Criptarea e una dintre modalitățile de securizare a datelor personale în procesele de prelucrare, recomandată prin chiar regulamentul european intrat în vigoare în luna mai.
"În vederea menținerii securității și a prevenirii prelucrărilor care încalcă prezentul regulament, operatorul sau persoana împuternicită de operator ar trebui să evalueze riscurile inerente prelucrării și să implementeze măsuri pentru atenuarea acestor riscuri, cum ar fi criptarea", se precizează în partea introductivă a GDPR-ului.
Criptarea este o operațiune care presupune restricționarea accesului la un fișier în baza unei parole prestabilite. |
Într-un ghid privind criptarea datelor personale ca măsură de securizare a prelucrărilor, autoritatea britanică de protecția datelor (ICO) subliniază că, din experiența proprie, multe dintre consecințele nefaste ale incidentelor de securitate ar fi putut fi semnificativ reduse dacă operatorii cu pricina ar fi criptat datele personale cu care operau. Cu atât mai mult cu cât metodele de criptare sunt numeroase și nu ridică mari costuri. Astfel, în momentul în care autoritatea română de protecția datelor face un control, folosirea criptării (preferabil, alături de alte metode de securizare a prelucrărilor) va fi o mare "bilă albă" pentru cel controlat.
Criptarea datelor personale stocate și criptarea datelor la transfer sunt cele mai importante utilizări ale acestui mecanism de protejare a datelor, spune ICO. În primul caz, se împiedică accesul și prelucrarea neautorizate de operator, iar în al doilea caz se asigură o protecție în cazul în care transferul e interceptat de terți (neautorizați, evident).
"Ar trebui folosite canale de comunicare criptate la transmiterea datelor personale prin intermediul unei rețele care nu este de încredere. Se pot cripta datele înainte să fie transferate printr-un canal considerat nesigur, operatorul asigurându-se astfel că datele vor fi tot timpul în siguranță. Folosirea doar a unui canal de comunicare sigur, fără o criptare a datelor înainte, oferă garanții privind protecția datelor respective doar pe parcursul cât sunt transferate -- conținutul lor nu va putea fi înțeles chiar dacă e interceptat --, dar apoi vor deveni vulnerabile", punctează ICO în ghidul său.
Cum implementăm criptarea?
Autoritatea britanică recomandă operatorilor care vor să folosească criptarea ca metodă de securizare a datelor să ia în considerare înainte patru chestiuni:
- să aleagă algoritmul potrivit;
- să aleagă dimensiunea potrivită a cheii de acces;
- să aleagă software-ul potrivit;
- să asigure securitatea cheii de acces.
Criptarea, odată implementată, nu va deveni un scut imbatabil și va trebuie căutată de vulnerabilități în mod periodic, mai atrag atenția britanicii de la ICO.
"Operatorii trebuie să se asigure înainte că metoda criptării chiar este eficientă împotriva riscurilor pe care vor să le preîntâmpine - nu este o soluție pentru toată lumea și pentru toate tipurile de prelucrări", subliniază ICO. Nu toate activitățile de prelucrare de date personale pot fi protejate cap-coadă prin criptare (de exemplu, datele conținute într-o foaie de calcul).
Apoi, cei care lucrează pentru operatorul de date și care folosesc datele ce se vor criptate trebuie educați în scopul înțelegerii mecanismului criptării - degeaba se folosește criptarea, dacă angajații sunt neglijenți cu cheia de acces, de exemplu, sau nu criptează datele atunci când e absolut necesar.
Un exemplu de încercare de protejare a datelor de criptare eșuată ar fi următorul: să transferi niște fișiere criptate cu date personale și să-i transmiți destinatarului, prin același canal, explicații privind accesul (decriptarea). Vulnerabilitatea accesului la cheile ce permit decriptarea face ca întreaga operațiune să fie inutilă, într-un final.
Dacă angajații nu înțeleg importanța criptării, degeaba se încearcă implementarea ei, indiferent că vorbim de datele stocate sau de transferul datelor. De pildă, angajații care lucrează în afara biroului plasează într-o zonă periculoasă datele personale care se găsesc pe laptopurile de serviciu. Prin urmare, criptarea datelor stocate pe acele dispozitive este imperios necesară, pentru că ele pot ajunge în mâinile unor terți.
În fine, când vorbim de datele sensibile, cum sunt cele care privesc sănătatea persoanelor, folosirea criptării, alături de alte mecanisme de securizare, este extrem absolut necesară.