- Napreden AI iskalnik za hitro iskanje primerov
- Dostop do celotne evropske in slovenske sodne prakse
- Samodejno označevanje ključnih relevantnih odstavkov
Podobni dokumenti
Ogledaj podobne dokumente za vaš primer.Prijavi se in poglej več podobnih dokumentov
Izvedba varnostnih phishing testov
Z nami najdeš vse. Preizkusi zdaj!
Samo zamislim si kaj bi rada da piše v sodbi, to vpišem v iskalnik, in dobim kar sem iskala. Hvala!
Tara K., odvetnica
Izvedba varnostnih phishing testov
Datum
18.04.2025
Številka
07121-1/2025/453
Kategorije
Elektronska pošta, Pravne podlage, Svetovni splet, Varnost osebnih podatkov
pri Informacijskem pooblaščencu (IP) smo prejeli vaše zaprosilo za mnenje in sicer navajate, da je IP v preteklosti objavil mnenje glede izvedbe varnostnega preverjanja - phishing testa za uporabnike informacijskega sistema (https://www.ip-rs.si/mnenja-zvop/izvedba-varnostnega-preverjanja-phishing-testa-za-uporabnike-informacijskega-sistema), ki je bilo izdano na podlagi ZVOP-1, pred uvedbo GDPR in ZVOP-2.
Zanima vas, kako je z izvajanjem varnostnega preverjanja – phishing testa za zaposlene danes, v novih okoliščinah, ko obstaja nemalo spletnih platform za izobraževanje in ozaveščanje zaposlenih o kibernetski varnosti in povezanih tveganjih. Te platforme omogočajo izvajanje phishing kampanj v povezavi z izobraževanji o kibernetski varnosti ter aktualnih tveganjih, med katerimi sta socialni inženiring in phishing. Kot navajate je prednost teh platform redno in sistematično izobraževanje ter testiranje uporabnikov in ne zgolj enkrat ali dvakrat letno izvajanje varnostnega preverjanja. Ena od uporabnih funkcionalnosti je npr. takojšnje izobraževanje, če uporabnik odpre povezavo v simuliranem phishing sporočilu. Povezava odpre stran, ki uporabnika seznani, da je kliknil na simulirano phishing povezavo in mu predstavi katere elemente sporočila bi lahko preveril in se s tem morda izognil kliku na povezavo. Na ta način se sistematično gradi varnostna kultura v organizaciji in omogoča odgovornim, da lahko prepoznajo področja in posameznike, ki so tveganjem bolj izpostavljeni.
Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju skladno s 5. točko prvega odstavka 55. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 163/22; v nadaljevanju ZVOP-2), 58. členom Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (v nadaljevanju Splošna uredba) ter 2. členom Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05 in 51/07 – ZUstS-A; v nadaljevanju ZInfP) posredujemo naše neobvezujoče mnenje v zvezi z vašim vprašanjem.
IP uvodoma pojasnjuje, da sta bila v času od izdaje mnenja št. 0712-1/2015/3246 v letu 2015 sprejeta Splošna uredba in ZVOP-2, sicer pa se sama situacija glede nevarnosti, ki jih prinašata socialni inženiring in phishing napadi ni spremenila, saj omenjene tehnike še vedno sodijo med najbolj pogoste in tudi nevarne prevare, ki grozijo uporabnikom informacijsko-komunikacijskih tehnologij. Phishing napadi so zlasti v zadnjih letih med najbolj pogostimi kibernetskimi napadi in škoda, ki jo zaradi teh napadov utrpijo posamezniki in organizacije, vztrajno narašča, največji porast pa je bil zabeležen v kategoriji smishing napadov[1].
V okviru organizacij je zato ustrezno in učinkovito ozaveščanje zaposlenih oziroma uporabnikov razumen ukrep za naslavljanje tveganj, ki jih tovrstni napadi prinašajo. Kot smo zapisali že v mnenju iz leta 2015 IP meni, da je na podlagi številnih raziskav mogoče sklepati, da je delež (odstotek) uporabnikov, ki je dovzeten za tovrstne napade v povprečju relativno visok in da se običajni uporabniki informacijskega sistema pomanjkljivo zavedajo nevarnosti, ki jim pretijo zaradi nepoznavanja metod socialnega inženiringa, med katere uvrščamo tudi phishing napade (številni viri poročajo o tudi do 75-odstotni uspešnosti dobro zastavljenih napadov[2]). Ključen ukrep za obvladovanje tveganj iz naslova phishinga (in smishinga) je zato nedvomno ustrezno in učinkovito izobraževanje uporabnikov, s katerim želijo organizacije doseči, da uporabniki prepoznajo sporočila, ki od njih želijo izvabiti zaupne podatke ali določeno ravnanje. Izvedba izobraževanj ne terja posebne ali dodatne obdelave osebnih podatkov in se lahko izvaja tudi predhodnih ali vmesnih testiranj odpornosti uporabnikov, pri čemer pa gre neizogibno tudi za obdelavo osebnih podatkov.
