Informacijski pooblaščenec Republika Slovenija
    SLO | ENG

NEUSTREZNO ZAVAROVANJE OSEBNIH PODATKOV NA SPLETNIH STRANEH

+ -

V zadnjem obdobju je Informacijski pooblaščenec zaznal opazen porast prijav kršitev varstva osebnih podatkov, ki so posledica slabo zavarovanih ali celo nezavarovanih spletnih strani.

 

Rdeča nit izpostavljenih primerov ni zgolj ugotovitev, da veliko spletnih strani in spletnih strežnikov nima posodobljene in ustrezno konfigurirane programske opreme, zaradi česar so tam locirani podatki izpostavljeni številnim varnostnim ranljivostim. Bolj pomembna je ugotovitev, da je v veliko primerih glavni razlog za nastanek varnostnih incidentov neustrezna omejitev uporabniških pravic in dostopov do posameznih imenikov in tam shranjenih podatkov. Ustrezna omejitev dostopov do podatkov na uporabnike, ki so do teh podatkov upravičeni, je osnovni gradnik informacijske varnosti, in ta – kot se je izkazalo – pogosto manjka celo v primerih, ko gre za obsežno obdelavo posebnih vrst osebnih podatkov, kot so podatki o zdravstvenem stanju.

 

Glede na število zaznanih primerov je očitno, da gre za razširjeno varnostno tveganje, ki je posledica neustrezne skrbnosti upravljavcev spletnih strani in spletnih strežnikov in/ali njihovih zunanjih izvajalcev. Informacijski pooblaščenec zato opozarja vse upravljavce osebnih podatkov in pogodbene obdelovalce, ki osebne podatke obdelujejo tudi na spletnih straneh, naj skrbno preverijo ali so uporabniški dostopi do posameznih imenikov ustrezno omejeni in ali je indeksiranje vsebin, ki ne bi smele biti prosto dostopne, ustrezno preprečeno. V nasprotnem primeru je lahko le vprašanje časa kdaj bodo osebni podatki, ki bi morali biti omejeni na ustrezen krog pooblaščenih uporabnikov, prosto dostopni.

 

 

Nekaj priporočil za ukrepanje:

  1. Preglejte osnovne konfiguracije dostopnih pravic na spletnih straneh in strežnikih. Če je potrebno, jih ustrezno popravite. Shranjevanje (osebnih) podatkov, ki so namenjeni interni rabi, v prosto dostopne imenike, ni dopustno.

  2. Če ste dostopne pravice omejili, a je Google vseeno indeksiral podatke, zaradi česar so kopije podatkov dostopne na spletu, čim prej zahtevajte umik podatkov. V pomoč je orodje URL removal tool: https://www.google.com/webmasters/tools/removals

  3. Če ste zaznali varnostni incident in ne veste kako bi odpravili ugotovljeno ranljivost, stopite v stik s SI-CERT: https://www.cert.si/

  4. Če ste ugotovili, da je posledica varnostnega incidenta nepooblaščena obdelava osebnih podatkov, morate Informacijskemu pooblaščencu poslati uradno obvestilo o kršitvi varstva osebnih podatkov: https://www.ip-rs.si/fileadmin/user_upload/doc/obrazci/ZVOP/OBRAZEC_-_Obvestilo_o_krsitvi_01.docx.

    V pomoč so vam lahko Smernice o obveščanju v primerih kršitev varnosti: ec.europa.eu/newsroom/article29/item-detail.cfm