RODO a cyberbezpieczeństwo: pseudonimizacja wg ENISY

RODO a cyberbezpieczeństwo: pseudonimizacja wg ENISY
Fot. Stock.Adobe.com /Have a nice day
Udostępnij Ikona facebook Ikona LinkedIn Ikona twitter
Pseudonimizacja (PN) danych osobowych to jedno z rozwiązań, które powinno zapewnić bezpieczeństwo ich właścicieli. Ma to szczególne znaczenie w przypadku stosowania rozwiązań analitycznych, gdzie może dochodzić do przetwarzania wrażliwych danych i/lub przetwarzania w ramach outsourcingu.

#MichałNowakowski: To co odróżnia PN od anonimizacji, to fakt, że ten pierwszy proces czyli pseudonimizacja jest odwracalny #Cyberbezpieczeństwo #RODO #ENISA #ObrótBezgotówkowy #OpenBanking @FinregtechPL

Przetwarzane dane, np. w przypadku wykorzystania rozwiązań chmurowych mogą być też narażone na ataki hakerskie, których skala jest coraz większa. PN staje się więc jednym z tych narzędzi, które powinny być uwzględniane w politykach bezpieczeństwa i procesach zarządzania ryzykami IT, a także risk-based approach.

Tematowi od strony zagrożeń cybersecurity dwa miesiące temu zajęła się ENISA, czyli Europejska Agencja ds. Bezpieczeństwa Sieci i Informacji, która opublikowała niezwykle pomocny dokument „Pseudonymisation techniques and best practices. Recommendations on shaping technology according to data protection and privacy provisions”.

PN została zdefiniowana w Rozporządzeniu 2016/679 (art. 4 pkt 5) i można ją określić jako metodę przetworzenia danych osobowych w taki sposób, aby nie można było ich przypisać konkretnej osobie bez użycia dodatkowych środków. Takie dodatkowe środki (np. indywidualny numer klienta) powinny być przechowywane w odpowiedni sposób.

To co odróżnia PN od anonimizacji, to fakt, że ten pierwszy proces czyli pseudonimizacja jest odwracalny. Przykładowo, po przekazaniu danych i ich przetworzeniu, administrator jest w stanie przypisać rezultaty przetwarzania konkretnym osobom fizycznym (np. w celu określenia profilu konsumenta).

Podmiot, który analizuje te dane otrzymuje jedynie „zaszyfrowane” dane, które nie pozwalają na zidentyfikowanie określonych osób. To z resztą jeden ze scenariuszy wskazywanych przez ENISA.

Risk-based approach

Art. 25 (tutaj musimy pamiętać o tym, aby na etapie projektowania rozwiązań technologicznych i współpracy z podmiotami trzecimi, uwzględnić zasadę privacy and security by default) i 32 przewidują, że do ochrony danych osobowych stosujemy środki proporcjonalne do skali ryzyka wycieku danych, uwzględniając również wagę.

Źródło: ENISA,

Jednym z narzędzi, które mogą być zastosowane w celu zminimalizowania takiego ryzyka jest właśnie PN i szyfrowanie danych. Metod PN jest kilka, a więc i ich skuteczność jest różna. Administrator oraz przetwarzający muszą wdrożyć takie środki, które odpowiadają zagrożeniom i modelowi biznesowemu. ENISA prezentuje tutaj kilka możliwych wariantów.

Dokonując tej analizy należy spojrzeć na szereg czynników, w tym: przed kim zamierzamy ukryć dane, czy też jaki ma być rezultat przetwarzania danych i zarazem ich PN. Ważne jest również uwzględnienie ewentualnego czasu na wdrożenie konkretnej metody.

Musimy również pamiętać, że wrażliwość danych może być różna (dane, o których mowa w art. 9 RODO versus „reszta”). Te elementy powinny znaleźć odzwierciedlenie w polityce bezpieczeństwa danych lub innym dokumencie, który opisuje proces ochrony danych osobowych.

