GDPR

Adatvédelem mindenkinek / Data protection for everyone

Az 5G technológia hatása az adatvédelemre

2020. május 18. 09:30 - poklaszlo

A spanyol adatvédelmi hatóság rövid áttenkintése a témában

Az elmúlt időszakban egyre többet olvashatunk, hallhatunk az ún.  ötödik generációs (5G) mobiltechnológiára épülő megoldások megjelenéséről, a kereskedelmi 5G szolgáltatások elindulásáról. Magyarországon a közelmúltban hirdetett eredményt a Nemzeti Média- és Hírközlési Hatóság (NMHH) az 5G-re is használható frekvenciákért megtartott árverésén.   

Az 5G technológia előnyeként különösen azt szokás kiemelni, hogy

  • jelentősen nagyobb a letöltési sebesség,
  • a válaszadási idő csökken,
  • egyszerre sokkal több kapcsolódó eszközt tud kezelni. 

A technológia térnyerése kapcsán számos adatvédelmi és adatbiztonsági kérdés is felmerül, amelyek áttekintésében nyújthat segítséget a spanyol adatvédelmi hatóság (AEPD) frissen (május 13-án) publikált rövid összefoglalója (a spanyol nyelvű verzió elérhető itt).

1. Az 5G legfontosabb újdonságai 

Az AEPD az alábbi főbb újdonságokat emeli ki:

a) Virtualizáció (virtualization): A távközlési maghálózatot (core network) érintő, nem új, de az 5G-vel felerősödő trend az ún. virtualizáció. (A virtualizációról röviden és közérthetően lásd még pl. Mallász Judit: Úton az 5G felé.) Ez megkönnyíti az üzemeltető dolgát, akár távolról is könnyebben (adott esetben automatizáltan) be lehet avatkozni, ha probléma merül fel és szolgáltatások bevezetése esetén nagyobb rugalmasságot biztosít. 

A virtualizáció olyan megoldások alkalmazását jelenti, mint 

A maghálózat ún. hálózati szeletekre (network slices) történő felosztásának köszönhetően logikai hálózatok alakíthatók ki, saját hálózati funkciókkal és az egyes alkalmazások szükségleteinek megfelelő paraméterekkel, egyetlen fizikai távközlési infrastruktúrán. A csatlakozás az eszközgyártók vagy a szolgáltatást nyújtók által kezelhetők integrált SIM-ek (eSIM) révén és ezáltal a hálózat egy "szeletéhez" történik a csatlakozás, amely szintén a gyártó vagy a szolgáltató ellenőrzése alatt áll. A különböző virtuális szeletek önállóan működnek, ugyanakkor a hálózati funkción osztoznak, azaz nem teljesen izoláltak egymástól. Ez a működési modell - az alacsony késleltetés és a számos eszköz kapcsolódását biztosító technológiai sajátosságok mellett - elősegíti az IoT megoldások és a mesterséges intelligencián alapuló megoldások együttes alkalmazását is. (A GSMA 2018. áprilisi "Network Slicing - Use Case Requirements" anyaga érdekes részleteket és lehetséges üzleti használati esetet is bemutat.)

(Az 5G hálózatok architektúrája kapcsán lásd még: Cinkler Tibor, Simon Csaba, Szabó Örs, Székely Sándor, Jakab Csaba: 5G hálózatok architektúrája, Híradástechnika, LXXI. ÉVFOLYAM, 2016, 40-46. o., illetve a BME Hálózati Rendszerek és Szolgáltatások Tanszék jegyzetét (részlet), Gódor Győző, Dr. Jakó Zoltán, Knapp Ádám: Mobil kommunikációs hálózatok, 2018.11.28.)

b) Peremhálózati számítástechnika (edge computing):Multi-Access Edge Computing (többszörös hozzáférésű peremhálózati számítástechnika, MEC) az egyik legfontosabb változás az 5G technológia kapcsán. A MEC lehetővé teszi az alkalmazások elosztását az 5G hozzáférési hálózatokban. Az edge computing ugyanis kulcsszerepet játszik abban, hogy az alacsony késleltetés és a sávszélesség-hatékonyság kihasználásának lehetősége biztosított legyen. Az adatok kezelése és feldolgozása a végpontokhoz közel történik meg. Ez pedig olyan alkalmazások működését és elterjedését teszi lehetővé, mint az önvezető autók, ipari automatizálás, kiterjesztett valóság, okos háztartások, távoli orvosi beavatkozások, stb. 

