Български English Français
Начало » Полезна информация » Съвети към администраторите и обработващите лични данни за защита на данните в киберпространството

Съвети към администраторите и обработващите лични данни за защита на данните в киберпространството

 Дигиталната среда за обработване и съхраняване на данни поражда множество предизвикателства пред сигурността на информацията и в частност – на личните данни. Уязвимостите в компютърните системи и мрежи са обект на различни интереси, нерядко със злонамерен характер. Своевременното им откриване и отстраняване им е отговорност на съответните администратори. Практиката на КЗЛД при обработване на подадени уведомления за нарушения на сигурността на данните по чл. 33 от Регламент (ЕС) 2016/679, свързани с пробиви в киберсигурността, показва многообразие от случаи на нарушения, които биха могли да бъдат предотвратени с навременни мерки.
Ето и някои примери:
Банка е станала жертва на кибератака срещу един от своите сайтове за онлайн банкиране. За да се стигне до пробива в сигурността са използвани всички възможни идентификатори за вход, като е използвана фиксирана тривиална парола (напр. Password1).
Базите данни на сайт за онлайн пазаруване са били достъпени и изтеглени, след като кибернападател е научил и използвал потребителското име и паролата на администраторския профил на сайта.
Сървърите на фирма, предлагаща приложение, използвано от застрахователи за сключване на застраховки, са били хакнати. За да получи достъп до сървърите хакерът е използвал потребителските имена на служители на фирмата и приложение, което генерира и прилага милиони пароли за кратък период от време.
Базите данни на фирма за събиране на задължения са били блокирани, след като неин служител е отворил фишинг имейл, който е заразил служебния му компютър с вирус.
Много често представители на малкия и среден бизнес разчитат на факта, че данните, които обработват, не са чувствителни или пък не се отнасят до голям брой лица и затова киберпрестъпниците не биха имали интерес да проникнат в тяхната компютърна инфраструктура. Напротив, много от киберпрестъпниците имат за цел точно малкия и среден бизнес, тъй като предполагат, че или не са заделени достатъчно средства за киберсигурност, или тя е била подценена. Често големите бизнеси са доста по-трудни за пробиване, защото те заделят сериозни средства за ИТ сигурност и постоянно подобряване на тяхната киберзащита. Затова силно препоръчваме на малкия и среден бизнес да въведе поне някои от предоставените съвети, които не изискват заделянето на допълнителни средства.
Според Регламент (ЕС) 2016/679, прилагането на подходящи технически и организационни мерки за осигуряване на сигурност на данните е основно задължение на администраторите и обработващите лични данни. В регламента са посочени и конкретни технически и организационни мерки за сигурност, като:
- Псевдонимизация;
- Криптиране;
- Гарантиране на постоянна поверителност, цялостност, наличност и устойчивост на системите и услугите за обработване;
- Своевременно възстановяване на наличността и достъпа до личните данни в случай на физически или технически инцидент;
- Редовно изпитване, преценяване и оценка на ефективността на техническите и организационните мерки.
В тази връзка и с цел акцентиране върху сигурността на обработване на личните данни в информационните системи, КЗЛД насочва вниманието на администраторите и обработващите към следните практични съвети: 
 Съвет Пояснения
 1. Въвеждане на високи изисквания за пароли  Изискване за дължина и ползване на големи и малки букви, цифри и символи. Изискване за периодична смяна на паролата (през 60-90 дни).
 2. Въвеждане на двуфакторна (мултифакторна) идентификация  Изисква се въвеждането на допълнителна информация от потребителя, например ПИН код, отговор на „таен въпрос, еднократна парола (автоматично генерирана парола след всеки опит за влизане в потребителския профил, получавана обикновено чрез имейл или СМС), и т.н.
 3. Въвеждане на ограничение за грешно въведени пароли При този метод се ограничава броя на грешно въведени пароли, за да се намали значително риска от brute force” атака (между 3 и 5 грешни опита за влизане).
 4. Редовни актуализации на софтуера и фърмуера Редовните актуализации на софтуера и фърмуера премахват критичните уязвимости, които хакерите използват за достъп до устройствата и системите.
 5. Използване на антивирусни програми

Антивирусните програми блокират достъпа на злонамерени софтуери и вируси до вашите устройства и компрометирането на съхраняваните данни.

 6. Използване на защитни стени Защитните стени откриват хакери, вируси и друга злонамерена дейност в интернет и определя какъв входящ трафик е разрешен до вашите устройства.
 7. Редовно архивиране на данните
Архивирането помага за възстановяване на данните в случай на хакерска атака и загуба на тяхната наличност.
 8. Криптиране на данните Криптирането на данните ограничава риска от нарушаване на поверителността на данните.
9. Редовно обучение на персонала във връзка с правилата за киберсигурност
10. Въвеждане на План за реакция при инцидент с киберсигурността
 

 Съветите имат препоръчителен характер и не претендират за изчерпателност.

За да отговори на необходимостта от повече яснота относно предварителните и последващи действия на администраторите във връзка както с предотвратяването, така и с реакцията на нарушенията на сигурността на личните данни, в началото на 2021 г. Европейският комитет по защита на данните подготви и публикува за обществена консултация Насоки 01/2021 с конкретни примери. От множеството предложения и мнения за допълнение към документа е видна изключителната заинтересуваност и ангажираност към темата на широк кръг заинтересувани лица - надзорни органи, бизнес организации, неправителствени организации, физически лица.

 


Комисия за защита на личните данни, София 1592, бул. „Проф. Цветан Лазаров” № 2
Cookie Settings