Osobna digitalna sigurnost i lozinke

Sigurnost osobnih podataka u interesu je i pojedinaca i organizacija koje te podatke obrađuju. Kako bi se procijenili rizici koje generira svaka obrada, najprije je potrebno identificirati potencijalni utjecaj na prava i slobode pojedinaca. Iako organizacije moraju štititi podatke (osobne ili ne) i radi vlastitih interesa, naglasak je na zaštiti podataka pojedinaca.

Sigurnost podataka obuhvaća tri glavne komponente: zaštitu integriteta, dostupnosti i povjerljivosti podataka. Organizacije stoga trebaju procijeniti rizike za:

• neovlašten ili slučajan pristup podatcima – povreda povjerljivosti (npr. krađa identiteta nakon otkrivanja platnih lista zaposlenika)
• neovlaštenu ili slučajnu izmjenu podataka – povreda integriteta (npr. lažno optuživanje osobe zbog izmjene pristupnih zapisa)
• gubitak podataka ili pristupa podatcima – povreda dostupnosti (npr. nemogućnost uočavanja interakcije lijekova zbog nedostupnosti elektroničkog kartona pacijenta).

Potrebno je i identificirati izvore rizika (tj. tko ili što može biti uzrok sigurnosnog incidenta), uzimajući u obzir ljudske unutarnje i vanjske izvore (npr. IT administrator, korisnik, vanjski napadač, konkurent) i druge unutarnje ili vanjske izvore (npr. poplava, opasne tvari, slučajni računalni virus).

Identifikacija izvora rizika omogućuje prepoznavanje prijetnji (tj. okolnosti koje mogu dovesti do sigurnosnog incidenta) vezanih uz imovinu (npr. hardver, softver, komunikacijski kanali, papir), koja može biti:

• korištena na neodgovarajući način (npr. zlouporaba prava, pogreška pri rukovanju)
• izmijenjena (npr. keylogger, instalacija zlonamjernog softvera)
• izgubljena (npr. krađa prijenosnog računala, gubitak USB memorije)
• promatrana (npr. gledanje u ekran u vlaku, geolokacija uređaja)
• oštećena (npr. vandalizam, prirodno propadanje)
• preopterećena (npr. puni disk, napad uskraćivanjem usluge)
• nedostupna (npr. slučaj ransomware napada).

Preporučuje se i:

• odrediti postojeće ili planirane mjere za upravljanje svakim rizikom (npr. kontrola pristupa, sigurnosne kopije, praćenje, fizička zaštita, enkripcija)
• procijeniti ozbiljnost i vjerojatnost rizika, koristeći ljestvicu (zanemarivo, umjereno, značajno, maksimalno)
• provesti i pratiti mjere, ako se ocijene odgovarajućima
• redovito provoditi sigurnosne audite, pri čemu svaki treba rezultirati akcijskim planom čija provedba mora biti praćena na najvišoj razini organizacije.

Opća uredba o zaštiti podataka (GDPR) uvodi pojam procjene učinka na zaštitu podataka (DPIA), obvezne za svaku obradu osobnih podataka koja bi mogla rezultirati visokim rizikom za pojedince. DPIA mora sadržavati planirane mjere za upravljanje utvrđenim rizicima, uključujući zaštitne mjere, sigurnosne postupke i mehanizme za osiguranje zaštite osobnih podataka.