(Az ETSI munkaanyaga, "MEC in 5G networks" témában 2018. júniusában került kiadásra.)

c) Geolokáció: Az 5G technológiához alkalmazott frekvenciák sajátosságaira tekintettel sokkal sűrűbben kell elhelyezni hálózati elemeket, amelyekhez az eszközök csatlakozhatnak (a sűrűbben elhelyezett kültéri elemek mellett, beltéren is szükséges lesz csatlakozási pontok nagy számban történő kiépítése). A csatlakozási pontok jóval sűrűbb hálózatának köszönhetően sokkal pontosabb (akár 1m-es pontosságon belül), illetve akár 3D-s helymeghatározásra is sor kerülhet. Ez utat nyithat új, helymeghatározáson alapuló szolgáltatások kialakítása előtt.     

d) Biztonság: A biztonság terén a korábbi megoldásokhoz képest több ponton is előrelépést jelent az 5G technológia. Ezek között említhető: 

  • állandó felhasználói azonosító struktúra, illetve titkosított adatátvitel biztosítása, 
  • megerősített authentikációs mechanizmusok,
  • az adatok integritásának védelme,
  • a nem 3GPP-rendszerek felől is lehetővé teszi a hozzáférést, titkosított csatornán keresztül,
  • TLS titkosítás a maghálózaton belül a hálózati funkciók között,
  • nyomon követhetőség, amely a műveletek regisztrálását, és így a hálózatot érintő biztonsági auditok elvégzését is elősegíti. 

Ugyanakkor a különböző szereplők által választott megoldásoknak kiemelkedő jelentősége lesz a biztonság szintjében. A korábbi, 5G előtti protokollokkal való kompatibilitás szükségessége pedig eredményezhet sérülékenységeket. 

2. Az 5G-hez kapcsolódó adatvédelmi kockázatok

Az AEPD az alábbi adatvédelemmel kapcsolatos kockázatokat emeli ki az 5G technológia alkalmazásával összefüggésben (megjegyezve, hogy ezen kockázatok egy része nem új, de az új technológia alkalmazása mellett akár exponenciálisan növekedhetnek ezek a kockázatok):    

