Kaderják Gyula Budapesti Gazdasági Főiskola PSZF kar

CRM RENDSZEREK ADATVÉDELMI KÉRDÉSEI

Kaderják Gyula Budapesti Gazdasági Főiskola PSZF kar

2010.08.25.

MAFIOK 2010

CRM – Customer Relationship Management Ügyfélkapcsolat menedzsment


„Az üzleti folyamat átszervezésére irányuló, a hatékonyságot és eredményességet növelő stratégia, aminek eredménye az elégedett és visszatérő vevő.” /Herdon M. 2003/




Egy racionálisabb, szervezettebb, informatívabb ügyfélnyilvántartáson, tranzakciószintű ügykezelésen alapuló külső-belső kommunikációs, illetve kapcsolati rendszer.




Újfajta üzleti szemléletmód, mely a rövid és hosszú távú üzleti célok megvalósítása érdekében a hagyományosan elterjedt termékközpontú megközelítés helyett alapvetően ügyfélközpontú megközelítést alkalmaz.

2010.08.25.

MAFIOK 2010

CRM adattárházak


A CRM adattárházak kincsesbányái a személyes / üzleti adatoknak.

Következmény:


Az olykor gigászi mennyiségű ügyfél-adat megszerzése és elemzése
jelentős versenyelőnnyel járhat,
viszonylag könnyű visszaélési lehetőség a megszerzett adatokkal.

2010.08.25.

MAFIOK 2010

Európai és hazai ITIT-körkép - 2010 Internethasználat célja

Európa

Magyarország

Hatósági információszerzés

40 - 89% (70%)

65%

Űrlapok letöltése hatóságoktól

38 - 92% (70%)

65%

Űrlapok küldése hatóságokhoz

15 - 85% (56%)

58%

Vásárlás interneten keresztül

5 - 54% (25%)

15%

Megrendelések fogadása

3 - 29% (12%)

6%

Számla küldése/fogadása

7 - 41% (23%)

7%

Bevétel e-kereskedelembő ől

1 - 10% (4%)

2,4%

41 - 96% (76%)

68%

ERP használat

4 - 30% (16%)

6%

CRM, ügyféladat-elemzés

6 - 28% (17%)

6%

E-kormányzat használat

Internethasználat célja a 10 főnél nagyobb vállalkozások körében - Forrás: Eurostat 2010.08.25.

MAFIOK 2010

A potenciális CRMCRM-felhasználók köre Iparágak

Múlt

Mező őg., bányászat és ingatlanfejlesztés Diszkrét termelés Folyamatos termelés Közmű űvek Kis- és nagykereskedelem Utazás és vendéglátás Logisztikai szolgáltatások Távközlés Pénzügyi szolgáltatások Egészségügy Oktatás Kormányzat Forrás: Stratis – Gartner, 2009 2010.08.25.

MAFIOK 2010

Jelen

Jövő ő

Informatikai adatvédelem szintjei és irányai Az informatikai adatvédelem célja az adatkárosodás és adatvesztés, illetve az illetéktelen adatelérés lehetőségének minimalizálása, egy gazdaságilag optimális szintig. Az informatikai adatvédelem fogalomkörébe tartozik minden olyan eszköz és módszer, amely ezt a célt szolgálja.

Az adatvédelem szintjei – az általános jogi szabályozás keretei között:


Fizikai - Fizikális védelmi megoldások
Algoritmusos - Rendszeren belüli szoftveres megoldások
Ügyviteli - Helyi szabályzatok

2010.08.25.

MAFIOK 2010

Informatikai adatvédelem irányai Adatkárosodás ellen

Illetéktelenség ellen

(Véletlen behatások)

(Szándékos behatások)


Természeti

behatások, elemi

csapások
Hardver és szoftver hibák
Emberi tévedések








Illetéktelen adatelérés / felhasználás Illetéktelen programhasználat Szándékos rongálás


a behatolás / lehallgatás ellen védekezünk, vagy
az adatok titkosításával igyekszünk ellehetetleníteni felhasználásukat.

2010.08.25.

MAFIOK 2010

Külső és belső támadások 1980-as évek

Napjaink

(Forrás: R. Courtney, IBM)

Becsült adat

20%

80%

Az elégedetlen / erkölcstelen alkalmazottak visszaélése révén elkövetett sikeres támadások (belső) Ezért: Minden védelmi rendszer kialakításakor kikerülhetetlen a külső és belső támadások komplex kezelése.

2010.08.25.

MAFIOK 2010

Ügyfél--szolgáltató viszony Ügyfél


Az ügyfelek számára nem a biztonság az elsődleges szempont! Igazolt, hogy a különböző pénzintézetek által biztosított azonos hálózati szolgáltatások használati penetrációja (pl. internetbank) semmilyen szinten nem korrelál a szolgáltatásokba épített biztonsági módszerek megbízhatóságával. (Forrás: PSZAF tanulmány, 2009)




Az ügyfelek IT-képzettsége alacsonyabb színvonalú és tág határok közt változatos.




