A felmérések továbbra is azt mutatják, hogy csak nagyon kevesen választanak erős jelszót, illetve sokan előszeretettel használják ugyanazt a jelszó több, vagy akár valamennyi igénybe vett online felületen. Hasonlóan a PIN kódokhoz, ahol az 1-2-3-4 és egyéb hasonló erősségű kombinációk hosszú évek óta letaszíthatatlanok a trónról, a helyes jelszavak megválasztása kapcsán sem járunk el kellően körültekintően.
Ha a felhasználók általában nem tesznek meg mindent, sőt gyakran nagyon keveset tesznek annak érdekében, hogy megfelelően védjék magukat az online térben, vajon a szolgáltatók, illetve adatkezelők mit tehetnek, hogy a vonatkozó adatvédelmi szabályokra is figyelemmel, növeljék az adatkezelés biztonságát?
A GDPR már az alapelvek között is rögzíti az integritás és bizalmas jelleg elvét, amely szerint a személyes adatok kezelését "oly módon kell végezni, hogy megfelelő technikai vagy szervezési intézkedések alkalmazásával biztosítva legyen a személyes adatok megfelelő biztonsága, az adatok jogosulatlan vagy jogellenes kezelésével, véletlen elvesztésével, megsemmisítésével vagy károsodásával szembeni védelmet is ideértve."
Az integritás és bizalmi jelleg megőrzése a gyakorlatban lényegében az adatbiztonság gyakorlati megvalósításán keresztül történhet. Ehhez szükséges, hogy a beépített és alapértelmezett adatvédelem elveinek megfelelően kerüljön megtervezésre és kialakításra az egész adatkezelési folyamat.
A beépített adatvédelem ("privacy by design") elve szerint: "Az adatkezelő a tudomány és technológia állása és a megvalósítás költségei, továbbá az adatkezelés jellege, hatóköre, körülményei és céljai, valamint a természetes személyek jogaira és szabadságaira jelentett, változó valószínűségű és súlyosságú kockázat figyelembevételével mind az adatkezelés módjának meghatározásakor, mind pedig az adatkezelés során olyan megfelelő technikai és szervezési intézkedéseket – például álnevesítést – hajt végre, amelyek célja egyrészt az adatvédelmi elvek, például az adattakarékosság hatékony megvalósítása, másrészt az e rendeletben foglalt követelmények teljesítéséhez és az érintettek jogainak védelméhez szükséges garanciák beépítése az adatkezelés folyamatába."
Az alapértelmezett adatvédelem ("privacy by default") elve pedig azt rögzíti, hogy "az adatkezelő megfelelő technikai és szervezési intézkedéseket hajt végre annak biztosítására, hogy alapértelmezés szerint kizárólag olyan személyes adatok kezelésére kerüljön sor, amelyek az adott konkrét adatkezelési cél szempontjából szükségesek. Ez a kötelezettség vonatkozik a gyűjtött személyes adatok mennyiségére, kezelésük mértékére, tárolásuk időtartamára és hozzáférhetőségükre. Ezek az intézkedések különösen azt kell, hogy biztosítsák, hogy a személyes adatok alapértelmezés szerint a természetes személy beavatkozása nélkül ne válhassanak hozzáférhetővé meghatározatlan számú személy számára."
A fenti elveknek megfelelően megtervezett és végrehajtott adatkezelés lehet alkalmas arra, hogy a személyes adatok integritását és bizalmas jellegét megóvja. Az adatok megóvása érdekében bevezetett intézkedések között szerepelhet a megfelelő jelszóvédelmi rendszer kialakítása is, amely az adott rendszerben tárolt adatok kategóriához igazodva biztosítja, hogy az illetéktelen hozzáférésekre a lehető legkisebb valószínűséggel kerüljön sor.
A GDPR 32. cikke - kibontva a bizalmi jelleg és integritás elvét - rögzíti az adatkezelőket és adatfeldolgozókat terhelő adatbiztonsági kötelezettségeket, általános elvárásokat. Amit fontos hangsúlyozni, hogy az adatvédelmi és adatbiztonsági elvárásoknak való megfelelés ebben az esetben sem csupán egy egyszeri feladat, hanem folyamatosan terheli az adatkezelőket és adatfeldolgozókat és a kialakított megoldásokat időről-időre ellenőrizni, felülvizsgálni kell és szükség esetén az esetleges technológiai változások és egyéb körülmények függvényében a változásokhoz kell igazítani. (Például a számítási kapacitások növekedésével egy korábban elégséges biztonságot nyújtó jelszó, gyengének minősülhet.)
Mi következik a fenti általános kötelezettségekből a jelszavakra vonatkozóan?
A GDPR konkrét előírást természetesen nem határoz meg a jelszavakkal kapcsolatban. Ez értelmetlen is lenne, hiszen az adott adatkezelés sajátosságai kapcsán kell a megfelelő védelmi intézkedéseket meghatározni, köztük a megfelelő jelszavas védelemmel kapcsolatos részletes megoldásokat kidolgozni.
A brit adatvédelmi hatóság a közelmúltban tett közzé egy útmutatót az online szolgáltatások keretében alkalmazandó jelszavas védelemmel kapcsolatban, figyelemmel a GDPR szabályaira. Az útmutató hasznos segítség lehet a megfelelő - GDPR-nak is megfelelő - adatbiztonsági megoldások kialakítása során.
Az első lépés online környezetben a megfelelő hozzáférési rendszer kialakítása, azaz önmagában azt is vizsgálni kell, hogy valóban a jelszóval történő hozzáférés a megfelelő megoldás vagy valamely más technológia alkalmazása szükséges a hozzáférési jogosultság ellenőrzéséhez.
