ProHoster > بلوق > إدارة > كيف تسبب القانون العام لحماية البيانات في تسريب البيانات الشخصية

كيف تسبب القانون العام لحماية البيانات في تسريب البيانات الشخصية

تم إنشاء اللائحة العامة لحماية البيانات (GDPR) لمنح مواطني الاتحاد الأوروبي مزيدًا من التحكم في بياناتهم الشخصية. ومن حيث عدد الشكاوى، فقد "تحقق" الهدف: خلال العام الماضي، بدأ الأوروبيون في الإبلاغ عن الانتهاكات التي ترتكبها الشركات في كثير من الأحيان، وتلقت الشركات نفسها العديد من اللوائح وبدأوا في إغلاق نقاط الضعف بسرعة حتى لا يتم فرض غرامة عليهم. ولكن "فجأة" تبين أن اللائحة العامة لحماية البيانات هي الأكثر وضوحا وفعالية عندما يتعلق الأمر إما بالتهرب من العقوبات المالية أو الحاجة إلى الالتزام بها. وأكثر من ذلك - تم تصميم اللائحة المحدثة لوضع حد لتسريب البيانات الشخصية، وهي قضيتهم.

دعنا نخبرك بما يحدث هنا.

كيف تسبب القانون العام لحماية البيانات في تسريب البيانات الشخصية
ото - دان مويج - Unsplash

ما المشكلة

بموجب اللائحة العامة لحماية البيانات، يحق لمواطني الاتحاد الأوروبي طلب نسخة من بياناتهم الشخصية المخزنة على خوادم الشركة. أصبح من المعروف مؤخرًا أنه يمكن استخدام هذه الآلية لجمع PD لشخص آخر. أحد المشاركين في مؤتمر القبعة السوداء أجرى تجربةحيث حصل خلالها على أرشيف بالبيانات الشخصية لخطيبته من شركات مختلفة. وأرسل الطلبات ذات الصلة نيابة عنها إلى 150 منظمة. ومن المثير للاهتمام أن 24% من الشركات تحتاج فقط إلى عنوان بريد إلكتروني ورقم هاتف كدليل على الهوية - وبعد استلامهما، أعادوا أرشيفًا يحتوي على الملفات. بالإضافة إلى ذلك، طلبت حوالي 16% من المنظمات صورًا لجواز السفر (أو أي مستند آخر).

ونتيجة لذلك، تمكن جيمس من الحصول على أرقام الضمان الاجتماعي وبطاقات الائتمان وتاريخ الميلاد والاسم قبل الزواج وعنوان السكن الخاص بـ "الضحية". إحدى الخدمات التي تسمح لك بالتحقق مما إذا كان عنوان البريد الإلكتروني قد تم تسريبه (مثال على الخدمة هل تم pwned؟)، حتى أنه أرسل قائمة ببيانات المصادقة المستخدمة مسبقًا. يمكن أن تؤدي هذه المعلومات إلى الاختراق إذا لم يغير المستخدم كلمات المرور مطلقًا أو يستخدمها في مكان آخر.

هناك أمثلة أخرى حيث انتهى الأمر بالبيانات في الأيدي الخطأ بعد إرسالها "عن طريق الخطأ". لذلك، قبل ثلاثة أشهر أحد مستخدمي Reddit طلب معلومات شخصية عنك من Epic Games. ومع ذلك، فقد أرسلت عن طريق الخطأ المنتج الخاص به إلى لاعب آخر. حدثت قصة مماثلة في العام الماضي. عميل أمازون وصلتني عن طريق الصدفة أرشيف بحجم 100 ميغابايت مع طلبات الإنترنت إلى Alexa وآلاف ملفات WAF الخاصة بمستخدم آخر.

كيف تسبب القانون العام لحماية البيانات في تسريب البيانات الشخصية
ото - توم سودوج - Unsplash

ويقول الخبراء إن أحد الأسباب الرئيسية لحدوث مثل هذه المواقف هو عدم اكتمال اللائحة العامة لحماية البيانات. على وجه الخصوص، تحدد اللائحة العامة لحماية البيانات الإطار الزمني الذي يجب على الشركة الاستجابة خلاله لطلبات المستخدمين (خلال شهر واحد) وتحدد الغرامات - التي تصل إلى 20 مليون يورو أو 4% من الإيرادات السنوية - لعدم الامتثال لهذا المطلب. ومع ذلك، فإن الإجراءات الفعلية التي ينبغي أن تساعد الشركات على الامتثال للقانون (على سبيل المثال، التأكد من إرسال البيانات إلى مالكها) غير محددة فيه. لذلك، يتعين على المنظمات أن تبني عمليات عملها بشكل مستقل (أحيانًا من خلال التجربة والخطأ).