Az ügyfelek erőforrás lehetőségei jóval alulmúlják a szolgáltató lehetőségeit.




Az ügyféloldali biztonság növelése alapvetően a szolgáltató érdeke és feladata.




Az illetéktelenségi kísérletek jellemzően ügyféloldalon jelentkeznek.

2010.08.25.

MAFIOK 2010

Számítógépes bűnözés Célpont:

Minden szektor, ahol értékes és könnyen értékesíthető ügyféladat-vagyon található.

Jellemzők: Bűnszövetkezetek, e-piacterek, CaaS (Crime as a Service) Az e-crime jellemző formái:


Adathalászat (értékes és könnyen értékesíthető adattárház vagyon – jellemzően ügyféladat-állomány – megszerzése)




Személyiség lopás (identity theft)




Közszolgáltatások elleni támadások




Kritikus hálózati elemek és infrastruktúra elleni támadások




Malware-ek és grayware-ek számának intenzív növekedése

2010.08.25.

MAFIOK 2010

A külső támadások eszközei Malware-ek (kárt okozó illetéktelen kódok):


Vírusok (virus): Végrehajtható kódhoz csatlakozó kód. Önmagát sokszorosítja, de terjedni csak emberi segítséggel tud.




Férgek (worm): Olyan kód, mely önmagában hordozza a károkozó tartalmat. Önmagát sokszorosítja, emberi beavatkozás nélkül terjed (hálózaton).




Trójaiak (trojan): Egy végrehajtható kódhoz csatlakozó kód, mely hasznos funkcionalitást hitet el magáról. Önmagát nem sokszorosítja. Általában más rosszindulatú kóddal terjed.

Grayware-ek (kárt nem okozó illetéktelen kódok)


Adware-ek: Agresszív hirdetések, reklámok.




Spam-ek: Kéretlen e-mail-ek., …

2010.08.25.

MAFIOK 2010

Jellemző támadási típusok (1) Adathalászat (phising) Célja e-mail-en és/vagy hamis weboldalakon keresztül személyes, többnyire banki tranzakciókhoz szükséges adatok megszerzése.

A legnépszerűbb támadási célpontok 2008 2.negegydévében az ipari szektorban Forrás: Phishing Activity Trends Report Q2/2008/ AntiPhishing Working Group

A VeriSign.com riportja szerint az elmúlt évben 57 millió Internet felhasználót ért phishing támadás ! 2010.08.25.

MAFIOK 2010

Jellemző támadási típusok (2) Kémkedés (spyware programok) Célj: személyes adatok illetéktelen és észrevétlen megszerzése egy rendszerből, leginkább visszaélés, vagy szokáselemzés céljából.

Billentyűfigyelés (keylogger programok) Cél: a felhasználói billentyűleütések érzékelése révén azonosítók és jelszavak megszerzése, illetve a felhasználói tevékenység titkos naplózása .

Hátsó ajtók (backdoor programok) Cél: a felhasználó tudta nélkül hozzáférni és akár teljes kontroll alá vonni a felhasználói számítógépet.

Man-in-the-middle (MITM) támadások Cél: láthatatlanul beékelődni a felhasználó és a bank szervere közé, s így manipulálni az adatfolyamot.

Man-in-the-browser (MITB) támadások Cél: láthatatlanul beépülni a felhasználó böngészőjébe, a felhasználó által látott böngésző tartalom megváltoztatása érdekében.

2010.08.25.

MAFIOK 2010

Jellemző támadási típusok (3) DNS cache poisoning támadás Cél: IP-cím eltérítés csalás céljából.

Rootkit-ek Cél: a teljes ellenőrzés átvétele egy gép felett, szabaddá téve az utat bármilyen típusú további ártalmas program feltelepülésére.

Adatállományokba (dokumentumokba) rejtett károkozók:
GIFAR

támadás – GIF képbe rejtett ártalmas Java kód, amely a kép megnyitásakor aktiválódik.
Flash támadás – Adobe Flash állományokba rejtett kód, amely megbízható(nak tűnő) web-oldalakon keresztül fertőz.
PDF támadás – PDF állományban rejtőző, megnyitáskor aktiválódó kód.
Makrovírusok – MS Office dokumentumokba rejtett makro kód, amely a dokumentum megnyitáskor aktiválódik.

2010.08.25.

MAFIOK 2010

Veszélyben a CRM adattárházak !?


