Az Egyesült Királyság Cyber Security Resilience Bill törvénye: Mit jelent ez a VPN-adatvédelem szempontjából?

Az Egyesült Királyság kormánya bevezette a Cyber Security and Resilience Bill törvényjavaslatot, egy jelentős jogszabályt, amely az adatközpontokat alapvető közszolgáltatásokként sorolja át, és formális nemzeti kiberbiztonsági jelentési rendszer alá vonja őket. Bár a legtöbb elemzés a vállalati megfelelési kötelezettségekre összpontosít, a törvényjavaslat valós következményekkel jár mindenki számára, aki Egyesült Királyságbeli infrastruktúrán áthaladó VPN-szolgáltatást használ. Az adatvédelmet szem előtt tartó felhasználók számára a Cyber Security Resilience Bill adatvédelmi vonatkozásainak megértése már nem választható kérdés.

Mit követel valójában a Cyber Security and Resilience Bill az adatközpontoktól?

A törvényjavaslat lényegében kibővíti a meglévő Hálózati és Információs Rendszerekre (NIS) vonatkozó rendeletek hatályát. Az Egyesült Királyságban működő adatközpontoknak új alapszintű kiberbiztonsági előírásoknak kellene megfelelniük, és – ami döntő fontosságú – meghatározott határidőkön belül be kellene jelenteniük a jelentős incidenseket a szabályozó hatóságoknak. A kormány indoklása egyértelmű: az adatközpontok már nem passzív tárolóhelyek. Ezek alapozzák meg a banki, egészségügyi, kommunikációs és felhőszolgáltatásokat. Az, hogy közönséges kereskedelmi létesítményekként kezeljük őket, mindig is szabályozási hiányosság volt, amelyet a közelmúlt nagy visszhangot kiváltó adatvédelmi incidenseire tekintettel tovább nem lehetett figyelmen kívül hagyni.

A törvényjavaslat szélesebb körű vizsgálati jogköröket biztosít a szabályozó hatóságoknak, beleértve a műszaki információk bekérésének, a biztonsági gyakorlatok ellenőrzésének és végrehajtási intézkedések alkalmazásának jogát azokkal az üzemeltetőkkel szemben, akik nem teljesítik az elvárásokat. A nagy kereskedelmi adatközpontok számára ez azt jelenti, hogy a megfelelési csapatoknak minden incidenst az új bejelentési küszöbértékek alapján kell értékelniük. Kisebb üzemeltetők esetében a pluszterher jelentős lehet.

Amit a törvényjavaslat – legalábbis jelenlegi megfogalmazásában – nem tesz meg, az az, hogy kifejezetten foglalkozzon a kötelező közzétételek adatvédelmi következményeivel. Amikor egy adatközpont incidenst jelent be egy kormányzati szabályozó hatóságnak, a jelentés tartalmazhatja, hogy milyen adatok érintettek, mely bérlők voltak érintve, és milyen rendszerekhez fértek hozzá. Ez az információ egy kormányzati adatbázisba kerül, és a további megoszthatóságának feltételei még nem teljes mértékben meghatározottak.

Hogyan teremtenek új kockázatokat a kötelező bejelentési rendszerek az Egyesült Királyságbeli VPN-szerver-infrastruktúra számára?

Azok a VPN-szolgáltatók, amelyek az Egyesült Királyságbeli adatközpontokban bérelnek szerverterületet, e létesítmények bérlőinek minősülnek. Ők sem mentesülnek a bejelentési lánc alól. Ha egy VPN-szervereket üzemeltető adatközpontban bejelentési kötelezettséget kiváltó incidens következik be, az üzemeltetőnek be kell azt jelentenie. Ez a jelentés tartalmazhat részleteket arról, hogy az érintett infrastruktúrán mely szolgáltatások futottak, ezáltal betekintést nyújtva a VPN-szerver tevékenységébe, amely egyébként nem lenne hozzáférhető.

