Polityka haseł
 – nowe zasady na gruncie RODO

polityka haseł

Nie od dziś wiadomo, że odpowiednio zbudowane i wykorzystywane hasła dostępowe to jeden z podstawowych i najważniejszych elementów budowania bezpieczeństwa teleinformatycznego w organizacji.  Dzięki nim chronimy dostęp nie tylko do treści naszej korespondencji, pieniędzy przechowywanych na koncie ale również do nieocenionej wartości zasobów naszej sieci firmowej.

Z pewnością znajdują się w niej poufne informacje dotyczące m.in. działania organizacji, jej klientów oraz chociażby warunków ich współpracy z przedsiębiorstwem. Większość użytkowników systemów informatycznych doskonale zdaje sobie sprawę jak ważnym elementem bezpieczeństwa jest odpowiednie zarządzenie takimi poświadczeniami uwierzytelniającymi. Mimo wszystko często nie przykładając do tego wielkiej wagi bagatelizuje się takie zabezpieczenie żyjąc w przekonaniu, że to tylko pracownicy działu IT odpowiedzialni są za bezpieczeństwo ich infrastruktury.

Wymogi stawiane przez przepisy prawa

W zakresie złożoności, długości oraz częstotliwości zmiany haseł dostępowych do systemów informatycznych, w których zachodzi proces przetwarzania danych osobowych do 25 maja 2018 roku obowiązywały nas przepisy Rozporządzenia MSWiA. Wskazywały one precyzyjnie, iż w sytuacji, gdy przynajmniej jedno urządzenie infrastruktury sieci lokalnej podłączone jest do sieci publicznej hasła dostępowe do takich systemów powinny składać się z co najmniej 8 znaków oraz być złożone z małych i dużych liter, cyfr lub znaków specjalnych. Dodatkowo miały być też zmieniane nie rzadziej niż co 30 dni i zdecydowanie był to parametr najbardziej nielubiany.

Akredytowany kurs IOD

Biorąc pod uwagę fakt, iż zgodnie z dobrymi praktykami poświadczenia dostępowe do każdego z wykorzystywanych systemów powinny być różne prowadziło to do buntowania się użytkowników. Nic w tym dziwnego, gdyż nawet w przypadku tylko kilku systemów firmowych, w połączeniu z tylko kilkoma prywatnymi serwisami powoduje, że ostatecznie każdy z nas musi zapamiętać wiele haseł, w tym długich, złożonych i często się zmieniających. Wymuszanie takiej polityki haseł zamiast więc budować bezpieczeństwo, często działało zupełnie odwrotnie i prowadziło do zapisywania danych logowania przy stanowiskach pracy lub często w innych, łatwo dostępnych miejscach. A czy Ty znasz popularne, małe, żółte karteczki przyklejone pod klawiaturą lub do ekranu monitora?

Więcej
na temat naruszeń znajdziesz w artykule: "Niebezpieczne biurka jak pracownicy narażają firmy".

Europejskie Rozporządzenie o Ochronie Danych osobowych, które weszło w życie 25 maja 2018 roku przewiduje w zakresie stosowanych haseł dostępowych zupełnie nowe podejście. Zniesiono wymóg stosowania odpowiedniej złożoności haseł, ich minimalnej długości i co najważniejsze – częstotliwości zmiany. Wiele osób czytając ten artykuł zapewne odetchnęło teraz z ulgą… Niestety, dopóki organizacje nie zdecydują się na wdrożenie innej formy uwierzytelniania, co prawda rzadziej niż do tej pory, jednak wciąż będziemy musieli je zmieniać.  Nie możemy przecież zrezygnować z bezpieczeństwa na rzecz wygody użytkownika. Z punktu 84 preambuły RODO wynika, iż administrator danych będzie musiał dobrać odpowiednie środki techniczne i organizacyjne w celu zabezpieczenia przetwarzanych danych osobowych na podstawie przeprowadzonej analizy ryzyka. Rzetelnie przeprowadzony proces ma za zadanie wskazać organizacji zagrożenia dla jej infrastruktury IT, wykonać ich prioretyzację, oszacować potencjalne straty związane z naruszeniem bezpieczeństwa oraz zaproponować rozsądne rozwiązania ograniczające ryzyko incydentu.

Inaczej mówiąc nie tylko odpowiednia polityka haseł w systemach informatycznych ale również wszelkie inne zabezpieczenia techniczne i organizacyjne mają być wynikiem takiego procesu. Jego celem jest zidentyfikowanie obszarów lub też zasobów, które nie są zabezpieczone lub zastosowane wobec nich zabezpieczenia nie są wystarczające. Mowa o zasobach, które powodują największe prawdopodobieństwo zmaterializowania się przyjętych zagrożeń w organizacji, a tym samym z ich wykorzystaniem wiąże się wysokie ryzyko dla danych osobowych. Takim właśnie zasobem przekraczającym tzw. wyznaczony przez organizację próg akceptowalności może być właśnie system informatyczny. Oznacza to, że na podstawie zidentyfikowanego zagrożenia i wyników oszacowanego ryzyka dla takiego zasobu organizacja może podjąć decyzję o złagodzeniu, zaostrzeniu stosowanej polityki haseł lub też pozostawić ją na dotychczasowym poziomie, a w ramach działań minimalizujących ryzyko skoncentrować na innym elemencie systemu.

