Miért keringett az ICO a LastPass körül
A LastPass Egyesült Királyság adatvédelmi hatóság (ICO) vizsgálatát is kapott a breachen kívül. A végső bírság 1,2 millió font volt – ami, bár csekélyebb, mint a kkv-k számára becsülhető kár, rámutat a hibás „titkosítási" állítások szabályozói következményeire.
Az ICO megállapítása azt is tartalmazta, hogy a LastPass marketing állításai félrevezetőek voltak a biztonsági garanciák tekintetében.
Az öt zéró tudású hamis állítás
1. hamis állítás: „Az adatait titkosítjuk"
Mit valójában jelent: A szervereiken titkosítva van. De tartják a kulcsot.
Teszt: Kérje meg a szállítót, hogy magyarázza el, ki tartja a titkosítási kulcsokat. Ha a szállító bármilyen körülmény között vissza tudja fejteni az adatait – még a hatóságok kérésére is –, ez nem zéró tudás.
2. hamis állítás: „Nem tudjuk olvasni az adatait"
Mit valójában jelent: Általában nem akarják olvasni. Technikailag képesek.
Teszt: Kérje meg őket, hogy mutassák be, milyen technológia akadályozza meg az olvasást, ha akarnák. A kulcsoktól való szeparáció technológiai – nem szándékbeli.
3. hamis állítás: „End-to-end titkosítást (E2E) használunk"
Mit valójában jelent: Különbözik a valódi zéró tudástól. Az E2E azt jelenti, hogy a szállító nem lát közbülső szintű adatokat – de az E2E nem akadályozza meg szükségszerűen a végponti adatokhoz való hozzáférést.
Teszt: Kérdezze meg, hogy az E2E titkosítás azt jelenti-e, hogy a szállítónak nincs hozzáférése a visszafejtési kulcsokhoz.
4. hamis állítás: „GDPR-kompatibilis"
Mit valójában jelent: Megfelelnek a GDPR minimális követelményeinek. Ez nem jelenti azt, hogy zéró tudású.
Teszt: A GDPR-megfelelőség megköveteli az adatok védelmét. Nem határozza meg, hogy a szállítónak hozzáférés-mentesnek kell-e lennie.
5. hamis állítás: „ISO 27001 tanúsítvánnyal rendelkezünk"
Mit valójában jelent: Megbízható kulcskezelési folyamatuk van. Ez kulcsalapú, nem zéró tudású.
Teszt: Az ISO 27001 megköveteli a kulcskezelési kontrollokat – nem tiltja a szállítói kulcstartást.
Az értékelési ellenőrző lista
| Kérdés | Elvárás |
|---|---|
| Ki generálja a titkosítási kulcsokat? | Az ügyfél eszközén |
| Hol tárolódnak a kulcsok? | Kizárólag az ügyfél oldalán |
| Tud a szállító hozzáférni a kulcsokhoz? | Nem – architekturálisan |
| Mi történik egy bírósági idézésnél? | Semmit sem adnak át (nincs mit) |
| Harmadik fél által auditálták? | Igen, elérhető audit-jelentéssel |
| A titkosítás helyi? | Igen, ügyféloldali |
Az anonym.legal valódi zéró tudású megközelítése
Az anonym.legal a következőket teszi eleget:
- Ügyféloldali kulcsgenerálás: A titkosítási kulcsokat az Ön eszközén hozzák létre
- Nincs szerver-oldali kulcshozzáférés: Szervereink sose látják a visszafejtési kulcsokat
- Architekturális szeparáció: Kényszer esetén sem adhatunk át kulcsokat
- Harmadik fél auditorok: Részletes biztonsági audit nyilvánosságra hozva
Következtetés
A LastPass eset a „titkosítjuk az Ön adatait" marketing és a valódi zéró tudású biztonsági garantiák közötti különbséget bizonyítja.
Mielőtt bármely szállítóra bíz érzékeny adatokat, alkalmazza az értékelési ellenőrző listát. Kérje az audit-jelentéseket. Kérdezze meg architekturálisan, ki tartja a kulcsokat.