beállításai stb.

Adatszivárgási források és vektorok

Az adatszivárgás forrását tekintve megkülönböztethető a külső vagy belső adatszivárgás. Belső adatszivárgásról akkor beszélünk, ha a cselekmény elkövetője vagy forrása a szervezethez tartozó személy vagy egy belső rendszer, míg a külső forrás esetében az elkövető egy olyan személy, aki nem tartozik az érintett szervezethez. Általában az ilyen események köthetők a behatolásokhoz vagy egyéb hacker-cselekményekhez (az ilyen események összefoglaló neve a „data breach”).

Adatszivárgási vektoroknak tekintjük a különféle hálózati kommunikációs csatornákat, mint például a web (HTTP/HTTPS) és FTP, email (SMTP), a különféle applikációkat (Google Mail, Dropbox, stb.), illetve a végponti eszközt vagy munkaállomást (USB, nyomtató, adattárolók, stb). 

Fontos megemlíteni, hogy a papíralapú adathordozók védelme is az adatszivárgás-elleni védekezéshez tartozik, ahogyan például az üres íróasztal politika betartása, vagy az irodaterek megfelelő zárása is.

Természetesen a hagyományos értelemben vett adatszivárgás elleni védelem elsősorban a digitális adatokra fókuszál, azonban nem szabad figyelmen kívül hagyni, hogy jelenleg még az adatok nagyszámban előfordulhatnak nem digitalizált formában is, így a védekezésnek a teljeskörűség érdekében ezekre az adatokra is ki kell terjednie. 

Akkor mit is jelent az adatszivárgás-elleni védelem?

Adatszivárgás nagyon sok okból következhet be, közrejátszhat benne humán, adminisztratív vagy technológiai tényező is, emiatt pedig az adatszivárgás-elleni védelem nem csak magát a DLP technológiát jelenti (sőt, elsősorban nem egy DLP termék bevezetését jelenti), hanem olyan adminisztratív, humán és műszaki védelmi intézkedések összességét, amelyek együttesen csökkenthetik a bekövetkezés valószínűségét és a lehetséges kár mértékét.