ICO Ηνωμένο Βασίλειο: Post-Brexit UK GDPR...

Το πρόστιμο του Information Commissioner's Office (ICO) στο LastPass το Δεκέμβριο 2025 — £1.2 εκατ. — ήταν ένα σταθμό για το UK GDPR τεχνικές απαιτήσεις κρυπτογράφησης.

Τι Ανακάλυψε ο ICO

Το ICO ανακάλυψε ότι το LastPass χρησιμοποίησε παλιωμένη κρυπτογράφηση κλειδιού παραγωγής:

• PBKDF2-SHA256 με 1 επανάληψη: Χρησιμοποιήθηκε για ορισμένες θησαυρούς πελατών
• Ρύθμιση: Επανάληψες είναι στοιχείο ασφαλείας. 1 επανάληψη σημαίνει ότι η δοκιμή κωδικού πρόσβασης είναι σχεδόν στιγμιαία (δεν υπάρχει αποτρέπουσα δύναμη).
• Σύγκριση: Το UK NCSC σύστημα ≥ 600.000 επαναλήψεις για κωδικούς πρόσβασης το 2022

Το Νομικό Πρότυπο Που Καθιερώθηκε

Άρθρο 32 UK GDPR: "Εξασφάλιση ενάντια στην τυχαία ή παράνομη καταστροφή, απώλεια, τροποποίηση, ανεξουσίαστη αποκάλυψη ή πρόσβαση της προσωπικών δεδομένων"

Το ICO διευκρίνησε ότι:

1. "Κατάλληλα Τεχνικά Μέτρα" Σημαίνει Current: Όχι "ιστορικά αποδεκτή". Εάν ένα πρότυπο κρυπτογράφησης ήταν αποδεκτό το 2010, αλλά είναι τώρα broken, δεν είναι αποδεκτό σήμερα.

2. Πωλητής Κρυπτογράφησης = Κρίσιμη Συμμόρφωση: Τα παραδείγματα δεν μπορούν εκ περιτροπής να "εμπιστεύονται" τον κρυπτογράφησης πωλητή. Έχουν υποχρέωση να επαληθεύσουν ότι τεχνικές ανταποκρίνονται στις σημερινές δοκιμές.

Πώς Αυτό Διαφέρει Από EU GDPR

EU GDPR Άρθρο 32: Ίδιο κείμενο UK GDPR Άρθρο 32: Ίδιο κείμενο (αντιγραφή)

Αλλά ο ICO ερμηνεύει με δυσμένεια.

Η EU EDPB (Ευρωπαϊκή Σύνταξη Προστασίας Δεδομένων) έχει δηλώσει ότι η "state-of-the-art" σημαίνει την τρέχουσα καλή πρακτική, αλλά δεν είναι τόσο αυστηρή στην πρέπει πόσο κόστος για να προσαρμοστούν τα δεδομένα συστήματα.

Ο ICO, αντίθετα, δήλωσε ότι ναι, θα μπορούσατε αναγκάστηκε να αναβαθμίσετε κρυπτογράφησης ακόμη κι αν το κόστος είναι σημαντικό.

Εφαρμογή: Ποιες Εταιρείες Επηρεάζονται

Ναι, εάν εσείς:

• Αποθηκεύστε πελατών κλειδιά κρυπτογράφησης (π.χ., κωδικοί πρόσβασης, πιστωτικές κάρτες)
• Χρησιμοποιήστε παλαιού κρυπτογράφησης (DES, MD5, PBKDF2 με χαμηλά iterations)
• Δεν έχετε ενημερωθεί τα κρυπτογράφησης σχήματα τουλάχιστον ανά 3 χρόνια

Παράδειγμα Δοχείου 1: Έστω E-Commerce Site Χρησιμοποιεί Legacy Κωδικό παραγωγής

Εάν ο ιστότοπος αποθηκεύει πιστωτικές κάρτες με παλιά κρυπτογράφηση:

Password Hash = SHA1(password + salt)

Το ICO θα ισχυριστεί ότι SHA1 δεν είναι "state-of-the-art". bcrypt ή scrypt θα ήταν αναγκαίο.

Παράδειγμα Δοχείου 2: Πολυ-σταδιακή Κρυπτογράφηση Κλειδιού Δεδομένων

Εάν κρυπτογραφήσετε δεδομένα πελάτη με:

encryption_key = AES-128 (not AES-256)

Το ICO θα επιχείρησε ότι AES-128 ήταν αποδεκτό το 2015, αλλά το 2025, ο κύριος κατάλογος επιμήκυνσης δείχνει ότι AES-256 είναι πρότυπο. Θα χρειαστεί μια αναβάθμιση.

Πώς να Είστε Συμμόρφ Με το ICO Πρότυπο

1. Δημοσιευμένη κρυπτογράφησης πολιτική Δημιουργήστε ένα δημόσιο ή εσωτερικό έγγραφο που παραθέτει:

• Ποια κρυπτογράφηση χρησιμοποιείται (AES-256-GCM, bcrypt)
• Τι δεδομένα κρυπτογραφούνται
• Πόσο συχνά ενημερώνονται τα κρυπτογράφησης πρότυπα

2. Τακτικές Αναθεωρήσεις Αναθεωρήστε κρυπτογράφησης πολιτική τουλάχιστον ανά 2 χρόνια. Εάν ένα πρότυπο δεν θεωρείται πλέον ασφαλές, αναβαθμίστε.

3. Τεκμηρίωση Κρατήστε αρχείο:

• Πόσο καιρό κάθε κρυπτογράφησης πρότυπο χρησιμοποιήθηκε
• Πού αναβαθμίστηκε
• Ποιος είναι ο λόγος αναβάθμισης (ICO ορίζει ότι ναι, θα πρέπει)

4. Ανάθεση ασφάλειας Εάν δυνατό, έχετε ένα τρίτο τακτική αναθέσεις κρυπτογράφησης που χρησιμοποιείτε. Αυτό εμφανίζει ότι δεν εμπιστεύεστε απλώς εσωτερική τεκμηρίωση.

Τι Σημαίνει Για Τις Εταιρείες ΕΕ-UK

EU Εταιρείες που μεταφέρουν δεδομένα στο UK:

• EU Πολιτική: GDPR Άρθρο 32 (τρέχουσα ασφάλεια κρυπτογράφησης)
• UK Πολιτική: ICO ορίζει ότι πιό αυστηρή (κρυπτογράφηση που είναι τελευταίας τεχνολογίας)

Σε κάποια σημεία, η ΕΕ και ο κανόνας UK θα απαιτούν διαφορετικών κρυπτογράφησης πολιτικών. Αν η εταιρεία σας χειρίζεται δεδομένα και από τις δύο, είναι συμμόρφ με το πιό αυστηρό (ICO).

Πηγές:

• ICO: LastPass £1.2M Fine
• UK GDPR Article 32
• NIST: Encryption Best Practices
• UK NCSC: Password Hashing