Kíváncsiak kincsestára – adattörlés sok hiányossággal
Az egyesület elsősorban arra volt kíváncsi, hogy az önkormányzatok helyesen selejtezik-e informatikai eszközeiket, és a folyamatot megfelelően dokumentálják-e. A felmérés vizsgálta, hogy rendelkeznek-e a hivatalok adatvédelmi és adatbiztonsági szabályzatokkal, illetve bejelentették-e a Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH) nyilvántartásába a bejelentésre köteles adatkezelési folyamataikat.
Az eredmények szerint ritka, hogy egy önkormányzat a selejtezés előtt megfelelően elvégezze az adathordozók adatoktól megtisztítását, és a folyamatot jegyzőkönyvben is dokumentálja. A legtöbben újraformázzák a selejtezendő számítógépek merevlemezeit, esetleg újratelepítik rajtuk az operációs rendszert. Ezek azonban nem megfelelő eljárások, mivel az ilyen merevlemezekről könnyen visszaállíthatóak az adatok, vagy legalább egy részük.
A szabályozatlansághoz hozzájárul, hogy a felmérésben részt vevő szervezetek még a felének sincs adatvédelmi és adatbiztonsági szabályzata. A bejelentési kötelezettséget illetően már valamivel jobb a helyzet, az önkormányzatok 56 százaléka vetette nyilvántartásba a NAIH-nál a bejelentésre köteles adatkezelési folyamatait.
„Negyvenhárom, 10 ezer lakosúnál kisebb település önkormányzatát kerestük meg Pest megyében, és összesen tizenhat szervezet töltötte ki kérdőívünket. Így az adatok statisztikailag nem tekinthetőek reprezentatívnak, de tapasztalataink szerint sok magyarországi önkormányzatnál nagyon hasonló a helyzet” – emelte ki dr. Pataki Gábor, a MABAVE elnöke a felmérés eredményeiről.
Minapi konferenciáján az egyesület, valamint az adatvédelmi vizsgálatokkal foglalkozó L Tender Consulting és a minősített adattörlési megoldásokat gyártó Blancco képviselői arról is beszéltek, hogy az információbiztonsági törvény kötelezetteinek számos logikai védelmi intézkedést kell még meghozniuk ahhoz, hogy megfeleljenek a jogszabály előírásainak.
Petrányi-Széll András, a Blancco kommunikációs vezetője arra hívta fel a figyelmet, hogy az adathordozók megfelelő adattörlés nélküli selejtezése az oka az adatvédelmi incidensek többségéért. Ezek az esetek ráadásul közismertté válnak, mivel a használt mobiltelefonokról és az adattörlés nélkül szervizbe adott noteszgépekről a közéleti szereplőket kompromittáló dokumentumok és fényképek kerülnek nyilvánosságra.
Az adathordozók védelmére vonatkozó eljárásrend kialakítása azonban nem az egyetlen feladat. Az önkormányzatoknak gondoskodniuk kell például az informatikai események naplózásáról, a naplóbejegyzések megőrzéséről és védelméről is. Schulmann Péter, az L Tender Consulting információbiztonsági szakembere szerint nehézség, hogy a hivatalok sokszor nem rendelkeznek korszerű hardverekkel és szoftverekkel, az informatikáért felelős munkatársaiknak pedig inkább üzemeltetési, mintsem tervezési ismereteik vannak. Az előírt követelmények teljesítéséhez ezért egyaránt szükséges pénzügyi erőforrások bevonása és a tudás bővítése is.
