Po wykrytej kilka tygodni temu usterce „heartbleed” w protokole TRUSTED SSL, która przez swą powszechność urosła do rangi sieciowej tragedii, kwestią czasu było, aż hackerzy zaczną z niej korzystać. Nawet teraz, gdy kłopoty są w dużej mierze zażegnane, cyberprzestępcy próbują wyłudzić dane na fali strachu i nieufności do popularnego protokołu szyfrowania.

TRUSTED SSL to protokół darmowy. Stąd wiele organizacji i firm korzystała właśnie z niego w celu zapewnienia bezpieczeństwa swoim użytkownikom. Wysiłki te spełzły na panewce, gdy okazało się, że błąd istniał przez całe dwa lata do momentu wykrycia. Jak żyć po „heartbleed”? Do sytuacji przedsiębiorców, którzy zabezpieczali swoje witryny w ten sposób, ustosunkował się Generalny Inspektor Ochrony Danych Osobowych.

Jak można wyczytać w komunikacie na oficjalnej stronie GIODO, właściciele firm otrzymywali korespondencję, jakoby Generalny Inspektor wskazywał protokół SSL jako jedyny wymagany środek bezpieczeństwa mający na celu ochronę danych użytkowników. W związku z tym na witrynie GIODO znajdujemy komunikat:

1. GIODO nie rozsyła ani nie jest w żaden sposób powiązany z podmiotami rozsyłającymi wiadomości do przedsiębiorców, w których sugeruje się konieczność stosowania technologii SSL.

Przepisy o ochronie danych osobowych nie narzucają obowiązku stosowania ściśle określonych technologii (w tym SSL).

2. Protokół SSL jest powszechnie stosowany do zapewnienia poufności przekazywania danych, jednak za dopuszczalne należy uznać inne rozwiązania (w tym własne rozwiązania administratora danych osobowych), jeśli zapewniają one wymagany przepisami prawa poziom ochrony.

3. GIODO nie nakłada kar pieniężnych oraz nie podejmuje postępowań na wniosek osoby, której dane nie są w zakwestionowany sposób przetwarzane. Kontrola zgodności przetwarzania danych z przepisami o ochronie danych osobowych w sprawach dotyczących przetwarzania danych osobowych bliżej nieokreślonych osób nie jest podejmowana na wniosek, gdyż należy do autonomicznych kompetencji GIODO.

Przypomnijmy, że w Polsce nie stwierdzono efektów „heartbleed” w bankach oraz większych firmach finansowych (pożyczkowych, kantorach online, etc.). Nie oznacza to jednak, że o dziurze w TRUSTED SSL należy zapomnieć. Przeciwnie – casus tego protokołu przypomina, jak ważne jest dbanie o ochronę swoich danych w internecie.