Data Protection Impact Assessment (DPIA) keretrendszer fejlesztése

Topics: Privacy, Risk management, Machine Learning

A 2018 májusában érvénybe lépő általános európai adatvédelmi rendelet (GDPR) [1] előírja, hogy a személyes adatokat kezelő cégeknek hatásanalízist (Data Protection Impact Assessment) kell készíteniük, amiben elemzik a személyes adatokat érhető magas kockázatú fenyegetettségeket (adatlopás, de-anonimizáció, inferencia, stb.) és azokat megfelelően kezelik (pl. adatok rejtjelezése, access control, felhasználók megfelelő informálása és beleegyezés kérése, anonimizáció, stb.) valamint ezek kockázatcsökkentő hatásának mérése. Ezt kérés esetén be kell tudni mutatni bármely európai adatvédelmi hivatalnak (magyarországon a NAIH [2]), máskülönben a cégnek súlyos bírságot kell fizetnie. A nagy igény ellenére olyan rendszer nem érhető el széles körben, ami támogatja a jogi és technikai megfelelőség vizsgálatát egyaránt.
A hallgató feladatai (hallgatónként 1-2 feladat választható):
- front-end fejlesztése egy, a CrySyS laborban fejlesztett keretrendszerhez (web-programozás)
- adat személyességének/érzékenységének mérése és implementációja
- jogi megfelelőségi teszt implementációja
- hatásanalízis automatizálása gépi tanulással (machine learning)
- egy létező keretrendszer magyarítása [3]
[1] GDPR
[2] NAIH honlapja
[3] CNIL DPIA tool

Maximum number of students: 3 students

Contact: Gergely Ács (CrySyS Lab)

Incentives in cybersecurity

Topics: Economics, Risk management

As evidenced in the last 10-15 years, cybersecurity is not a purely technical discipline. Decision-makers, whether sitting at security providers (IT companies), security demanders (everyone using IT) or the security industry, are mostly driven by economic incentives. Understanding these incentives are vital for designing systems that are secure in real-life scenarios [1].
The prospective student will identify a cybersecurity economics problem in the domain of risk management, cyber-warfare or sharing security-related information. The student will use elements of game theory and other domain-specific techniques and software tools to transform the problem into a model and to propose a solution.
Required skills: analytic thinking, good command of English
Preferred skills: basic knowledge of game theory, basic programming skills (e.g., python, matlab, NetLogo)
[1] Anderson, Ross, and Moore, Tyler. "The Economics of Information Security." Science 314.5799 (2006): 610-613.

Maximum number of students: 2 students

Contact: Gergely Biczók (CrySyS Lab)