ITexec

contact tracing.jpg
Forrás: ITB
IT-biztonság

A mobilos nyomkövetés dilemmái

Arra tisztán emlékszem, hogy esteledett, amikor hívott a cégvezető. Talán, ha egyszer beszéltünk korábban telefonon, kapcsolatunk nem volt szoros, se üzletileg, se emberileg. Fontos lehet, ha hív és ha most hív – gondoltam. Nem tévedtem. A fia nem jött időben haza, segítsem megtalálni, ezért hívott.

Régi a történet. Több mint 20 éve is lehet annak, hogy az informatikai vállalkozás tulajdonos-vezetője kétségbeesésében hozzám fordult. Azt remélte, hogy széleskörű ipari kapcsolataimnak köszönhetően én el tudom intézni, hogy az illetékes mobilszolgáltató most azonnal megmondja a cellainformációk alapján, merre jár, járhatott a gyermeke.

Mint apatárs, aki ugyancsak aggódott nem egyszer, amikor valamelyik csemetéje nem tért haza a megbeszélt időben, azonnal hívtam azt a vezetőt, akit a szóban forgó szolgáltatónál volt szerencsém személyesen ismerni, és akinek a hívőszámát is megtaláltam a mobiltelefonomban. Nem volt rövid a vele folytatott beszélgetés, viszont nem értem el, amit szerettem volna. A mobilszolgáltató felelős vezető munkatársa elmagyarázta, hogy milyen jogilag szigorúan szabályozott körülmények között tehetnék meg azt, amit az aggódó apa kér. Őszintén bevallom, már nem emlékszem, hogy akkoriban milyen reguláció vonatkozott az efféle esetekre, de arra tisztán emlékezem, hogy technikai, technológiai akadálya már akkor sem lett volna annak, hogy a szolgáltató megmondja, hol lehet, hol járt a gyermek telefonja.

Illenék elmondani, hogy végül is mi történt pákosztos gyermekkel, hogyan ért véget vagy éppen folytatódott az a történet, amelynek egyik fejezetébe belecsöppenteni, ám semmi ilyesmivel nem szolgálhatok – kikerültem a sztoriból. Ezt a torzó történetet, amelynek van eleje, közepe, de nincs vége, mostanában gyakran idézem föl magamban. A koronavírus elleni küzdelemben ugyanis európai kormányok egymással szinte versengve vezették be a mobiltelefonos technológiára alapuló nyomkövetést, amellyel gépi úton, emberi közreműködés nélkül válik ellenőrizhetővé az, hogy karanténjukat elhagyják-e azok, akik ezt nem tehetnék, és arra is használható, hogy kövesse, naplózza, ha nyilvántartott vírusfertőzöttel történik kontaktus.

Várható volt, hogy amint enyhül a járvány, megkezdődik annak elemzése, hogy mit is csináltunk jól és mit nem. A mobilos technológiára épített megoldásokról és intézkedésekről az IT-biztonsággal foglalatoskodók kezdenek mostanában vitatkozni, és e disputának érdekesek a B2B-s vonatkozásai.

Ízelítőül, íme, egy a sok közül.

Időről időre szükséges újra áttekinteni a BYOD (Bring Your Own Device), azaz a saját eszköz, például mobiltelefon vállalati környezetben való használatának kérdéseit. A koronavírus-járvány elleni küzdelem nézőpontjából most az merül fel, hogy miként is van az jogilag, ha a követett személy éppen a vállalat tulajdonában lévő mobiltelefonját használja, és az kerül a hatóságok kijelzőire. Ezt még úgy-ahogy el lehet viselni, feltéve, hogy a hatóságok betartják az adatvédelmi előírásokat, ám ha az alkalmazás célja a vírusfertőzöttekkel való kontaktálás jelzése, egy olyan veszély merül fel, amely nem a hatóságoktól függ. A jelenlegi megoldások a mobiltelefonok Bluetooth-os kommunikációs csatornáját használják a vírusfertőzött közelségének detektálására, e csatorna azonban – technológiai lényegét tekintve – inkább a rosszfiúk számára (egyelőre) nyitva hagyott ajtó, mint akadály a telefonok feltörésében.

Vannak szakértők, akik szerint a mobiltelefon fokozott védelméhez hozzátartozik, hogy a Bluetooth csatornát le kellene zárni, de ugyanők mindjárt hozzáteszik, hogy ez kevéssé életszerű, hiszen ez a kapcsolat szükséges a mobiltelefonhoz csatolt eszközökkel (okosórával, fejhallgatóval, gépjárművel stb.) való állandó kommunikációhoz. Vagyis arra is juthatunk, hogy a vírushordozóval való kontaktálás jelzésének megoldása nem jelent extra kockázatot – a csatorna sebezhetőségét a mindennapokban a hekkerek bármikor kihasználhatják, ha akarják.

Az mindenesetre felmerülhet az üzleti vállalkozások tulajdonában lévő mobiltelefon-flottákat működtető és egyben a BYOD-ot is engedélyező, menedzselő felelős informatikai vezetőkben, hogy – mind technológiai, mind szabályozási szempontból – elkerülhetetlen a mobileszközök használatának ismételt újragondolása az üzleti környezetükben.