Więcej
na temat analizy ryzyka znajdziesz w naszym artykule:
"Szacowanie ryzyka zgodnie z RODO - Wprowadzenie".

Polityka haseł na gruncie RODO w praktyce

Na gruncie obowiązywania RODO większość organizacji decyduje się na załagodzenie polityki haseł na rzecz wydłużenia częstotliwości ich zmiany. Najczęściej wybieranym okresem są 3 miesiące, a pozostałe wymogi pozostają na niezmienionym poziomie. Co jednak w sytuacji, gdy pracownicy naszej organizacji mają dostęp do dużej ilości systemów i zapamiętanie wszystkich haseł zmieniających się nawet co 90 dni jest dla nich niemożliwe? Dobrym sposobem na poradzenie sobie z tym problemem oraz ułatwienie życia użytkownikom jest udostępnienie dla każdego z nich oprogramowania typu menedżer haseł. Dzięki temu dostęp do zaszyfrowanej bazy ich poświadczeń będzie chroniony jednym silnym kluczem, a pracownik będzie musiał pamiętać tylko hasło do systemu operacyjnego, ewentualnie odszyfrowania dysku oraz menedżera. Popularnym, darmowym programem tego typu jest KeePass. Jest to sejf dla haseł, który nie tylko bezpiecznie przechowa nasze dane logowania ale również wygeneruje nam silne hasła, które następnie automatycznie będzie wprowadzał w panel logowania systemów, z których korzystamy.

Czy nigdy nie powinniśmy zapisywać haseł?

Fundamentalną zasadą postępowania z hasłami dostępowymi jest m.in. zakaz ich zapisywania w łatwo dostępnych miejscach. Od każdej reguły istnieją jednak wyjątki i tak jest również w tym przypadku. Najlepszym przykładem są hasła administracyjne wykorzystywane przez dział IT. Ze względu na ciągłość działania systemów informatycznych hasło głównego administratora powinno zostać zapisane i właściwie zabezpieczone np. poprzez zdeponowanie go w sejfie, w specjalnej zalakowanej kopercie z dostępem dla ściśle ograniczonej liczby osób. Koperta powinna uniemożliwiać podejrzenie hasła, a każda jej próba otwarcia powinna pozostawić widoczne ślady. Takie działanie ma na celu zapobiegnięcie sytuacji, w której administrator zdecyduje się opuścić szeregi pracowników naszej organizacji lub przytrafi mu się jakieś nieszczęście i nie będziemy w związku z tym w stanie wykonać żadnych czynności administracyjnych bez posiadania takich danych. Mimo, iż nie są to codziennie występujące zdarzenia to warto o tym pamiętać, ponieważ taka sytuacja może doprowadzić do paraliżu organizacji.

Oczywiście w przypadku większej ilości administratorów lub osób posiadających uprawnienia uprzywilejowane należy zadbać również o to, aby każda z nich posiadała indywidualny identyfikator i hasło. Zapobiegnie to utracie zasady rozliczalności, dzięki której jesteśmy w stanie w logach systemowych zweryfikować wykonane przez konkretną osobę czynności. Co więcej zakaz współdzielenia identyfikatorów powinien obejmować nie tylko administratorów ale również wszystkich użytkowników systemów informatycznych.

Strefa RODO

Inne wskazówki budowania polityki haseł

Budowanie polityki haseł dostępowych, szczególnie w przypadku kiedy administrujemy większą ilością komputerów z pewnością ułatwia usługa katalogowa active directory, dzięki której w prosty sposób ustandaryzujemy ustawienia w całej sieci lokalnej. Poza powyżej opisanymi wymogami  poprzedniego stanu prawnego i obecnie wykorzystywanej praktyki nie zapomnijmy o konfiguracji innych elementów polityki haseł jak m.in.:

  • konfiguracji zapamiętywania ostatnio użytych haseł dostępowych. Dzięki temu zapobiegniemy sytuacji, w której użytkownik podczas wymuszonej przez system zmiany hasła ustawi taki sam klucz jaki stosował poprzednio,
  • tymczasowym lub całkowitym blokowaniu konta w przypadku kilkukrotnej próby wprowadzenia niepoprawnych danych logowania. Najlepiej jeśli system automatycznie powiadomi administratora o takiej blokadzie. Dzięki takiemu rozwiązaniu zminimalizujemy ryzyko przełamania poświadczeń uwierzytelniających przy użyciu ataków typu brute force oraz zachowamy większą kontrolę nad innymi nieautoryzowanymi próbami włamania,
  • konfiguracji minimalnego czasu życia hasła. Jest to rozwiązanie rzadko stosowane przez administratorów systemów informatycznych ale na pewno wato je wdrożyć. Z pewnością do obejścia zabezpieczenia dot. konfiguracji zapamiętywania ostatnio użytych haseł np. w ilości 10 trzeba wykazać się dużym sprytem jednak nieco bardziej zaawansowani i oporni użytkownicy mogą wpaść na pomysł, aby zmieniać swoje hasło tyle razy, aby mogli wreszcie powrócić do klucza, który używali poprzednio. Reguła minimalnego czasu życia hasła z pewnością skutecznie im przeszkodzi,
  • wymuszania zmiany haseł tymczasowych. Często popełnianym przez pracowników błędem jest brak zmiany hasła przekazanego przez dział IT na potrzeby pierwszego logowania. Jeśli system nie wymusi takiej zmiany lub użytkownik nie wykona tej czynności manualnie to przez okres, w którym było ono używane mamy do czynienia z brakiem rozliczalności działań. Często pracownicy nie są świadomi tego, że skoro używają danych logowania przekazanych przez inną osobę (nieważne, że to dział IT) to znaczy, że oprócz nich ktoś jeszcze ma do tych danych dostęp. Warto pamiętać, że logi systemowe wszelkie czynności wykonane na koncie dostępowym użytkownika przypiszą do jego właściciela, a nie do osoby, która faktycznie działała w systemie.

