NBUSR123 a primerané opatrenia

Otázka primeranosti opatrení, ktoré má prijať prevádzkovateľ informačného systému s osobnými údajmi ma napadla práve pri čítaní o posledných detailoch Kauzy NBUSR123. Prečo práve pri tejto kauze? Lebo práve tento prípad odzrkadľuje rôznorodosť predstáv prevádzkovateľov o tom, čo je primerané, a teda podľa nich dostatočné, zabezpečenie ochrany osobných údajov (hoci o osobné údaje v kauze NBUSR123 primárne nešlo).

Primeranosť technických, organizačných a personálnych opatrení ustanovuje paragraf 15 odsek 1 zákona o ochrane osobných údajov. Pochybnosť vo vzťahu k nej vyvoláva už samotné heslo, ktoré sa stalo pre svoju spevnosť synonymom detinského prístupu k bezpečnosti a predmetom posmeškov. Prečo sú dôležité silné heslá, snáď nie je potrebné vysvetľovať. Vo vzťahu k primeranosti prijatých bezpečnostných opatrení však treba pripomenúť, v prípade bezpečnostného incidentu, ktorý už nastal a mal za následok únik osobných údajov, môže byť práve silné heslo aspoň poľahčujúcou okolnosťou (možno i záchranou pred pokutou ak inde nepochybil). Pokiaľ by bolo prevádzkovateľovi preukázané, že dôvodom, pre ktorý sa incidentu nezabránilo bolo práve ľahko uhádnuteľné heslo, tak mu v žiadnom prípade neprejde tvrdenie, že jeho bezpečnostné opatrenia boli primerané a napriek tomu nebolo možné incidentu zabrániť. Označiť náhodné uhádnutie hesla za zvyškové riziko by bolo prinajmenšom komické.

Použitie skutočne silného hesla nie je teda len najlacnejším spôsobom ako predchádzať náhodným incidentom a urobiť cielené útoky na informačný systém ťažšími, ale aj opatrením, ktoré môže spolu s ďalšími úkonmi potrebnými za zabezpečenie integrity, dostupnosti a dôvernosti spracúvaných dát minimalizovať určitú skupinu hrozieb (uhádnutie hesla a získanie prístupu).