كيف يمكنني تحسين الوضع؟

أحد المقترحات الأكثر جذرية هو التخلي عن اللائحة العامة لحماية البيانات أو إعادة صياغتها بشكل جذري. هناك رأي مفاده أن القانون في شكله الحالي لا يعمل لأنه كذلك مجمع وصارمة بشكل مفرط، ويتعين عليك إنفاق الكثير من المال لتلبية جميع متطلباتها.

على سبيل المثال، اضطر مطورو لعبة Super Monday Night Combat العام الماضي إلى إلغاء مشروعهم. وفقا لمنشئيها، فإن الميزانية المطلوبة لإعادة تصميم أنظمة اللائحة العامة لحماية البيانات تجاوزت الميزانية، المخصصة للعبة عمرها سبع سنوات.

"في كثير من الأحيان، لا تمتلك الشركات الصغيرة والمتوسطة الحجم الموارد التكنولوجية والبشرية اللازمة لفهم متطلبات المنظمين واتخاذ الاستعدادات اللازمة،" يعلق سيرجي بلكين، رئيس قسم التطوير في مزود IaaS 1cloud.ru. "هذا هو المكان الذي يمكن أن يهب فيه كبار البائعين ومقدمي خدمات IaaS للإنقاذ، من خلال توفير بنية تحتية آمنة لتكنولوجيا المعلومات للإيجار. على سبيل المثال، في 1cloud.ru نضع معداتنا في مركز البيانات، معتمد وفقًا لمعايير المستوى III ومساعدة العملاء على الامتثال لمتطلبات القانون الاتحادي الروسي رقم 152 "بشأن البيانات الشخصية".

كيف تسبب القانون العام لحماية البيانات في تسريب البيانات الشخصية
ото - كروماتوجراف - Unsplash

كما أن هناك وجهة نظر معاكسة، وهي أن المشكلة هنا ليست في القانون نفسه، بل في رغبة الشركات في استيفاء متطلباته بشكل رسمي فقط. أحد سكان هاكر نيوز واشار الى: سبب تسرب البيانات الشخصية يكمن في حقيقة أن المنظمات لا تنفذ أبسط آليات التحقق التي يمليها المنطق السليم.

بطريقة أو بأخرى، لن يتخلى الاتحاد الأوروبي عن اللائحة العامة لحماية البيانات في المستقبل القريب، لذا فإن الوضع الذي تم تسليط الضوء عليه خلال مؤتمر القبعة السوداء يجب أن يكون بمثابة حافز للشركات لإيلاء المزيد من الاهتمام لأمن البيانات الشخصية.

ما نكتب عنه على مدوناتنا وشبكاتنا الاجتماعية:

كيف تسبب القانون العام لحماية البيانات في تسريب البيانات الشخصية 766 كم - رقم قياسي جديد لنطاق LoRaWAN
كيف تسبب القانون العام لحماية البيانات في تسريب البيانات الشخصية من يستخدم بروتوكول المصادقة SAML 2.0

كيف تسبب القانون العام لحماية البيانات في تسريب البيانات الشخصية البيانات الضخمة: فرص عظيمة أو خداع كبير
كيف تسبب القانون العام لحماية البيانات في تسريب البيانات الشخصية البيانات الشخصية: ميزات السحابة العامة

كيف تسبب القانون العام لحماية البيانات في تسريب البيانات الشخصية مجموعة مختارة من الكتب لأولئك المشاركين بالفعل في إدارة النظام أو الذين يخططون للبدء
كيف تسبب القانون العام لحماية البيانات في تسريب البيانات الشخصية كيف يعمل الدعم الفني 1cloud؟

كيف تسبب القانون العام لحماية البيانات في تسريب البيانات الشخصية
1cloud البنية التحتية في موسكو يقع في مساحة البيانات. هذا هو أول مركز بيانات روسي يحصل على شهادة Tier lll من معهد Uptime Institute.

المصدر: www.habr.com

إضافة تعليق