GDPR Academy

Nedostatočná ochrana bezpečnostných hesiel

Dánsky úrad na ochranu osobných údajov kritizoval poskytovateľa IT systému za to, že neprijal dostatočné bezpečnostné opatrenia pre ochranu spracúvaných osobných údajov v zmysle všeobecného nariadenia o ochrane údajov.

Nedostatky na strane sprostredkovateľa

Poskytovateľ IT systému v tomto prípade vystupuje ako sprostredkovateľ, teda subjekt, ktorý spracúva osobné údaje v mene prevádzkovateľa či prevádzkovateľov. V prešetrovanom prípade sú nimi napríklad obce a poisťovne, ktoré uvedený IT systém využívajú. Jeho súčasťou sú jednak bežné osobné údaje (ako napríklad meno, adresa, e-mailová adresa, pracovná pozícia zamestnanca) a tiež citlivejšia skupina dát – tzv. osobitná kategóriu osobných údajov (napríklad informácie o zdravotnom stave, či iné osobné údaje podľa čl. 9 GDPR).

V rámci šetrenia bolo zistené, že prihlásenie sa do systému bolo možné použitím mena a bezpečnostného hesla. Pričom heslo muselo pozostávať aspoň z osem znakov, ktoré tvorí ľubovoľná kombinácia veľkých a malých písmen a číslic. V prípade, ak používateľ vloží nesprávne údaje, jeho účet sa uzamkne. Na opätovné prihlásenie musí oprávnený používateľ využiť kód, ktorý mu je zaslaný na e-mail uvedený v rámci jeho registrácie.
Zavedenie dvojfaktorového prihlasovania, a to pomocou SMS autentifikácie bolo zatiaľ len plánované. Bezpečnostné heslá boli ukladané v databáze len ako čistý text (nešifrovaný). Teda čitateľný pre kohokoľvek s prístupom k databáze.

Sprostredkovateľom prijaté opatrenia kontrolný úrad vyhodnotil ako nedostatočné.

Poskytovateľovi služby preto uložil, aby:

  • zaviedol algoritmus, ktorý zabezpečí, že všetky heslá budú uložené len v šifrovanej podobe
  • v prípade používateľov, ktorí sa prihlasujú k osobným údajom z osobitnej kategórie zaviedol povinné viacfaktorového overovanie (teda nielen vložením mena a hesla, ale napríklad s použitím SMS, autentikátoru alebo tokenu).

Celý dokument si môžete prečítať na adrese: https://www.datatilsynet.dk/afgoerelser/afgoerelser/2022/jul/datatilsynet-udtaler-kritik-og-giver-to-paabud-til-eg-digital-welfare-aps

Čo urobiť, aby ste sa neocitli v podobnej situácii

Každý subjekt, či je v pozícii prevádzkovateľa alebo sprostredkovateľa je povinný identifikovať riziká, ktoré spracúvanie osobných údajov predstavuje. Následne by mal prijať také technické a organizačné opatrenia, ktoré osobné údaje ochránia pred týmito rizikami.

Jednofaktorové prihlasovanie (keď stačí vedieť len meno a heslo) nesie riziko zneužitia prístupu a zdieľania prístupu k osobným údajom.

Uchovávanie bezpečnostných hesiel ako čistý text je zas rizikom, a to z toho dôvodu, že rovnaké bezpečnostné heslo spolu s prihlasovacím menom môže byť jednotlivcom používané pre viacero služieb u iných poskytovateľov. Napríklad pre sociálne siete. Neoprávnený prístup k heslám v nezašifrovanej podobe, ich získanie a ďalšia manipulácia tak môže znamenať “otvorené dvere” aj k iným službám, čím rastie riziko závažného negatívneho dopadu na súkromie jednotlivca.

Preverte si preto, či heslá v systémoch, ktoré prevádzkujete alebo poskytujete sú chránené šifrovaním. Nezáleží na tom, aká kategória osobných údajov je týmto bezpečnostným mechanizmom chránená. Ich šifrovanie je nevyhnutnosťou. 
A v prípade, keď spracúvate aj tzv. citlivé osobné údaje potom zvážte aj využitie dvojfaktorovej autentizácie pre vašich oprávnených používateľov.

Pripojte sa k odberateľom GDPR spravodaja

Náš newsletter práve teraz odoberá
Aktívnych odberateľov

Scroll to Top