2018.08.02.
Napjainkban egyre több információra van szükség akár az állam és a gazdaság működéséhez, akár a társadalmi tevékenységek tervezéséhez és szervezéséhez. A nagy tömegű információkezelésben növekedett az informatika jelentősége. De hogyan, milyen módszerekkel akadályozható meg, hogy illetéktelenek hozzájussanak bizalmas adatainkhoz?
Az adatvédelem a személyes adatok gyűjtésének, feldolgozásának és felhasználásának korlátozásával, az érintett személyek védelmével foglalkozik, vagyis nem magát az adatot védi, hanem a személyeket, akikkel az adatok összeköthetők. Mivel rengeteg szenzitív adat kering a virtuális térben, elengedhetetlen óvintézkedéseket tenni azok védelmében.
A titkosítás során az egyszerű szöveges információt rejtett kulccsá alakítjuk, ezzel megakadályozva kívülállók számára, hogy az adatok olvashatóak legyenek. A titkosításnak két célja van: egyfelől a tárolt információ megóvása, másfelől az információ áramlásának megvédése. Ez a kulcs tartalmazza a titkosítás folyamatát, vagyis, hogy milyen eljárással titkosítottuk az adatokat.
Az 1970-es években kifejlesztett, aszimmetrikus kulcsú titkosításként is emlegetett Nyilvános kulcsú titkosítás során két matematikai kulcsot használnak: egy nyilvánost és egy privátot. Az eljárás a visszafordíthatatlan matematikai eljárások ötletén alapszik. A titkosító és a megfejtő kulcsok egy-egy függvényt takarnak, amik egymás inverzei. A privát kulcs a tulajdonosánál marad, míg a másik publikus lesz. Az üzenetek kódolásához és dekódolásához mindkét kulcs használható, azonban minden kulcs csak egyszer. Vagyis az egyszer már használt kulcs nem tudja dekódolni az üzenet tartalmát. Ezt a matematikai algoritmust „egyszeri útra szóló” funkciónak is szokás nevezni. Ezek a kulcsok elegendő hosszúságúak ahhoz, hogy a legnagyobb és leggyorsabb ma létező számítógépnek is óriási energiába kerüljön az egyik kulcs visszafejtése a másikból.
A nyilvános kulcsú titkosítás eljárása során ugyan majdnem biztosak lehetünk abban, hogy üzenetünket harmadik fél értelmezni, illetve olvasni nem tudta, arra nincs garancia, hogy a küldő fél valóban az, akinek kiadja magát, mivel nincs ilyen jellegű azonosítás. Az üzenet sértetlenségének ellenőrizésére hozták létre az úgynevezett hash funkciót. Ez egy megadott számok sorozatából álló lánc. Lehet végtelenül egyszerű, 0-ákból és 1-esekből generált, vagy komplex, 128 bites titkosítású is. Ez az azonosító minden üzenetnél egyedi. A küldő fél hozza létre, a fogadó pedig ellenőrizheti annak helyességét. Ha a számsorozat egyezik, biztosak lehetünk benne, hogy a levél tartalma nem került módosításra.
A küldő felet azonosítandó, a levelet digitális aláírással látja el a feladó. A digitális aláírással ellátott nyilvános kulcsú titkosítás tulajdonképpen egy aláírással ellátott levél, ami az interneten keresztül továbbítható. A digitális aláírás majdnem megegyezik egy kézzel aláírt levéllel, viszont csak akkor hamisítható, ha titkos, aláírásra használt kulcsot valaki megszerzi. Ahogy az utóbbi is egy teljesen egyedi formula, úgy az előbbi is – kizárólag egyetlen ember tud ugyanazzal az aláírással rendelkezni. Ha ezt a digitális aláírást a hash kódolással együtt használják, még egyedibb azonosítót tudnak létrehozni, mint egy kézzel létrehozott aláírás. A kezdeti időkben ezen aláírások létrehozására szolgáló programok bonyolultak voltak, használatukat nehéz volt elsajátítani. Manapság számos kisebb cég foglalkozik ilyenek létrehozásával, amelyek internet-alapúak, így nincs szükség programok telepítésére a számítógépen, illetve megérteni a technológia pontos működését.
A kommunikációs csatornák ellenőrzésének egyik legismertebb és leghatékonyabb módja az SSL (Secure Sockets Layer) titkosítás TCP/IP kapcsolatokon keresztül. Amikor az ember adatokat fogad egy szerverről, ami ellenőrzött csatornán keresztül közvetít, az SSL titkosítást fog használni, hogy biztosítsa az adatok védelmét (ilyenkor az URL címben a HTTP felirat HTTPS-re változik). Ez tulajdonképpen olyan szerver-kliens kommunikáció védelmére szolgál, ahol dokumentumokat, tartalmakat töltenek le- és fel, online űrlapokat töltenek ki. Ilyenkor – például, amikor az ember megadja a kártyaszámát egy űrlapon keresztül egy internetes kifizetésénél – elengedhetetlen a megfelelő titkosítás.
A virtuális magánhálózat, vagyis a VPN (Virtual Private Network) egy számítógép hálózat fölött kiépített másik hálózat. A VPN-en keresztülmenő adatok az eredeti hálózaton nem láthatóak, mivel titkosított adatcsomagokba vannak becsomagolva. A titkosítás általánosan használt szolgáltatása a VPN-nek, de titkosítás nélkül is használható, a különböző adatfolyamok elkülönítésére, vagy a hálózat logikai felépítésének egyszerűsítésére. Nem ismeretlen a VPN a munka világában, gyakran használják ugyanis arra, hogy a munkatársak távolról hozzáférjenek a vállalatközpont hálózatához. Az interneten keresztül biztonságos alagút építhető ki a távdolgozó számítógépe és a vállalat központjában működő VPN forgalomirányító között.
Maguk a hálózatok is többféleképpen védhetők. Például tűzfallal, ami a rossz szándékú felhasználók és a kártékony szoftverek – például vírusok – kéretlen bejövő hálózati adatforgalom formájában végrehajtott támadásaival szemben nyújt védelmet a számítógépnek. A külső tűzfal részben elválasztja az internettől a teljes helyi hálózatot; a belső tűzfal a helyi hálózatnak egy különösen védendő részét zárja el annak többi részétől (így az internettől is).
A legkönnyebb és legolcsóbb módszer a védelemre egy antivírus program telepítése a támadások ellen. Ezek a programok képesek a beérkező e-mailek sértetlenségét is ellenőrizni, illetve már számítógépen lévő vírusokkal is elbánik. Mivel gyakorlatilag napról napra újabb kártevő programok jelennek meg, ezért szükség van ezen vírusírtók adatbázisainak rendszeres frissítésére: éppen ezért a prémium kategóriába tartozó programok adatbázisa óránként frissül.
Az adatvédelemnek jogi szabályozása is van. Az Európai Unió és az Európai Tanács által elfogadott GDPR (General Data Protection Regulation), vagyis az általános adatvédelmi rendelet 2016. május 24-én lépett hatályba és kétéves türelmi időszak után 2018. május 25-e óta kell alkalmazni. Az eddigi gyakorlattól eltérően a GDPR szigorúbb és minden tagország számára követendő. A szabályozás kiemeli, hogy csak olyan mennyiségű személyes adatot lehet kezelni, amely az adatkezelés céljához feltétlenül szükséges (tehát egy hírlevélre való feliratkozáshoz elég az email cím, esetleg a név – míg mondjuk az életkor vagy a lakcím csak speciális esetekben tárolandó).