arrow-rightemailfacebook-circlefacebookinstagramlinkedin-circlelinkedinsearchtelephonetwitter
15.09.2020

RODO i polityka haseł w firmie

Agata Rowicka

Serwis internetowy „Cybercrime Magazine” przewiduje, że w latach 2017 – 2021 światowy rynek cyberbezpieczeństwa będzie wart w sumie bilion dolarów. Z kolei z raportu firmy KPMG wynika, że światowe straty związane z cyberprzestępczością wynoszą 600 miliardów dolarów rocznie. Bardzo duża część tych pieniędzy będzie musiała być wydana przez przedsiębiorstwa i rządy tylko dlatego, że użytkownicy systemów nieostrożnie obchodzą się z hasłami.

Skuteczność kontroli dostępu do systemów jest istotna szczególnie wtedy, gdy znajdują się tam dane osób fizycznych. Ewentualne włamanie może wtedy być naruszeniem restrykcyjnego rozporządzenia RODO i rodzić poważne konsekwencje finansowe dla właściciela systemu. Rozporządzenie nie stawia konkretnych wymagań dotyczących sposobu zabezpieczania systemów hasłami. Przedsiębiorca sam powinien ustalić swoją politykę haseł i powinna ona być elementem większego – obowiązkowego dokumentu, czyli polityki bezpieczeństwa.

Rozporządzenie RODO kładzie duży nacisk na dochowanie należytej staranności w działaniach związanych z gromadzeniem i przechowywaniem danych osobowych. Przygotowanie procedur dotyczących polityki haseł jest dowodem na dochowanie należytej staranności. Polityka bezpieczeństwa haseł powinna odnosić się do kilku zagadnień. Chodzi przede wszystkim o sposób budowy haseł, częstość ich zmiany a także procedury ich nadawania i postępowania z nimi przez użytkowników.

Budowa hasła

Długie hasła lepiej chronią przed nieautoryzowanym dostępem, jednak należy pamiętać, że są one bardziej uciążliwe dla użytkowników. Dlatego w zależności od stopnia ryzyka należy wybrać rozwiązanie, które będzie wystarczająco bezpieczne i wygodne w użyciu. Standardem powinno być ustalenie minimalnej długości hasła na osiem znaków. Wymagania te powinny rosnąć w przypadku systemów o krytycznym znaczeniu na przykład bankowych systemów transakcyjnych. Jeszcze bardziej restrykcyjne zabezpieczenia stosuje się w systemach związanych z bezpieczeństwem, na przykład ruchu drogowego lub kolejowego.

Standardem jest też wymaganie różnych rodzajów znaków: małych i wielkich liter, cyfr i znaków specjalnych. Użycie silnego hasła zmniejsza prawdopodobieństwo skuteczności brutalnego ataku praktycznie do zera.  

Jak często zmieniać hasła

Im dłużej dane hasło jest używane, tym bardziej rośnie ryzyko jego przyjęcia przez osoby nieautoryzowane. W związku z tym większość firmowych systemów komputerowych wymaga zmiany haseł w określonych odstępach czasowych. Najczęściej stosowanym rozwiązaniem jest zmiana hasła co 30 dni. Okres ten powinien ulec skróceniu w sytuacji gdy ewentualne naruszenie wiąże się z ryzykiem poważnych strat. Wielu administratorów stosuje również hasła jednorazowe, przekazywane najczęściej przez aplikacje mobilne.

Należy pamiętać, że wymaganie od użytkowników częstych zmian haseł może prowadzić do utrudnień w logowaniu do systemu. W związku z tym restrykcyjne regulacje należy wprowadzać tylko wtedy, kiedy są rzeczywiście uzasadnione przez potencjalne ryzyko.

Specyficznymi rodzajami haseł w firmie są hasła administracyjne. Powinny być one zdeponowane w bezpiecznym miejscu na wypadek nieobecności administratora.

Konieczne jest systematyczne szkolenie użytkowników

Według serwisu TeamsID, najbardziej popularne hasła na świecie to: 123456, password, qwerty czy football. Ponadto użytkownicy często zostawiają hasła zapisane na kartkach obok komputera lub w szufladach biurek. Nawet najlepiej opracowana polityka haseł nie spełni swojego zadania jeżeli użytkownicy systemów nie ustalą odpowiednio silnych haseł i nie będą się z nimi właściwie obchodzić.

Dlatego systematycznie prowadzone okresowe szkolenia pracowników firmy w bardzo istotny sposób mogą się przyczynić do redukcji ryzyka naruszeń i ograniczenia potencjalnych strat.