Metody pseudonimizacji

ENISA wskazuje na kilka rozwiązań. Podstawowym, ale i najmniej bezpiecznym sposobem jest przypisanie zestawowi danych kolejnych numerów porządkowych. Wersją „rozszerzoną” będzie losowe generowanie numerów dla poszczególnych zestawów danych.

Kolejną metodą może być stosowanie metod kryptograficznych (hashowanie – np. ciąg znaków), czy też wykorzystanie kodów uwierzytelniania wiadomości (MAC) – szczególnie istotne, jeżeli zależy nam na integralności przetwarzanych danych.

Ponieważ nie ma jednej całkowicie skutecznej metody oraz jasnych wytycznych w zakresie przypisania tych metod do określonej skali zagrożeń dla przetwarzanych danych, można się spodziewać, że Komisja (UE) oraz organy ochrony danych osobowych wypełnią w przyszłości tę lukę.

Źródło: ENISA

Na jakie ataki musimy być przygotowani?

ENISA wskazuje na trzy najbardziej popularne sposoby przełamywania zabezpieczeń opartych o pseudonimizację:

− Brute force attack – atak siłowy;

− Wyszukiwanie słownikowe;

− Guesswork.

Skuteczność tego typu ataków jest uzależniona od kilku czynników, w tym od wielkości bazy danych, czy też stosowanej metody PN (ENISA wskazuje na 6 konkretnych elementów, które należy tutaj wziąć pod uwagę).

Te elementy powinny być również uwzględnione w odpowiednich politykach i procedurach w zakresie cyberbezpieczeństwa.

Co jeszcze jest zagrożeniem?

Ponieważ PN opiera się o co najmniej dwa zestawy danych:

− dane podlegające PN oraz

− dane pozwalające na „odszyfrowanie” tych danych,

To wejście w posiadanie danych z pkt 1 nie musi oznaczać wycieku danych, o ile nie będzie możliwe ich przypisanie do konkretnych osób.

Źródło: ENISA

Jedna z technik wskazanych powyżej może jednak ułatwić uzyskanie tych informacji, jeżeli przykładowo administrator zastosował metodę dopisywania do unikalnego ciągu cyfr i liter, np. roku urodzenia. Przełamanie tego zabezpieczenia może więc polegać na „zgadywaniu”, co może być jeszcze bardziej skuteczne, jeżeli przełamującym zabezpieczenia jest osoba zatrudniona u administratora.

ENISA przedstawiła też kilka konkretnych przykładów PN danych, jak np. adres IP czy adres e-mail.

Co więc rekomenduje ENISA

Po pierwsze zwrócenie uwagi na to, czy zastosowane metody odpowiadają zidentyfikowanemu zagrożeniu (tutaj bardzo istotny będzie udział funkcji kontroli).

Po drugie, zawsze należy pracować na konkretnych „use case’ach” i realnych przykładach zagrożeń.

Ważne jest też posiadanie odpowiednich rozwiązań organizacyjnych i technicznych (np. na wzór tych przewidzianych dla Operatorów Usług Kluczowych).

Czytaj także: Nowe wymogi w zakresie cyberbezpieczeństwa dla Operatorów Usług Kluczowych

Wiele zależy też od podejścia regulatorów oraz prawodawców.

Ważne jest wypracowanie konkretnych wytycznych, które pozwolą na stosowanie (w jakiś sposób) zunifikowanych metod PN − to zresztą wynika z art. 40 RODO.

Michał Nowakowski, https://pl.linkedin.com/in/michal-nowakowski-phd-35930315, Counsel w Citi Handlowy, założyciel www.finregtech.pl.

Opinie wyrażone w artykule są osobistymi opiniami Autora i nie mogą być utożsamiane z jakąkolwiek instytucją, z którą Autor jest lub był związany.

Źródło: FinregtechPl