Дигиталната среда за обработване и съхраняване на данни поражда множествопредизвикателства пред сигурността на информацията и в частност – на личните данни. Уязвимостите в компютърните системи и мрежи са обект на различни интереси, нерядко със злонамерен характер. Своевременното им откриване и отстраняване им е отговорност на съответните администратори. Практиката на КЗЛД при обработване на подадени уведомления за нарушения на сигурността на данните по чл. 33 от Регламент (ЕС) 2016/679, свързани с пробиви в киберсигурността, показва многообразие от случаи на нарушения, които биха могли да бъдат предотвратени с навременни мерки.
Ето и някои примери:
• Банка е станала жертва на кибератака срещу един от своите сайтове за онлайн банкиране. За да се стигне до пробива в сигурността са използвани всички възможни идентификатори за вход, като е използвана фиксирана тривиална парола (напр. Password1).
• Базите данни на сайт за онлайн пазаруване са били достъпени и изтеглени, след като кибернападател е научил и използвал потребителското име и паролата на администраторския профил на сайта.
• Сървърите на фирма, предлагаща приложение, използвано от застрахователи за сключване на застраховки, са били хакнати. За да получи достъп до сървърите хакерът е използвал потребителските имена на служители на фирмата и приложение, което генерира и прилага милиони пароли за кратък период от време.
• Базите данни на фирма за събиране на задължения са били блокирани, след като неин служител е отворил фишинг имейл, който е заразил служебния му компютър с вирус.
Много често представители на малкия и среден бизнес разчитат на факта, че данните, които обработват, не са чувствителни или пък не се отнасят до голям брой лица и затова киберпрестъпниците не биха имали интерес да проникнат в тяхната компютърна инфраструктура. Напротив, много от киберпрестъпниците имат за цел точно малкия и среден бизнес, тъй като предполагат, че или не са заделени достатъчно средства за киберсигурност, или тя е била подценена. Често големите бизнеси са доста по-трудни за пробиване, защото те заделят сериозни средства за ИТ сигурност и постоянно подобряване на тяхната киберзащита. Затова силно препоръчваме на малкия и среден бизнес да въведе поне някои от предоставените съвети, които не изискват заделянето на допълнителни средства.
Според Регламент (ЕС) 2016/679, прилагането на подходящи технически и организационни мерки за осигуряване на сигурност на данните е основно задължение на администраторите и обработващите лични данни. В регламента са посочени и конкретни технически и организационни мерки за сигурност, като:
– Псевдонимизация;
– Криптиране;
– Гарантиране на постоянна поверителност, цялостност, наличност и устойчивост на системите и услугите за обработване;
– Своевременно възстановяване на наличността и достъпа до личните данни в случай на физически или технически инцидент;
– Редовно изпитване, преценяване и оценка на ефективността на техническите и организационните мерки.
В тази връзка и с цел акцентиране върху сигурността на обработване на личните данни в информационните системи, КЗЛД насочва вниманието на администраторите и обработващите към следнитепрактични съвети:
| № | Съвет | Пояснения |
| 1. | Въвеждане на високи изисквания за пароли | Изискване за дължина и ползване на големи и малки букви, цифри и символи. Изискване за периодична смяна на паролата (през 60-90 дни). |
| 2. | Въвеждане на двуфакторна (мултифакторна) идентификация | Изисква се въвеждането на допълнителна информация от потребителя, например ПИН код, отговор на „таен въпрос”, еднократна парола (автоматично генерирана парола след всеки опит за влизане в потребителския профил, получавана обикновено чрез имейл или СМС), и т.н. |
| 3. | Въвеждане на ограничение за грешно въведени пароли | При този метод се ограничава броя на грешно въведени пароли, за да се намали значително риска от „brute force” атака (между 3 и 5 грешни опита за влизане). |
| 4. | Редовни актуализации на софтуера и фърмуера | Редовните актуализации на софтуераи фърмуера премахват критичните уязвимости, които хакерите използват за достъп до устройствата и системите. |
| 5. | Използване на антивирусни програми | Антивирусните програми блокират достъпа на злонамерени софтуери и вируси до вашите устройства и компрометирането на съхраняваните данни. |
| 6. | Използване на защитни стени | Защитните стени откриват хакери, вируси и друга злонамерена дейност в интернет и определя какъв входящ трафик е разрешен до вашите устройства. |
| 7. | Редовно архивиране на данните |
Архивирането помага за възстановяване на данните в случай на хакерска атака и загуба на тяхната наличност.
|
| 8. | Криптиране на данните | Криптирането на данните ограничава риска от нарушаване на поверителността на данните. |
| 9. | Редовно обучение на персонала във връзка с правилата за киберсигурност | |
| 10. | Въвеждане на План за реакция при инцидент с киберсигурността | |
Съветите имат препоръчителен характер и не претендират за изчерпателност.
За да отговори на необходимостта от повече яснота относно предварителните и последващи действия на администраторите във връзка както с предотвратяването, така и с реакцията на нарушенията на сигурността на личните данни, в началото на 2021 г. Европейският комитет по защита на данните подготви и публикува за обществена консултация Насоки 01/2021 с конкретни примери. От множеството предложения и мнения за допълнение към документа е видна изключителната заинтересуваност и ангажираност към темата на широк кръг заинтересувани лица – надзорни органи, бизнес организации, неправителствениорганизации, физически лица.
22.06.2021 г.