  • pontosabb helymeghatározás, 
  • profilalkotás és automatizált döntéshozatal: a hálózatra csatlakozó egyre több eszköz (IoT) és az ezeken keresztül gyűjtött adatok révén még kiterjedtebb profilalkotásra, még precízebb individualizációra és automatizált döntéshozatali megoldásokat alkalmazó szolgáltatások szélesebb körű kialakítására nyílhat lehetőség, 
  • a felelősség több szereplő között oszlik meg (gyártók, hálózat üzemeltetők, szolgáltatók): az 5G-re optimalizált új szolgáltatások kapcsán, a szolgáltatási láncban megjelenő szereplők száma jelentősen növekedhet, amely a felelősségi viszonyokat áttekinthetetlenebbé teheti, az egyes résztvevők felelőssége "felhígulhat", 
  • a különböző szereplők által követett adatvédelmi célok és érdekek különbözőek lehetnek: a szereplők számának a növekedésével különböző szempontok ütközhetnek, illetve az egyes szereplőkre különböző speciális szabályok vonatkozhatnak (beleértve azt is, hogy pl. a bűnüldözési célú adatkezelés kapcsán az arra feljogosított hatóságoknak hozzáférést kell biztosítani bizonyos hírközlési adatokhoz),
  • az egységes biztonsági modell hiánya: a sok szereplőnek köszönhetően a biztonsági megoldások és sztenderdek terén is nagyobb heterogenitásra kell számítani, ami azt eredményezheti, hogy a teljes hálózat tekintetében a biztonsági szint a leggyengébb láncszemhez igazodik, 
  • a kibertámadásokra nyitva álló "felület" exponenciálisan növekszik, 
  • a korábbi, de az 5G technológia mellett is tovább használt rendszerek adatvédelmi problémái továbbra is fennmaradnak és ezek a sérülékenységek az új szolgáltatásokat is érinteni fogják, 
  • a virtuális háttérből és a megosztott funkciókból eredő sérülékenységek: a meglévő problémák a hálózat különböző elemei, a "hálózati szeletek", illetve a megosztottan igénybe vett szolgáltatások között "öröklődnek",
  • a hálózat üzemeltetésének dinamikusabbá válása: a szoftveres megoldások révén a rendszer menedzselése rugalmasabbá válik, de stabilitási problémákat eredményezhet (pl. verziókövetés nehézsége, különböző érintett felek által elvégzett eltérő frissítések, "hátsó ajtók", stb.), 
  • a felhasználói kontroll lehetséges elvesztése: az adatok határokon átnyúló mozgása és a jogok gyakorlásával kapcsolatos nehézségek révén. 

3. Ajánlások a kockázatok kezelése érdekében

Az AEPD megállapítása szerint, mire az 5G technológia kellően érett fázisba jut, addigra az 5G - IoT - MI alkotta "trió" komoly kihívások elé állíthatja az adatvédelmi szabályoknak való megfelelést, az érintettek jogainak védelmét. A hálózat kialakítása, és a különböző eljárások, beállítások kialakítása döntő szerepet játszhat abban, hogy az adatvédelem és adatbiztonság milyen szintje érhető el a rendszer szintjén. Az adatvédelem olyan elvei, mint 

a beépített és alapértelmezett adatvédelem (privacy by design and by default)

különösen nagy jelentőséggel bírnak. Nem szabad azt sem szem elől téveszteni, hogy az 5G technológia működtetésében, különböző szerepekben számos szereplő jelenik meg, így a lánc minden pontján szükséges a megfelelő intézkedések megtétele. Erre is figyelemmel az AEPD az alábbi ajánlásokat fogalmazza meg:   

  • az érintettek tájékoztatásának különösen világosnak és egyértelműnek kell lenni (transzparencia) az 5G alapú új termékek és szolgáltatások kapcsán (különösen az adatkezelő személyére, az adatkezelés céljára, az automatizált döntéshozatalra, a profilalkotásra, illetve az érintetti jogok gyakorlására vonatkozóan),
  • az átláthatóságot és a nyomon követhetőséget biztosító megoldások beépítésére van szükség mind az eszközöknek az 5G szolgáltatásokhoz való csatlakozásakor, mind pedig amikor a megosztott adatkezelésre sor kerül, 
  • a különböző szerepeknek és az egyes szerepekhez kapcsolódó felelősségi köröknek a gondos meghatározása, valamint az egyes szereplők kötelezettségeinek a határait is pontosan definiálni kell (pl. fejlesztők, szolgáltatók, hálózat üzemeltetők, egyéb szereplők), megelőzendő azt, hogy az egyes szereplők felelőssége szerződéseken keresztül kerüljön áthárításra, 
  • a felhasználók számára adatvédelmi kontrollt biztosító eszközök kialakítása, beleértve a tőlük gyűjtött adatok és a szolgáltatások használata során keletkező adatok feletti kontrollt is, illetve az IoT keretében a hálózatra csatlakozó egyéb eszközök vonatkozásában is,
  • adattakarékossági intézkedések beépítése, különös tekintettel a helymeghatározási adatokra, amelyeket az alapértelmezett adatvédelem elvére is figyelemmel már a termékek és szolgáltatások fejlesztésének korai szakaszában érvényesíteni kell,
  • olyan intézkedések bevezetése, amelyek lehetővé teszik az adatok részekre, kategóriákra bontását, illetve segítenek elkerülni az adatok kiszivárgását a megosztott adatkezelések esetében a különböző eljárások, műveletek közötti átadás során
  • egységes biztonsági kritériumok alkalmazása a különböző hálózati szegmensek és a szolgáltatási láncban résztvevő szereplők között, a kockázatok kezelésének az 5G hálózatra, mint egészre kell kiterjednie, nem egy-egy szolgáltatásra vagy szereplő által végzett tevékenységre, 
  • titkosított kommunikáció biztosítása a végpontok között, valamint titkosítási megoldások kidolgozása a peremhálózati számítástechnikai (edge computing) modellben
  • az automatizált döntéshozatali megoldások GDPR szabályaihoz igazítása
  • megfelelő garanciák beépítse az adatok továbbítása kapcsán
  • független infrastruktúra és szolgáltatás audit, figyelemmel a GDPR által kialakított tanúsítási mechanizmusra is,
  • tapasztalatok gyűjtése és az olyan megoldások kerülése, amely korábban sérülékenynek bizonyultak.    

