Preverjanje prepoznavanja ribarjenja podatkov - phishing sporočil

Informacijski pooblaščenec (v nadaljevanju: IP) je prejel vaše zaprosilo za mnenje in sicer vas zanima, ali je eksperiment s strani delodajalca - prirejen phishing email, ki ga razpošlje med zaposlene in se pretvarja, da zahteva uporabniško ime in geslo za dostop do interno poznane aplikacije, legitimno ali kaznivo dejanje. Čeprav naj ne bi zajel gesel se vam zdi, da izvedba ni legitimno dejanje kot tudi že sam poskus eksperimenta ob morebitnem oskrunjenju dostojanstva zaposlenih, morebitnemu ustvarjenju nezaupanja in tako dalje.

Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju na podlagi 58. člena Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (v nadaljevanju: Splošna uredba), 7. točke prvega odstavka 49. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 94/07, uradno prečiščeno besedilo, v nadaljevanju ZVOP-1) ter 2. člena Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05, v nadaljevanju ZInfP) posredujemo naše neobvezno mnenje v zvezi z vašim vprašanjem.

Informacijski pooblaščenec (v nadaljevanju IP) uvodoma pojasnjuje, da sodijo t.i. tehnike ribarjenja podatkov (angl. phishing; več o tem na naši spletni strani: https://www.ip-rs.si/varstvo-osebnih-podatkov/informacijske-tehnologije-in-osebni-podatki/varstvo-osebnih-podatkov-na-internetu/#c412) med precej nevarne in učinkovite načine socialnega inženiringa za izvabljanje podatkov, kot so uporabniška imena in gesla, ter posledično nepooblaščene vstope v informacijske sisteme, zato so prizadevanja, ki jih izvajajo organizacije za ozaveščanje svojih zaposlenih o nevarnostih ribarjenja podatkov načeloma legitimne. Seveda pa se pri tem porajajo vprašanja glede smiselnosti, učinkovitosti in transparentnosti ter - kot tudi sami opozarjate – etičnih in moralnih vidikov preverjanja zaposlenih glede prepoznavanja t.i. phishing sporočil, sporna je lahko tudi sama zakonitost izvedbe preverjanja, kar pa je zelo odvisno od konkretnih okoliščin primera, samo zakonitost (obdelave osebnih podatkov) pri takšnih preverjanjih pa se lahko preveri le v okviru inšpekcijskega postopka.

IP meni, da preverjanje (pre)poznavanja phishing sporočil s strani zaposlenih načeloma ni najbolj primerno, saj lahko vodi v nezaželene odzive in slabo počutje zaposlenih, zlasti če so npr. izpostavljeni kot tisti, ki niso prepoznali lažnega sporočila, zato priporočamo, da se organizacije vzdržijo tovrstnih preverjanj in raje izhajajo iz predpostavke, da je tudi naša organizacija lahko dojemljiva za napade z ribarjenjem podatkov in da je pri tovrstnih napadih veliko bolj kot merjenje stopnje ranljivosti pomembno ustrezno ozaveščanje. Dejstvo je, da so tovrstni napadi na varnost organizacije relativno učinkoviti in izmeriti stopnjo učinkovitosti teh napadov v naši organizaciji najbrž ni primarni in ključni namen organizacije, temveč bi morala biti čim večja odpornost organizacije na take napade, ki je v primeru phishing napadov praktično samo ustrezna ozaveščenost zaposlenih.

IP je izdal priporočila za obrambo pred ribarjenjem podatkov, dostopna so na zgoraj navedeni povezavi, poleg tega pa so lahko v pomoč tudi naše smernice glede kraje identitete, ki so na voljo na:

https://www.ip-rs.si/fileadmin/user_upload/Pdf/brosure/Smernice_kraja_identitete.pdf

S spoštovanjem,

Mojca Prelesnik, univ.dipl.prav.,                                                                                                  

informacijska pooblaščenka

Pripravil:                                                                                                                                 

mag. Andrej Tomšič,

namestnik informacijske pooblaščenke