Fraza iz naslova predstavlja jednu od temeljnih pogrešaka u osnovnim sigurnosnim mjerama na sustavima i nije rijetka pojava.
Odgovarajuće i danas neophodne mjere kibernetičke sigurnosti unutar svake organizacije zahtijevaju, između ostalog, kontrolu pristupa višu od običnog korisničkog imena i lozinke.
To može biti, na primjer, višefaktorska autentifikacija, certifikati, tokeni ili PKI rješenja.
Provjera autentičnosti korisnika samo korisničkim imenom i lozinkom donosi rizik od zlouporabe i da takav pristup sustavima bude omogućen i neovlaštenoj osobi.
Korištenje naprednog algoritma za nepovratnu enkripciju (npr. hashing) svih pohranjenih lozinki, jedna je od osnovnih metoda njihove zaštite kad su pohranjene u sustavu i kako bi se onemogućilo njihovo čitanje i zlouporaba.
Ovo bi se pravilo trebalo primjenjivati bez obzira na opseg ili prirodu obrađenih osobnih podataka.
Naime, nije tajna da mnogi od nas često koristimo iste lozinke na različitim internetskim uslugama. Time otvaramo visok rizik da neki zlonamjernik, ukoliko sazna našu lozinku, lako je može iskombinirati s našom privatnom ili službenom email adresom i pokušati se logirati na društvene mreže, razne internetske stranice, aplikacije i poslovne sustave i nanijeti nam nemjerljivu štetu.
Enkripcija pohranjenih lozinki u sustavu itekako je obvezna u poslovnim sustavima, u najmanju ruku time sprječavamo da zaposlenici s pravima pristupa pokušaju zlorabiti te lozinke, a da ne spominjemo hakere i što sve oni mogu s njima.
Da pojednostavimo, "Storing passwords in plain text" u najmanju ruku predstavlja neprimjerenu i nedovoljnu zaštitnu mjeru i izravno kršenja članka 32. GDPR-a.
Dansko nadzorno tijelo za zaštitu osobnih podataka je u nadziranim organizacijama posebno provjeravalo postojanje takvih sigurnosnih propusta i u više slučaja otkrilo takvu praksu.
Badava nam svi GDPR papiri ovog svijeta ako na tome padnemo...
Danski primjeri su ovdje:
https://gdprhub.eu/index.php?title=Datatilsynet_(Denmark)_-_2022-441-12449&mtc=today
https://gdprhub.eu/index.php?title=Datatilsynet_(Denmark)_-_2021-431-0144&mtc=today
Photo by Mikhail Nilov from Pexels
#gdprcroatia