RODO a cyberbezpieczeństwo: pseudonimizacja “oczami” Europejskiej Agencji ds. Bezpieczeństwa Sieci i Informacji

Pseudonimizacja (PN) danych osobowych to jedno z rozwiązań, które powinno zapewnić bezpieczeństwo ich „właścicieli”. Ma to szczególne znaczenie w przypadku stosowania rozwiązań analitycznych gdzie może dochodzić do przetwarzania wrażliwych danych i/lub przetwarzania w ramach outsourcingu (więcej o analityce danych w tym artykule). Przetwarzane dane, np. w przypadku wykorzystania rozwiązań chmurowych (więcej tutaj), mogą być też narażone na ataki hakerskie, których skala jest coraz większa. PN staje się więc jednym z tych narzędzi, które powinny być uwzględniane w politykach bezpieczeństwa i procesach zarządzania ryzykami IT (o wytycznych w tym zakresie m.in. tutaj i tutaj), a także risk-based approach. Tematowi od strony zagrożeń cybersecurity dwa miesiące temu zajęła się ENISA, czyli Europejska Agencja ds. Bezpieczeństwa Sieci i Informacji, która opublikowała niezwykle pomocny dokument „Pseudonymisation techniques and best practices. Recommendations on shaping technology according to data protection and privacy provisions”. W artykule przybliżę sam dokument oraz kwestie związane z PN. Zaczynamy pierwszą część!

PN została zdefiniowana w Rozporządzeniu 2016/679 (art. 4 pkt 5) i można ją określić jako metodę przetworzenia danych osobowych w taki sposób, aby nie można było ich przypisać konkretnej osobie bez użycia dodatkowych środków. Takie dodatkowe środki (np. indywidualny numer klienta) powinny być przechowywane w odpowiedni sposób. To co odróżnia PN od anonimizacji, to to też ten pierwszy proces jest odwracalny. Przykładowo, po przekazaniu danych i ich przetworzeniu, administrator jest w stanie przypisać rezultaty przetwarzania konkretnym osobom fizycznym (np. w celu określenia profilu konsumenta). Podmiot, który analizuje te dane otrzymuje jedynie „zaszyfrowane” dane, które nie pozwalają na zidentyfikowanie określonych osób. To z resztą jeden ze scenariuszy wskazywanych przez ENISA.

Risk-based approach

Art. 25 (tutaj musimy pamiętać o tym, aby na etapie projektowania rozwiązań technologicznych i współpracy z podmiotami trzecimi, uwzględnić zasadę privacy and security by default) i 32 przewidują, że do ochrony danych osobowych stosujemy środki proporcjonalne do skali ryzyka wycieku danych (uwzględniając również wagę). Jednym z takich narzędzi, które mogą być zastosowane w celu zminimalizowania takiego ryzyka jest właśnie PN i szyfrowanie danych. Metod PN jest kilka, a więc i ich skuteczność jest różna. Administrator (oraz przetwarzający) muszą więc wdrożyć takie środki, które odpowiadają zagrożeniom i modelowi biznesowemu (ENISA prezentuje tutaj kilka możliwych wariantów).

Dokonując tej analizy należy spojrzeć na szereg czynników, w tym przed kim zamierzamy ukryć dane czy też jaki ma być rezultat przetwarzania danych i zarazem ich PN). Ważne jest również uwzględnienie ewentualnego czasu na wdrożenie konkretnej metody. Musimy również pamiętać, że „wrażliwość” danych może być różna (dane, o których mowa w art. 9 RODO versus „reszta”). Te elementy powinny znaleźć odzwierciedlenie w polityce bezpieczeństwa danych lub innym dokumencie, który opisuje proces ochrony danych osobowych.

Metody pseudonimizacji

ENISA wskazuje na kilka rozwiązań. Podstawowym, ale i najmniej bezpiecznym sposobem jest przypisanie zestawowi danych kolejnych numerów porządkowych. Wersją „rozszerzoną” będzie losowe generowanie numerów dla poszczególnych zestawów danych. Kolejną metodą może być stosowanie metod kryptograficznych (hashowanie – np. ciąg znaków) czy też wykorzystanie kodów uwierzytelniania wiadomości (MAC) – szczególnie istotne, jeżeli zależy nam na integralności przetwarzanych danych.

Ponieważ nie ma jednej całkowicie skutecznej metody oraz jasnych wytycznych w zakresie przypisania tych metod do określonej skali zagrożeń dla przetwarzanych danych, można się spodziewać, że Komisja (UE) oraz organy ochrony danych osobowych wypełnią w przyszłości tę lukę.

Na jakie ataki musimy być przygotowani?

ENISA wskazuje na trzy najbardziej popularne sposoby przełamywania zabezpieczeń opartych o pseudonimizację:

1. Brute force attack – atak siłowy;
2. Wyszukiwanie słownikowe;
3. Guesswork

Skuteczność tego typu ataków jest uzależniona od kilku czynników, w tym od wielkości bazy danych czy też stosowanej metody PN (ENISA wskazuje na 6 konkretnych elementów, które należy tutaj wziąć pod uwagę). Te elementy powinny być również uwzględnione w odpowiednich politykach i procedurach w zakresie cyberbezpieczeństwa.

Co jeszcze jest zagrożeniem?

Ponieważ PN opiera się o co najmniej dwa zestawy danych:

1. Dane podlegające PN oraz
2. Dane pozwalające na „odszyfrowanie” tych danych,

To wejście w posiadanie danych z pkt 1 nie musi oznaczać wycieku danych, o ile nie będzie możliwe ich przypisanie do konkretnych osób. Jedna z technik wskazanych powyżej może jednak ułatwić uzyskanie tych informacji, jeżeli przykładowo administrator zastosował metodę dopisywania do unikalnego ciągu cyfr i liter, np. roku urodzenia. Przełamanie tego zabezpieczenia może więc polegać na „zgadywaniu”, co może być jeszcze bardziej skuteczne, jeżeli przełamującym zabezpieczenia jest osoba zatrudniona u administratora.

ENISA przedstawiła też kilka konkretnych przykładów PN danych jak np. adres IP czy adres e-mail.

Co więc rekomenduje ENISA

Po pierwsze zwrócenie uwagi na to czy zastosowanie metody odpowiadają zidentyfikowanemu zagrożeniu (tutaj bardzo istotny będzie udział funkcji kontroli). Po drugie, zawsze należy pracować na konkretnych „use case’ach” i realnych przykładach zagrożeń. Ważne jest też posiadanie odpowiednich rozwiązań organizacyjnych i technicznych (np. na wzór tych przewidzianych dla Operatorów Usług Kluczowych – więcej tutaj).

Wiele zależy też od podejścia regulatorów oraz oraz prawodawców. Ważne jest wypracowanie konkretnych wytycznych, które pozwolą na stosowanie (w jakiś sposób) zunifikowanych metod PN (to z resztą wynika z art. 40 RODO).