Hasła i właściwe uwierzytelnienie użytkownika są kluczowymi środkami bezpieczeństwa w przypadku systemów IT. Jeśli system zawiera dane osobowe, niezbędne będzie także spełnienie wymogów RODO i wprowadzenie środków bezpieczeństwa adekwatnych do ryzyka. Jakie zabezpieczenia przed nieuprawnionym dostępem są wymagane przez RODO? Jak administrator powinien dobrać poziom zabezpieczeń? RODO a uwierzytelnianie użytkowników, czyli na co powinieneś zwrócić uwagę?
RODO a uwierzytelnianie użytkowników
Zgodnie z RODO dane osobowe muszą być przetwarzane w sposób zapewniający odpowiednie bezpieczeństwo, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych.
Uwzględniając stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze, administrator powinien wdrożyć odpowiednie środki techniczne i organizacyjne, aby zapewnić stopień bezpieczeństwa odpowiadający temu ryzyku.
Oceniając, czy stopień bezpieczeństwa jest odpowiedni, uwzględnia się w szczególności ryzyko wiążące się z przetwarzaniem, w szczególności wynikające z przypadkowego lub niezgodnego z prawem zniszczenia, utraty, modyfikacji, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub przetwarzanych w inny sposób.
Zgodnie z motywem 83 w celu zachowania bezpieczeństwa i zapobiegania przetwarzaniu niezgodnemu z niniejszym rozporządzeniem administrator lub podmiot przetwarzający powinni oszacować ryzyko właściwe dla przetwarzania oraz wdrożyć środki minimalizujące to ryzyko. Takie środki powinny zapewnić odpowiedni poziom bezpieczeństwa, w tym poufność, oraz uwzględniać stan wiedzy technicznej, a także koszty ich wdrożenia w stosunku do ryzyka i charakteru danych osobowych podlegających ochronie.
Oceniając ryzyko w zakresie bezpieczeństwa danych, należy wziąć pod uwagę ryzyko związane z przetwarzaniem danych osobowych – takie jak przypadkowe lub niezgodne z prawem zniszczenie, utracenie, zmodyfikowanie, nieuprawnione ujawnienie lub nieuprawniony dostęp do danych osobowych przesyłanych, przechowywanych lub przetwarzanych w inny sposób – i mogące w szczególności prowadzić do uszczerbku fizycznego, szkód majątkowych lub niemajątkowych.
Bezpieczeństwo i poufność danych osobowych w świetle orzecznictwa
Wojewódzki Sąd Administracyjny w Warszawie w wyroku z 3 września 2020 roku (sygn. II SA/Wa 2559/19) słusznie wskazał, że: „Rozporządzenie 2016/679 wprowadziło podejście, w którym zarządzanie ryzykiem jest fundamentem działań związanych z ochroną danych osobowych i ma charakter ciągłego procesu. Podmioty przetwarzające dane osobowe zobligowane są nie tylko do zapewnienia zgodności z wytycznymi ww. rozporządzenia poprzez jednorazowe wdrożenie organizacyjnych i technicznych środków bezpieczeństwa, ale również do zapewnienia ciągłości monitorowania poziomu zagrożeń oraz zapewnienia rozliczalności w zakresie poziomu oraz adekwatności wprowadzonych zabezpieczeń. Oznacza to, że koniecznością staje się możliwość udowodnienia przed organem nadzorczym, że wprowadzone rozwiązania, mające na celu zapewnienie bezpieczeństwa danych osobowych, są adekwatne do poziomu ryzyka, jak również uwzględniają charakter danej organizacji oraz wykorzystywanych mechanizmów przetwarzania danych osobowych. Administrator samodzielnie ma przeprowadzić szczegółową analizę prowadzonych procesów przetwarzania danych i dokonać oceny ryzyka, a następnie zastosować takie środki i procedury, które będą adekwatne do oszacowanego ryzyka. Konsekwencją takiej orientacji jest rezygnacja z list wymagań, w zakresie bezpieczeństwa narzuconych przez prawodawcę, na rzecz samodzielnego doboru zabezpieczeń w oparciu o analizę zagrożeń. Administratorom nie wskazuje się konkretnych środków i procedur w zakresie bezpieczeństwa. Administrator samodzielnie ma przeprowadzić szczegółową analizę prowadzonych procesów przetwarzania danych i dokonać oceny ryzyka, a następnie zastosować takie środki i procedury, które będą adekwatne do oszacowanego ryzyka”.
Warto mieć także na uwadze stanowisko WSA w wyroku z 26 sierpnia 2020 roku (sygn. II SA/Wa 2826/19), zgodnie z którym „czynności o charakterze techniczno-organizacyjnym leżą w gestii administratora danych osobowych, ale nie mogą być dobierane w sposób całkowicie swobodny i dobrowolny, bez uwzględnienia stopnia ryzyka oraz charakteru chronionych danych osobowych”.