Czy procedury organizacyjne wystarczą?

Biorąc pod uwagę fakt skuteczności procedur organizacyjnych oraz stopień istotności dobrych haseł dostępowych najlepiej jeśli to system będzie narzucał odpowiednie wymogi. Organizacja nie jest jednak w stanie poprzez reguły narzucane przez system zniwelować wszystkie nierozsądne z punktu widzenia bezpieczeństwa postępowania użytkowników z poświadczeniami logowania. W związku z tym celem dochowania należytej staranności administratora danych oraz wyraźnego nałożenia odpowiedzialności na pracownika w regulaminie pracy, instrukcji zarządzania systemem informatycznym lub innym dokumencie, z którym formalnie zapoznaje się użytkownik powinny znaleźć się stosowne zapisy postępowania z poufnymi poświadczeniami uwierzytelniającymi. Nie obędzie się również bez okresowych szkoleń uświadamiających pracowników.

Więcej
na temat edukacji pracowników znajdziesz  w artykule:
"Ochrona danych osobowych w miejscu pracy – jak edukować pracowników?".

Poniżej przedstawiam kilka podstawowych zasad, o których powinien pamiętać każdy użytkownik systemu informatycznego. Jeśli czytasz ten artykuł, a jesteś osobą odpowiedzialną za bezpieczeństwo w swojej organizacji udostępnij je pracownikom w ramach biuletynu bezpieczeństwa:

  • pod żadnym pozorem nikomu nie udostępniaj swoich haseł dostępowych! Nawet informatykowi. W razie potrzeby uzyskania dostępu do Twoich dokumentów utrwalonych na dysku twardym komputera, dział IT pozyska je poprzez konto administracyjne. Hasło jest informacją poufną, którą nie powinieneś się z nikim dzielić,
  • w razie podejrzenia ujawnienia Twoich danych uwierzytelniających bezzwłocznie zmień hasło! W ten sposób uniemożliwisz lub ograniczysz skutki wycieku danych firmowych. W kolejnym kroku niezwłocznie poinformuj o takiej sytuacji administratora systemów informatycznych lub inną osobę upoważnioną,
  • niezwłocznie, tuż po pierwszym logowaniu zmień tymczasowe hasło dostępowe! Jeśli tego nie zrobisz narazisz się na odpowiedzialność za wykonane przez kogoś czynności na Twoim koncie,
  • nie stosuj haseł posiadających w swojej strukturze nazwy identyfikatora, a podczas okresowej ich zmiany nie wykorzystuj podobnych do poprzednich! W ten sposób utrudnisz przełamanie poświadczeń logowania przez osobę nieupoważnioną,
  • do każdego systemu stosuj różne hasła dostępowe! Przełamanie poświadczeń do jednego z nich nie spowoduje kompromitacji danych w innych systemach,
  • nie zapisuj haseł w łatwo dostępnych miejscach, a przede wszystkim tuż obok stanowiska pracy. Jeśli nie jesteś w stanie zapamiętać ich wszystkich poproś dział IT o instalację oprogramowania do przechowywania poświadczeń logowania w formie zaszyfrowanej.

Mimo, że metody uwierzytelniania oparte na hasłach są bardzo popularne i stosunkowo proste w stosowaniu to wielu nie tylko użytkowników ale i administratorów popełnia w tym zakresie rażące błędy. Dopóki znane w filmach systemy uwierzytelniania oparte o skan siatkówki oka, badanie układu naczyń krwionośnych, czy też charakterystyki tonu głosu nie będą dostępne finansowo dla wszystkich oraz nie będą w pełni skuteczne dopóty do naszych poświadczeń uwierzytelniających jakimi są hasła powinniśmy podchodzić z dużą starannością. Dzięki temu zminimalizujemy ryzyko wycieku czy włamania, a co za tym idzie ryzyka utraty poufności, integralności czy dostępności naszych danych.

-
Udostępnij na: -

Najpopularniejsze

Najnowsze


Damian Gąska
05 lipca 2017

Zapisz się na biuletyn

  • Najważniejsze informacje
  • Nowości, narzędzia, gratisy
  • Raz w miesiącu