data security

Angol

Főnév

data security (tsz. data securities)

(informatika) adatbiztonság

Az adatbiztonság a digitális korban kulcsfontosságú fogalom, hiszen adataink soha nem voltak még ilyen mennyiségben, ilyen gyorsan mozgásban, ennyire központi szerepben az élet minden területén — legyen szó üzletről, államigazgatásról, egészségügyről vagy magánéletről.

Az adatbiztonság célja, hogy védje az adatokat a jogosulatlan hozzáféréstől, módosítástól, megsemmisüléstől, sérüléstől vagy ellopástól, függetlenül attól, hogy az adat éppen mozgásban van (in transit), feldolgozás alatt áll (in use), vagy tárolva van (at rest).

Miért fontos?

A 21. században az adat az új olaj. Az adat alapú döntéshozatal, a személyre szabott szolgáltatások, a mesterséges intelligencia mind az adatokból élnek. Azonban, ha az adatokat ellopják, manipulálják vagy tönkreteszik, annak súlyos pénzügyi, reputációs és jogi következményei lehetnek.

Példák a kockázatokra:

ügyféladatok ellopása → GDPR büntetés, bizalomvesztés
szellemi tulajdon kiszivárgása → versenyhátrány
egészségügyi adatok manipulálása → betegbiztonsági kockázat
zsarolóvírusok → szolgáltatás leállás, váltságdíj kifizetése

Az adatbiztonság fő céljai (CIA-triád)

Az adatbiztonság három pilléren nyugszik, az ún. CIA-triádon:

Confidentiality (Bizalmasság) — Csak az arra jogosultak férhetnek hozzá az adathoz.
- Példa: hitelkártyaadatok titkosítása.
Integrity (Sértetlenség) — Az adatok pontossága, teljessége megmarad, nem változik jogosulatlanul.
- Példa: tranzakciós napló hitelesítése.
Availability (Rendelkezésre állás) — Az arra jogosult felhasználók akkor férhetnek hozzá az adathoz, amikor szükségük van rá.
- Példa: szerverek redundáns kiépítése DDoS-támadások ellen.

Főbb fenyegetések

Külső fenyegetések

Hackerek, APT (Advanced Persistent Threat) csoportok
Zsarolóvírus (ransomware)
Adathalászat (phishing)
Szolgáltatásmegtagadás (DDoS)

Belső fenyegetések

Rosszindulatú alkalmazott
Véletlen adatvesztés (pl. helytelen törlés)
Gyenge jelszóhasználat
Nem frissített rendszerek

Fizikai fenyegetések

Természeti katasztrófa
Lopás (pl. laptop)
Tűz, vízkár

Adatbiztonsági technikák

1. Titkosítás (Encryption)

A titkosítás során az adatot átalakítjuk egy olyan formába, amelyet csak a megfelelő kulccsal lehet visszaállítani eredeti formájába.

Típusai:

At rest encryption — merevlemezen, adatbázisban tárolt adatok titkosítása.
In transit encryption — pl. HTTPS protokoll (TLS) az adatok hálózaton keresztül történő továbbításakor.
End-to-end encryption — csak a küldő és a fogadó fél tudja visszafejteni (pl. Signal, WhatsApp).

Algoritmusok:

AES (Advanced Encryption Standard)
RSA
ECC (Elliptic Curve Cryptography)

2. Hozzáférés-szabályozás (Access control)

Meghatározza, hogy ki férhet hozzá az adatokhoz.

Szintek:

Fizikai hozzáférés — pl. adatközpontba való belépés korlátozása.
Logikai hozzáférés — rendszerjogosultságok (user, admin).
RBAC (Role-Based Access Control) — szerepkör alapú hozzáférés.

Technológiák:

Multi-factor authentication (MFA)
Single Sign-On (SSO)
Identity and Access Management (IAM)

3. Adatmaszkolás (Data masking)

Az adatok módosítása úgy, hogy az eredeti érték ne legyen visszafejthető tesztkörnyezetben, miközben a formátum megmarad.

Példa:

Bankkártyaszám → 1234 **** **** 5678

4. Adatvesztés megelőzés (Data Loss Prevention - DLP)

Technológiai megoldások, amelyek megakadályozzák, hogy az adatok kiszivárogjanak a vállalat határain kívülre.

Módszerek:

E-mail szkennelés mellékletekben érzékeny adatok után.
USB-meghajtók blokkolása.
Felhőalapú DLP megoldások.

5. Audit és naplózás (Logging & Auditing)

Ki, mikor, milyen adathoz fért hozzá?
Milyen változtatásokat hajtott végre?

Audit trail biztosítása a jogszabályi megfelelés (pl. GDPR, HIPAA, SOX) érdekében.

6. Mentések (Backups)

Rendszeres mentés verziózással.
Legalább 3 példány: 2 különböző médián, 1 offline/offsite.
Visszaállítási gyakorlatok (disaster recovery drills).

Szabványok és jogszabályok

GDPR (EU Általános Adatvédelmi Rendelet)
CCPA (California Consumer Privacy Act)
HIPAA (egészségügyi adatok az USA-ban)
PCI DSS (fizetési kártya ipari szabvány)

Ezek a szabályozások szigorú követelményeket írnak elő:

adattitkosítás
auditálás
incidenskezelés
adathozzáférési jogok biztosítása

Adatbiztonság vs. adatvédelem

Adatbiztonság: technikai és szervezeti intézkedések az adatok védelmére.
Adatvédelem (Data privacy): az adatok felhasználásának jogszerűsége — ki gyűjtheti, mire használhatja, mennyi ideig tarthatja meg.

→ Egyik nem helyettesíti a másikat, de együtt szükségesek.

Jövőbeni trendek

Zero trust architecture — soha nem bízunk meg vakon egyetlen hálózati zónában sem.
AI alapú adatvédelmi eszközök — anomália detektálás.
Homomorfikus titkosítás — titkosított adatok feldolgozása anélkül, hogy visszafejtenénk azokat.
Confidential computing — hardveres támogatású biztonságos feldolgozó környezet.

Legjobb gyakorlatok

Adatinventarizáció — tudni kell, hol vannak az adatok.
Rendszeres kockázatelemzés.
Legkisebb jogosultság elve (principle of least privilege).
Rendszeres sebezhetőségi vizsgálatok (vulnerability scanning).
Biztonságtudatossági tréningek a munkavállalóknak.

Összegzés

Az adatbiztonság ma már minden szervezet alapvető kötelessége. Egyetlen szektor sem mentes a kibertámadásoktól vagy a gondatlan adathasználat következményeitől.

A technológiai védelem (titkosítás, hozzáférés-szabályozás) mellett elengedhetetlen az emberi tényező (képzés, tudatosság), a szabályozási megfelelés, valamint a proaktív védekezési stratégia kialakítása is.

Ahogy az adatok értéke nő, úgy a rájuk leselkedő fenyegetések is egyre kifinomultabbá válnak — a jövő sikeres szervezetei azok lesznek, amelyek képesek beépített adatbiztonsággal (security by design) működni.

További információk

data security - Szótár.net (en-hu)
data security - Sztaki (en-hu)
data security - Merriam–Webster
data security - Cambridge
data security - WordNet
data security - Яндекс (en-ru)
data security - Google (en-hu)
data security - Wikidata
data security - Wikipédia (angol)