Zgodnie z wyrokiem Wojewódzkiego Sądu Administracyjnego w Warszawie z 3 września 2020 roku (II SA/Wa 2559/19): „[…] organ miał podstawy przyjąć, że przyczyną uzyskania nieuprawnionego dostępu do panelu pracownika był nieskuteczny środek uwierzytelniania, którym był wyłącznie login i hasło. M. niewystarczająco oceniło zdolność do ciągłego zapewnienia poufności i nie uwzględniło ryzyka związanego z uzyskaniem nieuprawnionego dostępu do panelu pracownika. Dokonywanie przeglądów i aktualizacja wdrożonych rozwiązań jest również wymogiem sformułowanym wprost w art. 24 ust. 1 zd. 2 rozporządzenia 2016/679, a także wynikającym z art. 25 ust. 1, który nakłada na administratora zobowiązanie do wdrożenia odpowiednich środków technicznych zarówno w fazie określania sposobów przetwarzania, jak i w fazie samego przetwarzania. […] To administrator danych jest zobowiązany do weryfikacji zarówno doboru, jak i poziomu skuteczności stosowanych środków technicznych i organizacyjnych. Kompleksowość tej weryfikacji powinna być oceniana przez pryzmat adekwatności do ryzyk oraz proporcjonalności w stosunku do stanu wiedzy technicznej, kosztów wdrażania oraz charakteru, zakresu, kontekstu i celów przetwarzania”. W powyższej sprawie organ nadzoru stał na stanowisku, że: „[…] kontrola dostępu i uwierzytelnianie to podstawowe środki bezpieczeństwa mające na celu ochronę przed nieautoryzowanym dostępem do systemu informatycznego wykorzystywanego do przetwarzania danych osobowych. Zapewnienie dostępu uprawnionym użytkownikom i zapobieganie nieuprawnionemu dostępowi do systemów i usług to jeden z wzorcowych elementów bezpieczeństwa, na który wskazuje m.in. norma PN-EN ISO/IEC 27001:2017-06”.
RODO a uwierzytelnianie użytkowników - rekomendacje CERT Polska CSIRT NASK
Zespół CERT Polska wraz z CSIRT NASK zajmuje się m.in. monitorowaniem zagrożeń cyberbezpieczeństwa i incydentów na poziomie krajowym, przekazywaniem informacji dotyczących incydentów i ryzyk podmiotom krajowego systemu cyberbezpieczeństwa, prowadzeniem zaawansowanej analizy złośliwego oprogramowania oraz analizy podatności, monitorowaniem wskaźników zagrożeń cyberbezpieczeństwa, rozwijaniem narzędzi i metod do wykrywania i zwalczania zagrożeń cyberbezpieczeństwa oraz prowadzeniem działań z zakresu budowania świadomości w obszarze cyberbezpieczeństwa.
W ramach działalności badawczej i budowania świadomości w obszarze bezpieczeństwa Zespół CERT Polska publikuje rekomendacje dotyczące uwierzytelniania i haseł. Jakie reguły powinniśmy wdrożyć według CERT, aby hasła były bezpieczne?
Powinniśmy m.in. przechowywać hasła w sposób bezpieczny, a zatem zahashowany. Nie powinniśmy ustawiać haseł słabych lub używanych często, popularnych – listy często używanych haseł publikowane są przez CERT i inne instytucje. Hasłem słabym, łatwym do złamania jest np. hasło, które zawiera lub nawiązuje do nazwy firmy, imienia i nazwiska lub innych publicznych informacji o właścicielu.
CERT zaleca ponadto uwierzytelnienie dwuskładnikowe i korzystanie z menedżera haseł.
Minimalna liczba znaków według rekomendacji Zespołu CERT Polska to 12 znaków.
Przykład 1.
CERT na swojej stronie internetowej informuje, że hasła takie jak „Galwaniczny123$” czy „admin.1admin.1admin.1admin.1” są tzw. pozornie silnymi hasłami. Zdaniem CERT są to hasła niedostatecznie silne, aby oprzeć się atakowi w razie wycieku bazy danych, nawet gdy są zabezpieczone. Hasła te zostały złamane w czasie poniżej 5 minut.
Rekomendacje UODO dotyczące uwierzytelniania
Specjaliści IT security na stronach UODO rekomendują m.in. by nie wymuszać zbyt często w ramach polityki bezpieczeństwa cyklicznej zmiany haseł. Obowiązujące do niedawna przepisy zobowiązywały do zmiany haseł co 30 dni. Obecnie przepisy te zostały uchylone, a standard zmiany haseł z tą częstotliwością nie obowiązuje. Zgodnie z normą ISO 27001 hasło powinno być natomiast zmieniane co 90 dni.
Hasła powinny być zmieniane w każdym przypadku, gdy zaistnieje podejrzenie ich wycieku lub złamania zabezpieczeń.
Zgodnie z rekomendacjami specjalistów UODO zmiana powinna być ponadto dokonywana starannie i rozsądnie, a kolejne hasła powinny być różne od poprzednich, unikatowe.