Az incidensek bejelentésén túl a törvényjavaslat kibővített vizsgálati jogkörei egy tartósabb kérdést vetnek fel: kényszeríthetik-e a szabályozó hatóságok az adatközpontokat arra, hogy egy vizsgálat során hozzáférést biztosítsanak a bérlői infrastruktúrához? A jogszabály információgyűjtésre vonatkozó szövege tág értelmezést tesz lehetővé, és a jogi értelmezések kialakításához időre lesz szükség az esetjog és a szabályozói iránymutatások révén.

A VPN-felhasználók számára a gyakorlati kockázat nem feltétlenül az, hogy egy kormányzati tisztviselő holnap elolvassa a böngészési előzményeiket. A kockázat strukturális jellegű. Egy olyan szabályozási keret, amely kritikus nemzeti infrastruktúrának tekinti az adatközpontokat, és kibővített hozzáférési és kötelező közzétételre vonatkozó jogkörökkel ruháza fel a hatóságokat, alapvetően kevésbé kedvező feltételeket teremt az anonimizált, adatvédelmet biztosító szolgáltatások számára, mint egy ilyen jogkörök nélküli keret.

A szerverek lefoglalása jelenti ennek a kockázatnak az élesebb dimenzióját. Az Egyesült Királyság bűnüldöző hatóságainak már most is megvannak a mechanizmusaik szerverek lefoglalására büntetőeljárás keretében. Az új törvényjavaslat nem bővíti közvetlenül ezeket a jogköröket, azonban az adatközpont-üzemeltetők és a kormányzati szabályozó hatóságok szorosabb kapcsolata átjárhatóbbá teszi a működési környezetet. Azok a szolgáltatók, amelyek nem vezettek be ellenőrzött, naplózásmentes architektúrát, ebben az összefüggésben fokozott kockázatnak vannak kitéve.

Az Egyesült Királyság kiberbiztonsági jogszabályai vs. GDPR és NIS2: Hogyan illeszkedik ez a globális szabályozási mintába?

Az Egyesült Királyság törvényjavaslata nem légüres térben született. A Brexit után az Egyesült Királyság megtartotta az EU eredeti NIS-irányelvéből levezetett NIS-rendeleteket, de az EU frissített NIS2 hatályba lépése előtt eltért azoktól. A NIS2 jelentősen kiszélesítette az érintett szervezetek kategóriáit, és szigorította az incidensek bejelentési határidejét az EU tagállamaiban. Az Egyesült Királyság Cyber Security and Resilience Billje részben a brit kormány válasza a NIS2-re, amely hasonló célokat követ egy belföldi jogalkotási eszközön keresztül.

Az adatvédelem szempontjából fontos különbség a joghatóság. A GDPR, amely az Egyesült Királyságban az UK GDPR formájában továbbra is érvényes, keretet biztosít az érintetti jogokhoz, és korlátokat szab a személyes adatok kezelésének és megosztásának. Az új kiberbiztonsági törvényjavaslat más szabályozási sávban mozog: az incidensek bejelentésére és a biztonsági helyzetre összpontosít, nem az érintetti jogokra. Az a kérdés, hogy ez a két keret hol kerül kölcsönhatásba egymással – és esetleg ütközik –, nyitott marad, amelyet a szabályozó hatóságoknak és a bíróságoknak kell majd rendezniük.

A joghatóságokat összehasonlító VPN-felhasználók számára ez az Egyesült Királyságot összetettebb helyzetbe hozza, mint öt évvel ezelőtt volt. Az ország megtartja a GDPR-ból levezetett védelmi intézkedéseket, ugyanakkor egy intervenciósabb kiberbiztonsági rendszert épít ki, amely közvetlen hozzáféréssel rendelkezik az infrastruktúra-réteghez.

Mit keressenek a VPN-felhasználók az Egyesült Királyság joghatóságával szembeni kitettség elkerülése érdekében?

A joghatóság az egyik leginkább figyelmen kívül hagyott tényező a VPN-szolgáltató kiválasztásakor, és a Cyber Security Resilience Bill adatvédelmi vonatkozásai a korábbinál is fontosabbá teszik. Néhány konkrét szempontot érdemes mérlegelni.

