Oświadczenie w sprawie propozycji zmiany środków bezpieczeństwa stosowanych przy dostępnie do danych osobowych

Łukasz Borchmann
Fundacja CADR

W dniu wczorajszym Karol Breguła, znany szerzej jako Adam Dobrawy, wystosował petycję adresowaną do Minister Cyfryzacji, w sprawie zmiany przepisów rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz. U. z 2004 r. Nr 100, poz. nota bene 1024).

Jej zasadniczą treść stanowi stwierdzenie, iż „przepisy powinny przewidywać możliwości autoryzacji wieloskładnikowej zamiast wymogu ciągłej zmiany haseł, albo że wymóg zmiany haseł powinien zostać ograniczony w przypadku wprowadzenia takiej formy autoryzacji”.

Fundacja podziela stanowisko autora, że zmiana ustanowionych przeszło dziesięć lat temu regulacji w tym zakresie jest uzasadniona oraz wątpliwości jego i przywoływanych w petycji opinii odnośnie polityki wymuszonej zmiany haseł. Jak pisze Breguła:

Nie wszyscy posiadają zdolność zapamiętania złożonych haseł, co prowadzi do ponownego używania haseł w wielu miejscach lub stosowania haseł schematycznych z wykorzystaniem prostych transformacji. W takim wypadku zbyt skomplikowane i często zmieniane hasła prowadzą do zapisywania ich w jawnej formie, co może narażać na ich kradzież.

Jest to słuszne spostrzeżenie, które w literaturze przedmiotu trafnie wyraził Singer i Anderson
w słowach „bezpieczeństwo zależy od użyteczności”.

Istnieją propozycje rozwiązania powyższego problemu wykraczające poza przedmiot wspomnianej petycji, które warto rozważyć przy okazji zmiany rozporządzenia, o którym mowa. Proponuje się m.in. hasła generowane losowo, a składające się nie z małych i wielkich liter oraz cyfr (jak w przywoływanym rozporządzeniu), ale z ciągu słów z danego języka naturalnego.

W odniesieniu do siły hasła stosuje się wyrażoną w bitach i zaczerpniętą z teorii informacji miarę zwaną entropią. Jej wartość przy haśle zgodnym z obecnymi wytycznymi dla podwyższonego poziomu bezpieczeństwa wynosi 47,50. Hasła pięciowyrazowe, generowane losowo ze zbioru 10 tys. najpopularniejszych wyrazów mają entropię na poziomie 66,44, a mogą być przy tym łatwiejsze do zapamiętania.

W przypadku uwzględnienia petycji i ewentualnej nowelizacji przedmiotowych przepisów warto zastanowić się więc również nad zmianą sposobu określania siły hasła, narzucając nie tyle konkretne rozwiązanie, co wymaganą od metody generowania haseł entropię.

CADR popiera zasadniczą treść petycji Karola Breguły, czemu dajemy wyraz z tego miejsca i co zaznaczymy również w piśmie skierowanym do Minister Cyfryzacji, w którym poczynimy również inne uwagi odnoszące się do obecnych uregulowań. Wierzymy, że w toku konsultacji społecznych, w których Centrum z chęcią weźmie udział, udałoby się ustalić wytyczne przystające do obecnych warunków i ustaleń wskazanych w literaturze przedmiotu.