Pri tem se poraja vprašanja, ki nam ga tudi vi zastavljate, in sicer ali je izvajanje tovrstnih varnostnih preverjanj dopustno glede na predpise o varstvo osebnih podatkov in če da, pod kakšnimi pogoji oziroma na kakšnih pravnih podlagah.
IP meni, da izobraževalne aktivnosti ozaveščanja o phishing načeloma ne implicirajo obdelave njihovih osebnih podatkov, medtem ko izvedbe varnostnih testiranj praktično ni mogoče zagotoviti v celoti brez obdelave osebnih podatkov (kot so npr. e-naslovi uporabnikov, IP naslovi, mobilne telefonske številke, podatki o uspešnosti prepoznave phishing/smishing sporočil in morebitni drugi osebni podatki v odvisnosti od načina izvedbe). Organizacije, ki menijo, da pri njih izobraževalne aktivnosti ozaveščanja o phishingu ne zadostujejo za obvladovanje relevantnih tveganj, morajo pri odločitvi, da bodo izvajale tudi varnostna preverjanja upoštevati, da morajo pri tem v celoti spoštovati določbe zakonodaje o varstvu osebnih podatkov in mora za tako obdelavo osebnih podatkov obstajati podlaga po 6. členu Splošne uredbe.
Uporabe podlage prevladujočih zakonitih interesov po točki f) prvega odstavka 6. člena Splošne uredbe terja izvedbo t.i. testa zakonitega interesa (angl. Legitimate Interest Assessment – LIA), ki mora biti tudi dokumentiran in v katerem mora organizacija argumentirati legitimnost svojih interesov, oceniti morebitne negativne posledice in vpliv na posameznike in opraviti presojo možnih varovalk. Omenjena pravna podlaga se lahko uporabi le, kadar je obdelava potrebna zaradi zakonitih interesov, za katere si prizadeva upravljavec ali tretja oseba, razen kadar nad takimi interesi prevladajo interesi ali temeljne pravice in svoboščine posameznika, na katerega se nanašajo osebni podatki, ki zahtevajo varstvo osebnih podatkov. Nujnost izvedbe tovrstnih varnostnih preverjanj je lahko vprašljiva, saj so izobraževanja in generične ozaveščevalne kampanje o phishing tehnikah pogosto zadostne za dvig ozaveščenosti uporabnikov. Po drugi strani so lahko praktične in individualizirane vaje lahko učinkovite, s tem ko odražajo dejanske primere iz prakse, zato lahko izvedba varnostnih preverjanj pozitivno vpliva na varnost podatkov in sistemov, vendar pa je treba upoštevati tudi tveganja in posledice za posameznike.
Z vidika upoštevanja načela preglednosti morajo biti vsi uporabniki, katerih osebni podatki bodo obdelovani, vnaprej jasno in natančno obveščeni o obdelavi osebnih podatkov skladno z zahtevami 12. in 13. člena Splošne uredbe. Dalje bi morala organizacija, ki želi izvajati varnostno preverjanje odpornosti na phishing, izvesti in dokumentirati test zakonitosti svojih interesov, da se lahko nasloni na pravno podlago zakonitih interesov po točki f) prvega odstavka 6. člena Splošne uredbe. Obdelava osebnih podatkov za ta namen mora biti utemeljena tudi z vidika nujnosti zaradi uresničevanja pravic in obveznosti iz delovnega razmerja ali v zvezi z delovnim razmerjem[3]. Več informacij o zakonitih interesih kot pravni podlagi za obdelavo osebnih podatkov je na voljo v smernicah Evropskega odbora za varstvo podatkov, ki so dostopne na:
https://www.edpb.europa.eu/our-work-tools/documents/public-consultations/2024/guidelines-12024-processing-personal-data-based_en.
Poleg navedenega pa mora organizacija upoštevati tudi načelo najmanjšega obsega podatkov, načelo omejitve shranjevanja, načelo zaupnosti in celovitosti podatkov, načelo omejitve namena ter za obdelavo osebnih podatkov ustrezno dopolniti svojo evidenco dejavnosti obdelave osebnih podatkov po 30. členu Splošne uredbe.