Ron Bowes kanadai biztonsági szakértő 100 millió felhasználóról gyűjtött össze közösségépítő portálokról publikus adatokat egy 2,8 GB méretű adatállományba, mely torrent oldalakra is felkerült. (Kristóf, 2010)




Sabina Datcu, a BitDefender kutatója kísérletképpen 250 ezer felhasználó érzékeny adatát (név, cím, e-mail cím, jelszavak) halászta le a Facebook-ról, melyeket elemzett is, és megállapította, hogy a megszerzett e-mail fiók adatok 87%-a érvényes, és felhasználásukkal be is lehetett jelentkezni a Facebook-ba. (Kristóf, 2010)




Az Intrepidus Group 2009-ben 69 ezer vállalati dolgozót vizsgált világszerte, s megállapította, hogy a felhasználók 23 százaléka fogékony a támadásokra jóhiszeműsége miatt. (Dojcsák 2009)




Az üzleti szoftvereket forgalmazó Salesforce.com céget, amely közel egymillió ondemand CRM ügyféladatot tartalmazó adatbázissal rendelkezik, 2007-ben phishing támadás érte. Legalább 500 ügyfél esett a támadás áldozatául az adatlopást követő adathalász akciónak, mivel a csalók e-mail üzeneteire válaszolva, jóhiszeműen kiszolgáltatták személyes adataikat. (The Washington Post 2007) (Az e-bay, PayPal, Bank of America is volt már phising célpont.)




Symantec kutatói fedezték fel, hogy több százezer felhasználó adatait lopta el egy trójai program a több mint másfél millió állásajánlatot tartalmazó Monster.com nevű Web oldalról. (Koman, 2007) 2010.08.25.

MAFIOK 2010

Az ee-bűnözés láthatatlan háttere Az elektronikus bűnelkövetések motivációi:


Egyéni érdek (általában közvetlen anyagi haszon)




Csoportérdek (vállalati, konzorciumi, nemzeti érdek) gazdasági, politikai, hatalmi előnyök megszerzéséért.
2000-ben nyilvánosságra került, egész világot behálózó nemzetközi műholdas lehallgató rendszer, az ECHELON létezése.
Google-botrány: a személységi jogok tömeges megsértése.
Honlap-tranzakciók naplózhatósága.
Beültethető mikrochipek terjedő alkalmazása.
Az egyén teljes körű személyes kontrolljának lehetősége.

2010.08.25.

MAFIOK 2010

A CRM rendszerek és az ee-bűnözés Mi történik az adataimmal? A CRM adattárházak sokszor gigászi, tranzakció szintű ügyfél-adatbázisok. A kötelező ügyfél-adatvédelmi nyilatkozatot kitöltő ügyfelek zömének fogalma sincs válaszai pontos következményeivel és adatai felhasználási körével.




Kinek a kezében vannak az adataim? A kiszervezett (web-es on-line, on-demand) CRM rendszerek esetén az ügyfél adatvédelmi nyilatkozatával kapcsolatban nagy fokú jogbizonytalanság áll fenn.




On-demand rendszerek esetén az ügyféladatok fizikailag is kikerülhetnek a szolgáltató szerverére, így azok védettségi foka csökken és bizonytalanná válik.




Mely hatóságok, mikor, milyen mértékben juthatnak kényszerítő erővel az adataimhoz? Hatósági kényszer (pl. utas listák kötelező kiadása nemzetbiztonsági szervnek) Rendezetlen a helyzet a különböző e-szolgáltatások, főként az e-közigazgatás terén is.




2010.08.25.

MAFIOK 2010

Összefoglalás Az illetéktelen adatelérés célja a személyes / üzleti adatokkal való visszaélés gazdasági, politikai, hatalmi előny biztosítása érdekében.





A CRM adattárházak kiemelten értékes célpontjai az e-bűnözésnek.

Az internetes technológiák gyors fejlődésével arányosan nő a személyes adatok kitettsége, a személyiségi jogok, a magánszféra megsértésének esélye. Ez a veszélyforrás nem küszöbölhető ki!
Minden CRM rendszer gyenge láncszeme az ügyféloldal.
Erőforrások hiánya, képzetlenség, túlzott jóhiszeműség.


Mi a megoldás? Az illetéktelenség elleni kiszolgáltatottságok gazdaságosan minimális szinten tartása és kontrollja az adatvédelem minden szintjén! Fő szempontok:
Up-to-date adatvédelmi megoldások alkalmazása
Szigorú jogkövetés és nemzetközi jogharmonizáció
Nemzetközi összefogás erősítése
Bérüzemeltetés illetve külső szerverek alkalmazása esetén törekvés a maximális megbízhatóságra.
Ügyfél-edukáció ! 2010.08.25.

MAFIOK 2010

Köszönöm a figyelmet !

2010.08.25.

MAFIOK 2010