Informacijski pooblaščenec opozarja na neustrezno zavarovane podatke na spletnih straneh

V uradu informacijske pooblaščenke Mojce Prelesnik so danes opozorili, da so v zadnjem času zaznali opazen porast prijav kršitev varstva osebnih podatkov, ki so posledica slabo zavarovanih ali celo nezavarovanih spletnih strani. Glede na število zaznanih primerov je po oceni urada očitno, da gre za razširjeno varnostno tveganje.

LJUBLJANA > Za Informacijskega pooblaščenca je posebej pomembna ugotovitev, da je v veliko primerih glavni razlog za nastanek varnostnih incidentov neustrezna omejitev uporabniških pravic in dostopov do posameznih imenikov in tam shranjenih podatkov. Težava torej ni zgolj v tem, da veliko spletnih strani in strežnikov nima posodobljene in ustrezno konfigurirane programske opreme.

“Ustrezna omejitev dostopov do podatkov na uporabnike, ki so do teh podatkov upravičeni, je osnovni gradnik informacijske varnosti, in ta - kot se je izkazalo - pogosto manjka celo v primerih, ko gre za obsežno obdelavo posebnih vrst osebnih podatkov, kot so podatki o zdravstvenem stanju,” so zapisali pri Informacijskem pooblaščencu.

Poziv upravljalcem osebnih podatkov

Vse upravljalce osebnih podatkov in pogodbene obdelovalce, ki osebne podatke obdelujejo tudi na spletnih straneh, so zato pozvali, naj skrbno preverijo ali so uporabniški dostopi do posameznih imenikov ustrezno omejeni in ali je indeksiranje vsebin, ki ne bi smele biti prosto dostopne, ustrezno preprečeno.

V nasprotnem primeru je lahko po oceni Informacijskega pooblaščenca “le vprašanje časa, kdaj bodo osebni podatki, ki bi morali biti omejeni na ustrezen krog pooblaščenih uporabnikov, prosto dostopni”. Upravljalcem spletnih strani in strežnikov so v njegovem uradu med drugim priporočili, naj pregledajo osnovne konfiguracije dostopnih pravic na straneh in strežnikih.

“Če ste ugotovili, da je posledica varnostnega incidenta nepooblaščena obdelava osebnih podatkov, morate informacijskemu pooblaščencu poslati uradno obvestilo o kršitvi varstva osebnih podatkov,” so tudi opozorili pri pooblaščencu.

Izvidi dostopni prek googla

Sicer je pred dobrim tednom javnost razburila ugotovitev, da so bili izvidi in napotnice oseb, ki so se naročile na pregled v izolski bolnišnici od začetka leta 2016, dostopni kar prek googla. Informacijski pooblaščenec je zoper bolnišnico uvedel inšpekcijski postopek zaradi neustreznega zavarovanja osebnih in posebne vrste osebnih podatkov.

V podobnih primerih, ko osebni podatki niso več nezavarovano dostopni na spletni strani ustanove oziroma podjetja, ampak obstajajo le še kot posnetki datotek v iskalniku google, je pomembno, da ustanova čim prej obvesti google in zahteva umik podatkov. Google se po dosedanjih izkušnjah praviloma hitro odzove na takšne zahteve, so še zapisali pri pooblaščencu.

---