Amennyiben a jelszavas hozzáférési rendszer kialakítása mellett dönt az adatkezelő, akkor a következő szempontokat érdemes mérlegelni:
- Milyen módon kerülnek majd tárolása a jelszavak?
- Hogyan adják meg a felhasználók a jelszavukat?
- Milyen követelményeket kell a felhasználók által megadható jelszavakkal szemben támasztani?
- Hogyan kezelendő a jelszavak megváltoztatásának kérdése, illetve milyen módon igényelhető új jelszó?
- Milyen védelmi intézkedések tehetők a támadásokkal szemben?
Milyen módon kerülnek majd tárolása a jelszavak?
Az egyik első bírságot a GDPR alapján Baden-Württembergben szabták ki 20.000 euró összegben egy adatvédelmi incidens kapcsán, amely során 330 ezer felhasználó adatait lopták el, köztük jelszavakat is. Az adatvédelmi hatóság megállapította, hogy az adatkez elő megsértette a GDPR adatbiztonságra vonatkozó követelményeit (32. cikk (1) bekezdés), mivel a jelszavakat egyszerű szöveges formában és nem titkosítva tárolta.
A jelszavak tárolásának tehát mindenképpen olyan formában kell történnie, amely megfelelő biztonságot nyújt egy esetleges incidens esetére is, azaz valamilyen titkosítás alkalmazása a tárolás során elengedhetetlen. (A titkosítási megoldásokkal kapcsolatban hasznos lehet - többek között - az ENISA 2014-es vonatkozó anyaga.)
Hogyan adják meg a felhasználók a jelszavukat?
A bejelentkező oldalakat, amelyeken keresztül a felhasználók megadják a jelszavaikat szintén biztonságossá kell tenni (pl. https séma alkalmazásával). Fontos szempont lehet az is, hogy a jelszavak titkosítása mikor és hol történik (pl. szerver-oldali vagy kliens-oldali titkosítás).
Érdekes szempont, hogy a jelszavak beillesztésének tiltása általában szükségtelen intézkedés, a biztonságot nem növeli érdemben, viszont a felhasználók dolgát szükségtelenül megnehezíti. (Erről részletesebben lehet olvasni a brit kiberbiztonsági központ blogposztjában.)
Milyen követelményeket kell a felhasználók által megadható jelszavakkal szemben támasztani?
Az adatkezelőnek lehetősége van arra, hogy olyan rendszert alakítson ki, amely bizonyos követelményeket támaszt a megadható jelszavakkal kapcsolatban. Előírható, hogy csak megfelelő hosszúságú, speciális karaktereket tartalmazó jelszavakat adhassanak meg a felhasználók. Ezzel megelőzhető lehet a túl gyenge vagy túl sok helyen alkalmazott jelszavak használata, amelyre - ahogy a felmérések mutatják - a felhasználók egyébként hajlamosak lehetnek.
Hogyan kezelendő a jelszavak megváltoztatásának kérdése, illetve milyen módon igényelhető új jelszó?
A jelszavak időről-időre történő megváltoztatásának megkövetelése nehézkessé teheti a rendszer alkalmazását és akkor érdemes csak alkalmazni, ha arra feltétlenül szükség van valamilyen okból. A megfelelően erős jelszó alkalmazásának kikényszerítése mellett célszerű a jelszó megváltoztatását olyan esetekre tartogatni, amikor ez elkerülhetetlen (pl. adatvédelmi incidens miatt).
Az új jelszó igénylés vagy jelszóváltoztatás folyamatának is biztonságosnak kell lennie, kerülve az email útján küldött jelszavakat (ehelyett például egyszer használatos linkek alkalmazhatók), illetve a jelszavak szóban történő megadását. A folyamatba érdemes időlimitet is beépíteni.
Milyen védelmi intézkedések tehetők a támadásokkal szemben?
A rendszer biztonságát szolgálják az olyan további intézkedések, mint pl.
- a sikertelen belépési próbálkozások számának korlátozása,
- CAPTCHA alkalmazása,
- IP-címek fehér listázása,
- sikertelen belépés után csak egy megfelelő időtartam elteltével lehet újra próbálkozni.
Természetesen az adott rendszer és szolgáltatás sajátosságaira tekintettel további biztonsági intézkedések is szóba jöhetnek.
A fentiek mellett még számos további szempont átgondolása és értékelése lehet szükséges, és ahogy említettem, nem elég a rendszert egyszer kialakítani és aztán "magára hagyni", hanem folyamatosan értékelni kell a változásokat, a technológiai fejlődést és a korrekciókat szükség szerint el kell végezni.
Végezetül, intő jelként (a Baden-Württembergben kiszabott bírság mellett) érdemes megemlíteni, hogy 2018. decemberében a norvég adatvédelmi hatóság (Datatilsynet) 1.6 millió norvég korona összegű adatvédelmi bírság kiszabását helyezte kilátásba Bergen önkormányzatával szemben, mivel az önkormányzat területén működő iskolák számítógépes rendszere nem elégítette ki az adatbiztonsági előírásokat. Többek között például elmulasztották a kétfaktorú azonosítás bevezetését, holott ennek alkalmazása szükséges lett volna. (A bírság kiszabásáról később, végleges határozatban dönt majd a hatóság, de ezt megelőzően még az adatkezelő is előterjesztheti az álláspontját az üggyel kapcsolatban.)
Az adatbiztonságot tehát minden adatkezelőnek komolyan kell vennie, mert az online elérhető adatbázisok növekvő számára és kiterjedtségére tekintettel, ez egyre inkább felértékelődik és az adatkezelők felelősségének vizsgálata során kiemelt jelentőséget kaphat.