Na początku bieżącego roku Zespół CERT, działający w strukturach NASK – Państwowego Instytutu Badawczego, jeden z najpoważniejszych autorytetów w dziedzinie cyberbezpieczeństwa w Polsce, wydał rekomendacje dla systemów uwierzytelniania. Określono w nich m. in. wymogi dotyczące haseł stosowanych przez użytkowników systemów informatycznych. I tak CERT wskazał, że system informatyczny, w którym loguje się użytkownik:
- powinien ustalać minimalną długość hasła na co najmniej 12 znaków,
- NIE powinien wymuszać okresowej zmiany haseł użytkowników,
- NIE nie powinien wymagać dodatkowych kryteriów złożoności, np. znaków specjalnych, cyfr czy dużych liter.
Ponadto CERT zaleca wsparcie dla uwierzytelniania dwuskładnikowego.
Wymóg minimalnej długości hasła raczej nikogo nie zaskakuje, ale już niewymuszanie okresowej zmiany haseł może być dla wielu nowością. Jednak najbardziej kontrowersyjna wydaje się rekomendacja, zgodnie z którą hasło nie musi posiadać znaków specjalnych, cyfr czy dużych liter. Dlaczego kontrowersyjna? Dlatego, że co do wymagań hasła wypowiedział się również polski organ nadzorczy – Prezes Urzędu Ochrony Danych Osobowych. W materiałach do programu edukacyjnego dla szkół „Twoje dane – Twoja sprawa” PUODO wskazał, że silne hasło powinno zawierać chociaż jeden znak specjalny, jedną małą i jedną dużą literę i cyfrę. Jak zatem widać, rekomendacje w tym obszarze wykluczają się. W jaki powinniśmy więc postąpić, aby nasze systemy informatyczne z jednej strony zapewniały bezpieczeństwo danych w nich zgromadzonych a z drugiej strony minimalizowały ryzyka prawne, np. związane z karami organów nadzorczych?
Zdaniem eksperta
Pierwszym wnioskiem wynikającym z wyżej opisanej sytuacji jest w mojej ocenie to, że każdy przedsiębiorca przetwarzający dane osobowe musi być na bieżąco z branżowymi wytycznymi w zakresie cyberbezpieczeństwa. Wraz z rozwojem technologii i kreatywności cyberprzestępców muszą zmieniać się także strategie przeciwdziałania zagrożeniom. Niestety praktyka często pokazuje, że informatycy wspierający przedsiębiorców w zakresie cyberbezpieczeństwa nie zawsze wykazują należyte zainteresowanie aktualnymi rekomendacjami. Na ogół jest to ich poboczne zadanie, do którego nie przykłada się należytej uwagi. Poza tym w celu prawidłowego zapewnienia bezpieczeństwa konieczna jest znajomość nie tylko zagadnień technicznych związanych z cyberbezpieczeństwem, ale także zagadnień prawniczych związanych np. z wytycznymi organu nadzorczego czy wymogami RODO.
Po więcej informacji zapraszamy do kontaktu z naszym specjalistą:
Szymon Goździk – Specjalista ds. ochrony danych osobowych i compliance
tel. 71 750 70 04
s.gozdzik@kancelarialebek.pl