Az új technológiai megoldások kapcsán vélhetően az esetek jelentős részében szükséges lesz adatvédelmi hatásvizsgálatok végzése, illetve ha a maradványkockázatok még mindig magasak, akkor az adatvédelmi hatóságokkal való előzetes konzultációra (GDPR 36. cikk).   

A telekommunikációs adatok megőrzésére vonatkozó szabályok felülvizsgálatának szükségességét is felveti az AEPD, arra tekintettel, hogy a vonatkozó szabályok meghozatalához képest a technológiai fejlődés nagyon jelentős volt (a vonatkozó spanyol törvény 2007-ben került elfogadásra), így a kapcsolódó garanciákat is a megváltozott körülményekhez kellene igazítani. 

Az AEPD áttekintést nyújtó összefoglalója nagyon jó kiindulópont az adatvédelmi kihívások és kockázatok felmérése kapcsán, de számos további, részletekbe menő iránymutatás, vizsgálat és elemzés várható a közeljövőben az 5G technológia és az ezen alapuló termékek és szolgáltatások kapcsán. Az Európai Tanács 2019. decemberében, „Az 5G jelentősége az európai gazdaság számára és az 5G-hez kapcsolódó biztonsági kockázatok enyhítésének szükségessége” címmel következtetéseket fogadott el. A témában érdemes elolvasni az EU kiberbiztonsági ügynökségének (ENISA) a 2019. novemberi kiadványát, amely az 5G hálózatokat érintő fenyegetéseket vizsgálja. Az USA kiberbiztonsági ügynöksége az 5G-vel összefüggő kockázatokról 2019. júliusában adott ki egy összefoglalót. Továbbá az AEPD összefoglalója is több, további információkat tartalmazó hivatkozást tartalmaz. A konkrét alkalmazások tekintetében pedig szorosan kapcsolódik a fentiekhez az Európai Adatvédelmi Testület 1/2020. sz. iránymutatása (ennek véleményezési időszaka a közelmúltban zárult, számos érdekelt piaci és kormányzati szereplő is kifejtette véleményét; ezek elérhetők itt), amely a hálózatba kapcsolt gépjárművek és a mobilitással összefüggő alkalmazások adatvédelmi kérdéseivel foglalkozik.

Szólj hozzá!
Címkék: hírközlés iránymutatás helymeghatározás portfolioblogger NMHH HU adatvédelmi hatásvizsgálat Spanyol Hatóság beépített és alapértelmezett adatvédelem 5G technológia IoT megoldások

Ajánlott bejegyzések:

A bejegyzés trackback címe:

https://gdpr.blog.hu/api/trackback/id/tr215697598

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

Nincsenek hozzászólások.
süti beállítások módosítása