GDPR. ICO publică instrucțiuni privind securitatea criptării și a parolelor

La începutul acestei luni, Autoritatea de Supraveghere din UK (ICO) a publicat instrucțiuni de securitate în Ghidul GDPR. Instrucțiunile se concentrează în special pe criptare și parole. Aceastea indică ce trebuie făcut în procesul de implementare și conțin informații “așa da” și “asa nu” foarte utile.

Criptarea

Articolul 32 din GDPR prevede criptarea ca exemplu de măsură tehnică și organizatorică adecvată. Ghidul specifică patru lucruri care trebuie luate în considerare atunci când implementăm criptarea:

1. Aceasta trebuie să fie adecvată și ar trebui evaluată periodic pentru a rămâne adecvată;
2. Dimensiunea cheii. Aceasta ar trebui să fie suficient de mare pentru a asigura protecția împotriva atacurilor, iar aprecierea acesteia ar trebui evaluată în mod regulat;
3. Software-ul. ICO afirmă că acesta trebuie să respecte standardele actuale, cum ar fi FIPS 140-2 și FIPS 197; și
4. Securitatea cheii. Cheile trebuie să fie păstrate în siguranță și companiile trebuie să aibă procese în vigoare pentru a genera noi chei atunci când este necesar.

ICO clarifică faptul că, în funcție de contextul incidentului, trebuie pornită acțiunea de reglementare atunci când datele sunt pierdute sau distruse și nu au fost criptate.

Parolele

Deși GDPR nu include prevederi specifice referitoare la parole, acestea reprezintă un mijloc utilizat în mod obișnuit pentru a asigura accesul la sistemele care prelucrează date cu caracter personal. Îndrumările se concentrează asupra stocării parolelor, a modului în care utilizatorii trebuie să trimită parole, cereri de parole, expirare, resetări și apărare împotriva atacurilor.

Principalele puncte din instrucțiunile ICO includ:

1. Parolele nu ar trebui să fie stocate într-un simplu text. Trebuie utilizat un algoritm de ștergere sau un alt mecanism adecvat.
2. Parolele nu ar trebui să fie rulate prin algoritmi de tip hash, cum ar fi MD5 și SHA1, deoarece acestea nu sunt potrivite pentru protecția prin parolă datorită punctelor slabe de securitate cunoscute. Hashing-ul trebuie să fie efectuat pe partea de server.
3. Utilizatorii ar trebui să introducă parolele lor pe paginile de conectare care sunt protejate cu HTTPS sau o protecție echivalentă, iar hash-ul ar trebui să fie efectuat de către server.
4. Cu excepția cazului în care este absolut necesar, singurele restricții care trebuie aplicate parolelor sunt o lungime minimă a parolei și introducerea pe lista neagră a parolelor comune, slabe. Caractere speciale trebuie să fie permise, însă nu obligatorii.
5. Încercările de conectare ar trebui limitate. Natura limitărilor ar trebui să se bazeze pe comportamentul observat și pe circumstanțele organizației dvs.

De asemenea, instrucțiunile evidențiază o serie de practici despre care, în mod eronat, se crede că sporesc securitatea. În schimb, ICO recomandă următoarele:

1. Utilizatorilor nu trebuie să le fie împiedicată introducerea parolelor în câmpul de parolă. În loc de a spori securitatea, acest lucru împiedică utilizatorii să poată folosi în mod eficient administrarea de parole.
2. Sistemele nu ar trebui să impună cerințe inutile asupra parolelor, deoarece aceasta îi determină pe utilizatori să repete parolele din alte conturi, să creeze parole slabe sau să-și uite parolele, toate acestea îngreunând inutil procesul de resetare a parolelor.
3. Parolele ar trebui resetate numai dacă există motive întemeiate pentru a face acest lucru, cum ar fi încălcarea datelor cu caracter personal. Expirarea regulată încurajează utilizatorii să creeze o serie de parole slabe.