Az adatvédelmi incidens egy jogi kategória, az adatszivárgás egy következmény vagy állapot, az adathalászat pedig egy támadási módszer. A három gyakran összefügg, de nem felcserélhető fogalom. Nézzük végig, mit jelentenek a gyakorlatban, és mikor melyik kifejezést érdemes használnod.
Adatvédelmi incidens jelentése és következményei
Adatvédelmi incidensről akkor beszélünk, amikor személyes adatok biztonsága sérül. Ide tartozik minden olyan eset, amikor a személyes adatok megsemmisülnek, elvesznek, jogosulatlanul megváltoznak, illetéktelenek számára hozzáférhetővé válnak vagy hozzájuk hozzáférnek. Tipikus példák: rossz e-mail címre küldött ügyfél-lista, feltört ügyfélfiók, hibásan beállított hozzáférések miatt nyilvánossá vált dokumentumok.
Ha egy cég életében ilyen történik, a belső incidenskezelési folyamat azonnal induljon: esemény rögzítése, kockázatértékelés, a hatás csökkentése (például jelszócsere, hozzáférések visszavonása), majd szükség esetén bejelentés az illetékes hatóság felé és értesítés az érintetteknek. A lényeg: az adatvédelmi incidens mindig személyes adatot érint, és formális kezelést igényel.
Adatszivárgás: amikor az információ kikerül
Adatszivárgás alatt azt értjük, amikor bizalmas információk – legyenek azok személyes adatok, üzleti titkok, szerződések, pénzügyi táblák vagy forráskód – kikerülnek a kontroll alól és illetéktelenekhez jutnak. Adatszivárgás történhet technikai hiba, emberi mulasztás vagy külső támadás miatt is.
Fontos különbség, hogy adatszivárgás nem csak személyes adatokat érinthet. Ha viszont a szivárgott információ személyes adat, akkor az adatszivárgás egyben adatvédelmi incidens is. Ha nem személyes adat (például egy termék-roadmap), akkor „csak” információbiztonsági incidens, de jogi és reputációs kockázata így is komoly lehet.
Adathalászat: a trükk, amivel rávesznek a hibára
Az adathalászat (phishing) egy social engineering módszer, amelynek célja, hogy rávegyen téged vagy a kollégáidat érzékeny adatok kiadására vagy egy fertőzött hivatkozás megnyitására. Formái lehetnek e-mailek, SMS-ek, telefonhívások vagy közösségi média üzenetek. Gyakran sürgető hangnemet, hamis bejelentkezési oldalakat és megtévesztő domainneveket használnak.
Az adathalászat önmagában még nem adatszivárgás és nem is adatvédelmi incidens; akkor válik azzá, ha a trükk sikeres, és ténylegesen adatok kerülnek ki, fiókokat törnek fel vagy rendszerekhez férnek hozzá.
Gyakorlati különbségek és összefüggések
- Mi ez pontosan? Adatvédelmi incidens: jogi kategória személyes adatokkal kapcsolatban.
Adatszivárgás: bizalmas információ kikerülése.
Adathalászat: megtévesztésen alapuló támadási technika. - Mi a kiváltó ok? Adatvédelmi incidens: lehet hiba, mulasztás vagy támadás.
Adatszivárgás: konfigurációs hiba, emberi tévedés, kártékony kód, külső támadás.
Adathalászat: célzott vagy tömeges manipuláció, hamis üzenetek és oldalak. - Mikor lesz belőle jogi ügy? Adatvédelmi incidens: ha személyes adat érintett, kötelező a formális kezelés és a dokumentálás, adott esetben hatósági bejelentés és érintetti tájékoztatás.
Adatszivárgás: személyes adat esetén ugyanaz, más típusú adatoknál belső szabályzat és szerződéses kötelezettségek dönthetnek.
Adathalászat: akkor kap jogi jelentőséget, ha sikeres és kár keletkezik vagy személyes adat szivárog. - Mit csinálj az első órában? Adatvédelmi incidens: elkülönítés, naplózás, kockázatértékelés, kommunikációs terv.
Adatszivárgás: a forrás lezárása, érintett rendszerek vizsgálata, további szivárgás megakadályozása.
Adathalászat: a kampány mintáinak begyűjtése, blokkolás, érintettek oktatása, jelszócsere és többfaktoros hitelesítés erősítése.
Ha személyes adat érintett, szinte biztos, hogy adatvédelmi incidensről beszélünk, amely formális lépéseket és dokumentálást igényel. Az adatszivárgás tágabb fogalom: minden bizalmas információ kikerülését lefedi, nem csak a személyesét. Az adathalászat pedig a kapu, amelyen keresztül a legtöbb incidens elindul – ezért a megelőzés kulcsa a tudatos felhasználó, a többfaktoros hitelesítés, a jogosultságok szigorú kezelése és a jól begyakorolt incidens-forgatókönyv.