Először is: hol van a VPN-szolgáltató jogilag bejegyezve? Az Egyesült Királyságban székhellyel rendelkező vállalatra az Egyesült Királyság bűnüldöző hatóságainak megkeresései és szabályozási kötelezettségei vonatkoznak, függetlenül attól, hogy szerverei fizikailag hol találhatók. Egy olyan joghatóságban székhellyel rendelkező szolgáltató, amely az Egyesült Királyságon kívül és a Five Eyes hírszerzési megosztási szövetségen kívül esik, más jogi alaphelyzetből indul.

Másodszor: hol vannak a ténylegesen használt szerverek? Még egy nem egyesült királyságbeli szolgáltató is üzemeltethet szervereket az Egyesült Királyság adatközpontjaiban, amelyek mostantól az új bejelentési rendszer hatálya alá esnek. Azok a szolgáltatók, amelyek csak RAM-alapú szervereket kínálnak, vagy egyértelműen dokumentálják infrastruktúra-döntéseiket, több információt biztosítanak a felhasználóknak.

Harmadszor: a szolgáltató naplózásmentes szabályzatát független fél ellenőrizte-e? Az auditjelentések nem szüntetik meg a jogi kockázatot, de ténybeli alapot teremtenek a meglévő adatokra vonatkozóan. Egy olyan szolgáltatónak, amely semmit sem naplóz, nincs semmi lényeges, amit kötelező bejelentési forgatókönyvben közzé kellene tennie.

A svédországi székhelyű szolgáltatók például a svéd jog hatálya alatt működnek, amely saját, az Egyesült Királyság keretrendszerétől eltérő adatvédelmi védelmet nyújt. A 2009-ben alapított és Svédországban székhellyel rendelkező PrivateVPN egyike azoknak a szolgáltatóknak, amelyek joghatósága teljes mértékben kívül esik az Egyesült Királyság szabályozási hatókörén. Ez nem teszi immunissá minden jogi nyomással szemben, de azt jelenti, hogy az Egyesült Királyság hatóságai nem kényszeríthetnek ki közzétételt közvetlenül a belföldi jog alapján.

Mit jelent ez Önnek?

Az Egyesült Királyság Cyber Security and Resilience Billje hagyományos értelemben nem megfigyelési törvény. Elsősorban biztonsági és megfelelési intézkedés, amelynek célja a nemzeti infrastruktúra megerősítése. Azonban az általa megcélzott infrastruktúra magában foglalja azokat az adatközpontokat is, ahol a VPN-szerverek működnek, és az általa létrehozott kibővített bejelentési és vizsgálati jogkörök közvetett következményekkel járnak az adatvédelemre nézve.

Ha VPN-szolgáltatója Egyesült Királyságbeli adatközpontokban működtet szervereket, ezek a szerverek mostantól a korábbinál jobban szabályozott, a kormány számára átláthatóbb környezetben léteznek. Ha a szolgáltatója az Egyesült Királyságban is jogilag bejegyzett, a kitettsége tovább fokozódik.

Gyakorlati lépések, amelyeket most érdemes megtenni:

  • Tekintse át VPN-szolgáltatója szervereinek listáját, és ellenőrizze, hogy az Egyesült Királyságbeli szerverek szerepelnek-e az alapértelmezett kapcsolódási útvonalon.
  • Olvassa el a szolgáltató adatvédelmi szabályzatát, és keressen független auditokat a naplózásmentes követelésekre vonatkozóan.
  • Fontolja meg, hogy a szolgáltatója olyan joghatóságban van-e bejegyezve, amely erős adatvédelmi törvényekkel rendelkezik, és nincs közvetlen kitettsége az Egyesült Királyság szabályozási kényszerének.
  • Ha az Egyesült Királyság joghatósága aggodalmat kelt Önben, értékelje az Egyesült Királyságon és a Five Eyes tagállamokon kívül székhellyel rendelkező szolgáltatókat.

Az ehhez hasonló jogszabályok általában a bevezetésük után fejlődnek tovább. A jelenlegi törvényjavaslat átmegy a parlamenten, módosításokat kap, és a következő hónapok során szabályozói iránymutatásokat generál. A részletek alakulásának nyomon követése a leghatékonyabb dolog, amit az adatvédelmet szem előtt tartó felhasználók most tehetnek.