Varnostni ukrepi po razkritju gesla

Datum

08.11.2024

Številka

07121-1/2024/1374

Kategorije

Moderne tehnologije

Pri Informacijskem pooblaščencu (IP) smo 24. 10. 2024 prejeli vaše zaprosilo za mnenje glede gesla za službeni račun, ki je bilo najdeno v podatkovnih kršitvah. Gesla ste že zamenjali, podatkov o zlorabi podatkov vaših uporabnikov nimate, zato vas zanima, če morate v tem trenutku še kaj narediti.

Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju skladno s 5. točko prvega odstavka 55. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 163/22, ZVOP-2), 58. členom Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (Splošna uredba) ter 2. členom Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05 in 51/07 – ZUstS-A, ZInfP) posredujemo naše neobvezujoče mnenje v zvezi z vašim vprašanjem.

Splošna uredba sledi standardom na področju informacijske varnosti, kjer velja glavno načelo, da je treba varnostne ukrepe prilagoditi glede na potencialna tveganja, ki se jih običajno ocenjuje kot kombinacijo verjetnosti, da se bo nek nezaželen dogodek zgodil in resnosti posledic, če se to dejansko zgodi. Splošna uredba v 32. členu določa, da se pri določanju ustrezne ravni varnosti upoštevajo zlasti tveganja, ki jih pomeni obdelava, zlasti zaradi nenamernega ali nezakonitega uničenja, izgube, spremembe, nepooblaščenega razkritja ali dostopa do osebnih podatkov, ki so poslani, shranjeni ali kako drugače obdelani.

Poleg tega, da tudi v bodoče spremljate potencialna razkritja gesel, vam svetujemo, da upoštevate priporočila za varno izbiro in ravnanje z gesli: Infografika IP – Kako izbrati dobro geslo.

Svetujemo vam tudi, da poskrbite, da primerno usposobljeni strokovnjaki redno skrbijo za ustrezne posodobitve računalniške opreme z vidika ukrepov informacijskega varovanja ter v zvezi s tem spremljajo tudi objave in priporočila Nacionalnega odzivnega centra za kibernetsko varnost SI-CERT. Prav tako vam priporočamo, da nekaj časa še bolj pozorno spremljate, če se v vašem informacijskem okolju dogaja karkoli nenavadne, sicer pa sledite ostalim priporočilom.

Obrazložitev

Uvodoma z vidika varstva osebnih podatkov pojasnjujemo, da Splošna uredba o varstvu podatkov sledi standardom na področju informacijske varnosti, kjer velja glavno načelo, da je treba varnostne ukrepe prilagoditi glede na tveganja, ki pretijo varovani dobrini. Tveganja se običajno ocenjuje kot kombinacijo verjetnosti, da se bo nek nezaželen dogodek zgodil in resnosti posledic, če se to dejansko zgodi. Splošna uredba zato v 32. členu določa, da se pri določanju ustrezne ravni varnosti upoštevajo zlasti tveganja, ki jih pomeni obdelava, zlasti zaradi nenamernega ali nezakonitega uničenja, izgube, spremembe, nepooblaščenega razkritja ali dostopa do osebnih podatkov, ki so poslani, shranjeni ali kako drugače obdelani. Podrobnejše organizacijske, tehnične in logično tehnične postopke in ukrepe za varnost osebnih podatkov bi bilo v sistemskem zakonu zelo težko določiti, saj so odvisni od različnih okoliščin, v katerih se obdelujejo posamezni osebni podatki. Pri odločitvi o potrebni stopnji varnosti je tako treba upoštevati stopnjo tehnološkega razvoja in stroškov izvajanja ter narave, obsega, okoliščin in namenov obdelave, pa tudi tveganj za pravice in svoboščine posameznikov, ki se razlikujejo po verjetnosti in resnosti.

Nadalje ugotavljamo, da glede na vaš opis do vdora v sistem ni prišlo, temveč so bila vaša gesla najdena na seznamih, ki spremljajo kršitve podatkov (ukradena gesla). Kot izhaja iz vašega sporočila, ste gesla že spremenili. Poleg tega, da tudi v bodoče spremljate potencialna razkritja gesel, vam svetujemo, da upoštevate priporočila za varno izbiro in ravnanje z gesli, in sicer vam v pomoč pošiljamo povezavo do infografike, ki vam bo pomagala pri določanju dovolj varnega gesla: Infografika IP – Kako izbrati dobro geslo.

Kot izhaja iz priložene infografike, si gesel ne pišemo na listke, za geslo ne izbiramo stvari, ki se nahajajo v bližini (npr. znamka tipkovnice, model monitorja ipd.), prav tako za geslo ne uporabljamo imen bližnjih oseb, ljubljenčkov, najljubših filmov ali knjig. Geslo naj bo enostavno za zapomniti, ampak hkrati težko za uganiti. Dobro geslo lahko sestavimo iz prvih črk in ločil nekega izmišljenega stavka, na primer izberemo stavek »Nikoli ti ne povem mojega gesla, nepridiprav!«, iz česar dobimo geslo »Ntnpmg,n!«, ki mu dodamo še poljubno številko, na primer 193. Tako pridemo do gesla »Ntnpmg,n!193«, ki je lahko zapomljivo, vendar ga je težko uganiti.

Svetujemo vam tudi, da poskrbite, da primerno usposobljeni strokovnjaki redno skrbijo za ustrezne posodobitve računalniške opreme z vidika ukrepov informacijskega varovanja ter v zvezi s tem spremljajo tudi objave in priporočila Nacionalnega odzivnega centra za kibernetsko varnost SI-CERT (https://www.cert.si/). Prav tako vam priporočamo, da nekaj časa še bolj pozorno spremljate, če se v vašem informacijskem okolju dogaja karkoli nenavadne, sicer pa sledite ostalim priporočilom.

Za bolj konkreten pregled varnosti vaše spletne strani pa vam priporočamo, da spremljate in upoštevate najpogostejše groženje, ki jih objavlja OWASP: https://owasp.org/www-project-top-ten/.

Za konec vas napotujemo še na spletno stran Varni na internetu, kjer si lahko preberete številne nasvete in napotke v zvezi z informacijsko varnostjo.

V upanju, da smo vam pomagali, vas lepo pozdravljamo.

dr. Jelena Virant Burnik, informacijska pooblaščenka