בריטניה: הנחיות בעניין השימוש בסיסמאות ובהצפנה לפי ה-GDPR

רגולטור הפרטיות הבריטי פרסם הנחיות חדשות בדבר סיסמאות בשירותים מקוונים והצפנה, לאור תקנות הגנת המידע באירופה (GDPR).

ההנחיה בעניין סיסמאות לשירותים מקוונים מבהירה כי - 

  • השימוש בסיסמאות נכלל תחת החובה לעבד מידע אישי בצורה מאובטחת ולהשתמש לשם כך באמצעים טכניים וארגוניים מתאימים (סעיף 5(1)(f) ל-GDPR). 
  • ארגונים צריכים לשקול האם קיימות חלופות טובות יותר לאבטחת מידע מאשר שימוש בסיסמאות.
  • בשל הסיכונים המוכרים שבשימוש בסיסמאות, השימוש בסיסמאות חייב להיות מתאים לנסיבות הייחודיות של עיבוד המידע.
  • כל מערכת סיסמאות חייבת להגן על עצמה מפני גניבת סיסמאות מאוחסנות ושימוש בטכניקות לניחוש סיסמאות. 
  • בעת תכנון מערכת סיסמאות על ארגונים לקחת בחשבון את השימוש באלגוריתם hashing מתאים כדי לאחסן סיסמאות, להגן על המערכות שבהן משתמשים מזינים את הסיסמאות שלהם, ולשקול שימוש באימות הכולל שני פקטורים (two-factor authentication) כשהדבר אפשרי.
  • כל מערכת סיסמאות צריכה לשקול את אורך הסיסמאות (לא פחות מ-10 אותיות), לאפשר שימוש בסמלים מיוחדים בסיסמא, ולאסור על שימוש בסיסמאות חלשות או נפוצות. 

על פי ההנחיה בעניין הצפנה - 

  • השימוש בהצפנה מדגים תאימות עם עקרון אבטחת המידע ב-GDPR. 
  •  הצפנה היא אמצעי זמין מאוד שעלויות ביצועו נמוכות יחסית. 
  •  לרגולטור הפרטיות הבריטי (ICO) יש סמכות להשתמש באמצעים רגולטוריים במקרים שבהם מידע לא מוצפן אל אף שהוא ניתן להצפנה, וכתוצאה מכך מידע נאבד או נהרס. הסמכות תופעל בהתאם לעובדות שבכל מקרה ומקרה.  
  • ארגונים צריכים לנסח מדיניות הצפנה שתקבע כללים לשימוש בהצפנה ולהעביר הדרכות לעובדים בעניין השימוש בהצפנה וחשיבותה.
  • הצפנה היא אמצעי אבטחה מתאים בעת אחסון מידע אישי או העברתו.
  • בביצוע ההצפנה חשוב לבחור האלגוריתם הנכון, יש לבחור את גודל המפתח הנכון, לבחור את התוכנה המתאימה ביותר ולשמור על מפתח ההצפנה מאובטח. על ארגונים לוודא שפתרון ההצפנה שבחרו בו עומד בסטנדרטים עכשוויים.