V primeru, da se obdelava osebnih podatkov uporabnikov pri izvedbi varnostnega preverjanja izvaja prek pogodbenega obdelovalca (npr. ponudnika tovrstne platforme) pa ne sme spregledati obveznosti sprejema ustrezne pogodbe skladno z določbami 28. člena Splošne uredbe ter ustrezno preveriti, ali pri tem ne pride do prenosa osebnih podatkov v tretje države ter v tem primeru zagotoviti ustrezno pravno podlago za takšen prenos podatkov. Kolikor gre za ponudnike iz tretjih držav (izven EU/EGS) obstaja utemeljen pomislek, ki ga je treba nasloviti - ali ponudniki takšnih platform zagotavljajo ustrezno varstvo osebnih podatkov glede na določbe Splošne uredbe.
Glede na navedeno IP pojasnjuje, da se z vidika pravne podlaga situacija vsebinsko ni bistveno spremenila, saj je podlaga po točki f) prvega odstavka 6. člena Splošne uredbe vsebinsko zelo podobna podlagi po 4. odstavku 9. člena oziroma 3. odstavku 10. člena ZVOP-1 (pravna podlaga prevladujočih interesov). V mnenju iz leta 2015 smo navedli, da izvajanje varnostnih preverjanj odpornosti na phishing ni nedopustno, da pa mora za obstajati pravna podlaga ter da bi lahko bila možna podlaga 4. odstavek 9. člena ZVOP-1 (pravna podlaga prevladujočih zakonskih interesov javnega sektorja[4]). Ta je določala, da se ne glede na 1. odstavek 9. člena ZVOP-1 (obdelava na podlagi zakona) lahko v javnem sektorju izjemoma obdelujejo tisti osebni podatki, ki so nujni za izvrševanje zakonitih pristojnosti, nalog ali obveznosti javnega sektorja, če se s to obdelavo ne poseže v upravičen interes posameznika, na katerega se osebni podatki nanašajo.
Uporabo te pravne podlage je bilo - podobno kot je to treba storiti po veljavni f) točki prvega odstavka 6. člena Splošne uredbe - treba obrazložiti in utemeljiti s konkretnimi dejstvi in okoliščinami. Pri tem je zlasti treba:
•izkazati legitimnost in nujnost izvedbe tovrstnega testiranja,
•pošteno in popolno oceniti upravičen interes posameznika in posledice na pravice posameznika,
•uporabiti dodatne varovalke, s katerimi se zmanjšajo negativni vplivi na pravice posameznika (npr. sprotna anonimizacija zajetih podatkov).
Zaključno poudarjamo, da izobraževalne aktivnosti ozaveščanja o phishingu načeloma ne implicirajo obdelave njihovih osebnih podatkov, medtem ko izvedbe varnostnih testiranj praktično ni mogoče izvesti v celoti brez obdelave osebnih podatkov, ki prinaša nezanemarljiv obseg s tem povezanih obveznosti, zlasti če gre pri tem za uporabo storitev zunanjih izvajalcev iz tretjih držav. Organizacije, ki bi se odločile za izvedbo varnostnih preverjanj, se morajo zavedati, da morajo pri tem zagotoviti skladnost obdelav osebnih podatkov in zagotoviti spoštovanje vseh obveznosti, ki jih glede tega nalaga Splošna uredba, kot smo jih navedli v mnenju.
Lepo vas pozdravljamo,
dr. Jelena Virant Burnik,
Informacijska pooblaščenka
Pripravil:
mag. Andrej Tomšič, namestnik informacijske pooblaščenke
---
[1]SI-CERT: Poročilo o kibernetski varnosti za leto 2023 (https://www.cert.si/letna_porocila/porocilo-o-kibernetski-varnosti-za-leto-2023/).
[2]Glej npr. http://www.csoonline.com/article/2876707/social-engineering/social-engineering-stories-from-the-front-lines.html ali https://books.google.si/books?id=dLRK_Ep_uc8C&pg=PA1766&lpg=PA1766&dq=social+engineering+success+rate&source=bl&ots=rUI7HcjBhF&sig=mGXNwc-oPQQbRH1UhqcQ-tJ1PvY&hl=en&sa=X&sqi=2&ved=0ahUKEwjI7qzk1uzJAhWMExoKHTG8CHkQ6AEIVzAK#v=onepage&q=social%20engineering%20success%20rate&f=false
[3]V smislu prvega odstavka 48. člena Zakona o delovnih razmerjih (Uradni list RS, št. 21/13, 78/13 – popr., 47/15 – ZZSDT, 33/16 – PZ-F, 52/16, 15/17 – odl. US, 22/19 – ZPosS, 81/19, 203/20 – ZIUPOPDVE, 119/21 – ZČmIS-A, 202/21 – odl. US, 15/22, 54/22 – ZUPŠ-1, 114/23 in 136/23 – ZIUZDS).
[4]Prosilec za mnenje je bil iz javnega sektorja.