Zalecenia i wytyczne dotyczące pseudonimizacji

European Union Agency for Cybersecurity (ENISA) opublikowała w listopadzie 2019 r. wytyczne  dotyczące technik i najlepszych praktyk w zakresie pseudonimizacji: https://www.enisa.europa.eu/publications/pseudonymisation-techniques-and-best-practices

Powstanie raportu związane jest z realnymi problemami i wyzwaniami, obserwowanymi w związku z wdrażaniem pseudonimizacji w praktycznych zastosowaniach.

Wychodząc od kilku scenariuszy pseudonimizacji, wytyczne określają najpierw główne strony, które mogą być zaangażowane w proces pseudonimizacji wraz z ich możliwymi rolami. Następnie analizują różne modele adwersarzy i sposoby ataków na pseudoidentyfikatory, takie jak atak siłowy, atak słownikowy, czy zgadywanie na podstawie informacji pośrednich. Ponadto wytyczne przedstawiają główne techniki pseudonimizacji (np. licznik, generator liczb losowych, kryptograficzna funkcja skrótu, kod uwierzytelniania wiadomości i szyfrowanie) oraz dostępne obecnie podejścia pseudonimizacji (np. pseudonimizacja deterministyczna, częściowo lub w pełni losowa).

W wytycznych omówiono kryteria wyboru właściwych technik pseudonimizacji, takich jak ochrona, skalowalność i odzyskiwanie danych. Analizowane są także konkretne przypadki zastosowania różnych identyfikatorów, takich jak adres IP lub adres e-mail. Omówiony jest również bardziej złożony przypadek zastosowania pseudonimizacji wielu rekordów danych, z analizą możliwości ponownej identyfikacji.

W dokumencie podkreślono, że nie istnieje tylko jedno rozwiązanie lub jeden sposób na wdrożenie pseudonimizacji, który sprawdza się we wszystkich branżach lub we wszystkich scenariuszach zastosowań. Wręcz przeciwnie, prawidłowe zastosowanie pseudonimizacji wymaga wysokiego poziomu kompetencji, aby finalny jej wynik minimalizował zagrożenie atakami kryptologicznymi lub reidentyfikacyjnymi, przy jednoczesnym zachowaniu stopnia użyteczności niezbędnego do przetwarzania danych opatrzonych pseudonimem.

Chociaż wszystkie znane techniki pseudonimizacji mają swoje własne, dobrze zrozumiałe, nieodłączne właściwości, to w praktyce wybór podejścia nie jest trywialnym zadaniem. Należy dokładnie przeanalizować kontekst, w którym ma być stosowana pseudonimizacja, biorąc pod uwagę wszystkie pożądane cele pseudonimizacji (dlaczego tożsamość musi być ukryta, jaka jest pożądana użyteczność pseudonimów, itp.). Przy wyborze właściwej techniki pseudonimizacji należy zatem przyjąć podejście oparte na ryzyku, tak aby właściwie ocenić i zminimalizować zidentyfikowane zagrożenia dla prywatności. W istocie, sama ochrona dodatkowych danych, które są wymagane do ponownej identyfikacji, choć jest warunkiem koniecznym, w niewystarczającym stopniu zapewnia eliminację wszystkich zagrożeń związanych z możliwością depersonalizacji.

Autor

Grzegorz Bernatek

Od roku 2004 kieruje projektami badawczymi dotyczącymi polskiego i europejskiego rynku ICT; tworzenia modeli rynkowych i systemowych oraz prowadzi doradztwo i szkolenia dla klientów Audytela. Specjalizuje się w interdyscyplinarnych projektach na styku technologii, ekonomii oraz zagadnień prawno-regulacyjnych.