Die GDPR is geskep om EU-burgers meer beheer oor hul persoonlike data te gee. En wat die aantal klagtes betref, is die doelwit "bereik": die afgelope jaar het Europeërs meer gereeld begin om oortredings deur maatskappye aan te meld, en die maatskappye het self ontvang en begin om kwesbaarhede vinnig toe te maak om nie 'n boete te ontvang nie. Maar “skielik” het dit geblyk dat die GDPR die sigbaarste en doeltreffendste is wanneer dit kom by óf die ontduiking van finansiële sanksies óf die behoefte om daaraan te voldoen. En selfs meer - ontwerp om 'n einde te maak aan persoonlike data-lekkasies, word die opgedateerde regulasie hul oorsaak.
Kom ons vertel jou wat hier aangaan.
Foto - — Unsplash
Wat is die probleem
Onder die GDPR het EU-burgers die reg om 'n afskrif van hul persoonlike data wat op 'n maatskappy se bedieners gestoor is, aan te vra. Onlangs het dit bekend geword dat hierdie meganisme gebruik kan word om 'n ander persoon se PD in te samel. Een van die deelnemers aan die Black Hat-konferensie , waartydens hy argiewe met persoonlike data van sy verloofde van verskeie maatskappye ontvang het. Hy het relevante versoeke namens haar aan 150 organisasies gestuur. Interessant genoeg het 24% van maatskappye net 'n e-posadres en 'n telefoonnommer as bewys van identiteit nodig gehad - nadat hulle dit ontvang het, het hulle 'n argief met lêers teruggestuur. Sowat 16% van organisasies het ook foto's van 'n paspoort (of ander dokument) aangevra.
As gevolg hiervan kon James die sosiale sekerheid en kredietkaartnommers, geboortedatum, nooiensvan en woonadres van sy "slagoffer" bekom. Een diens waarmee u kan kyk of 'n e-posadres uitgelek is ('n voorbeeld van 'n diens sou wees ), het selfs 'n lys van voorheen gebruikte verifikasiedata gestuur. Hierdie inligting kan lei tot inbraak as die gebruiker nooit die wagwoorde verander of iewers anders gebruik het nie.
Daar is ander voorbeelde waar data in die verkeerde hande beland het nadat dit "foutiewelik" gestuur is. Dus, drie maande gelede een van die Reddit-gebruikers persoonlike inligting oor jouself van Epic Games. Sy het egter per abuis sy PD na 'n ander speler gestuur. ’n Soortgelyke storie het verlede jaar gebeur. Amazon kliënt 'n Argief van 100 megagreep met internetversoeke aan Alexa en duisende WAF-lêers van 'n ander gebruiker.
Foto - — Unsplash
Kenners sê een van die hoofredes vir die voorkoms van sulke situasies is die onvolledigheid van die Algemene Databeskermingsregulasie. Die GDPR spesifiseer veral die tydsraamwerk waarbinne 'n maatskappy op gebruikersversoeke moet reageer (binne 'n maand) en spesifiseer boetes—tot 20 miljoen euro of 4% van jaarlikse inkomste—vir versuim om aan hierdie vereiste te voldoen. Die werklike prosedures wat maatskappye moet help om aan die wet te voldoen (byvoorbeeld om seker te maak dat data aan sy eienaar gestuur word) word egter nie daarin gespesifiseer nie. Daarom moet organisasies onafhanklik (soms deur beproewing en fout) hul werksprosesse bou.
Hoe kan ek die situasie verbeter?
Een van die mees radikale voorstelle is om die GDPR te laat vaar of dit radikaal te herskep. Daar is 'n mening dat in sy huidige vorm die wet nie werk nie, aangesien dit baie is en te streng, en jy moet baie geld spandeer om aan al sy vereistes te voldoen.
Byvoorbeeld, verlede jaar is die ontwikkelaars van die speletjie Super Monday Night Combat gedwing om hul projek te kanselleer. Volgens die skeppers daarvan is die begroting wat nodig is om stelsels vir GDPR te herontwerp , toegeken aan die sewe-jaar-oue spel.
"Klein en mediumgrootte ondernemings het regtig dikwels nie die tegnologiese en menslike hulpbronne om die vereistes van reguleerders te verstaan en die nodige voorbereidings te tref nie," sê Sergey Belkin, hoof van die ontwikkelingsafdeling van die IaaS-verskaffer. . “Dit is waar groot verskaffers en IaaS-verskaffers tot die redding kan kom en veilige IT-infrastruktuur te huur verskaf. Byvoorbeeld, by 1cloud.ru plaas ons ons toerusting in 'n datasentrum, volgens die Tier III-standaard en help kliënte om te voldoen aan die vereistes van die Russiese Federale Wet-152 "Op Persoonlike Data".
Foto - — Unsplash
Daar is ook 'n teenoorgestelde standpunt, dat die probleem hier nie in die wet self lê nie, maar in die begeerte van maatskappye om slegs formeel aan sy vereistes te voldoen. Een van die inwoners van Hacker News : die rede vir persoonlike data-lekkasies lê in die feit dat organisasies die eenvoudigste verifikasiemeganismes, wat deur gesonde verstand bepaal word.
Op een of ander manier gaan die Europese Unie nie die GDPR in die nabye toekoms laat vaar nie, so die situasie wat tydens die Black Hat-konferensie lig gewerp is, behoort as aansporing vir maatskappye te dien om meer aandag aan die sekuriteit van persoonlike data te gee.
Waaroor ons op ons blogs en sosiale netwerke skryf:
1wolk-infrastruktuur in Moskou in Dataspace. Dit is die eerste Russiese datasentrum wat Tier lll-sertifisering van die Uptime Institute geslaag het.
Bron: will.com