GDPR Aİ vətəndaşlarına şəxsi məlumatlarına daha çox nəzarət etmək üçün yaradılmışdır. Şikayətlərin sayı baxımından məqsədə "nail oldu": son bir il ərzində avropalılar şirkətlər tərəfindən pozuntular barədə daha tez-tez məlumat verməyə başladılar və şirkətlərin özləri və cərimə almamaq üçün zəiflikləri tez bağlamağa başladı. Ancaq "birdən" məlum oldu ki, GDPR ya maliyyə sanksiyalarından yayınmaq, ya da ona əməl etmək zərurəti ilə bağlı ən çox görünən və effektivdir. Və daha çox - şəxsi məlumat sızmasına son qoymaq üçün nəzərdə tutulmuşdur, yenilənmiş tənzimləmə onların səbəbi olur.
Burada nə baş verdiyini sizə deyək.
Фото - - Sıçrama
Problem nədir
GDPR-ə əsasən, Aİ vətəndaşları şirkətin serverlərində saxlanılan şəxsi məlumatlarının surətini tələb etmək hüququna malikdirlər. Bu yaxınlarda məlum oldu ki, bu mexanizm başqa bir şəxsin PD toplamaq üçün istifadə edilə bilər. Black Hat konfransının iştirakçılarından biri , bu müddət ərzində müxtəlif şirkətlərdən nişanlısının şəxsi məlumatları olan arxivləri aldı. Onun adından 150 təşkilata müvafiq sorğular göndərib. Maraqlıdır ki, şirkətlərin 24%-nə şəxsiyyəti təsdiq edən sənəd kimi yalnız e-poçt ünvanı və telefon nömrəsi lazım idi - onları aldıqdan sonra faylları olan arxivi qaytardılar. Təşkilatların təxminən 16% -i əlavə olaraq pasportun (və ya digər sənədin) fotoşəkillərini istədi.
Nəticədə Ceyms “qurbanının” Sosial Müdafiəsi və kredit kartı nömrələrini, doğum tarixini, qızlıq soyadını və yaşayış ünvanını əldə edə bildi. E-poçt ünvanının sızdığını yoxlamağa imkan verən bir xidmət (xidmətə misal ola bilər ), hətta əvvəllər istifadə edilmiş autentifikasiya məlumatlarının siyahısını göndərdi. Əgər istifadəçi heç vaxt parolları dəyişməyibsə və ya başqa yerdə istifadə edibsə, bu məlumat haker hücumuna səbəb ola bilər.
Verilənlərin “səhv olaraq” göndərildikdən sonra səhv əllərə keçdiyi başqa nümunələr də var. Beləliklə, üç ay əvvəl Reddit istifadəçilərindən biri Epic Games-dən özünüz haqqında şəxsi məlumat. Lakin o, səhvən PD-ni başqa oyunçuya göndərdi. Oxşar hekayə keçən il də baş vermişdi. Amazon Müştərisi Alexa-ya İnternet sorğuları və başqa bir istifadəçinin minlərlə WAF faylı olan 100 meqabaytlıq arxiv.
Фото - - Sıçrama
Mütəxəssislər belə halların baş verməsinin əsas səbəblərindən birinin Ümumi Məlumatların Mühafizəsi Qaydasının tam olmaması olduğunu deyirlər. Xüsusilə, GDPR şirkətin istifadəçi sorğularına cavab verməli olduğu vaxt çərçivəsini (bir ay ərzində) müəyyən edir və bu tələbin yerinə yetirilməməsinə görə 20 milyon avroya və ya illik gəlirin 4%-nə qədər cərimələr nəzərdə tutur. Bununla belə, şirkətlərə qanuna əməl etməyə kömək etməli olan faktiki prosedurlar (məsələn, məlumatların sahibinə göndərilməsinə əmin olmaq) orada göstərilmir. Buna görə də, təşkilatlar öz iş proseslərini müstəqil şəkildə (bəzən sınaq və səhv yolu ilə) qurmalıdırlar.
Vəziyyəti necə yaxşılaşdıra bilərəm?
Ən radikal təkliflərdən biri GDPR-dən imtina etmək və ya onu kökündən dəyişdirməkdir. Belə bir fikir var ki, indiki formada qanun işləmir, çünki çox işləyir və həddindən artıq sərtdir və onun bütün tələblərinə cavab vermək üçün çox pul xərcləməlisən.
Məsələn, keçən il Super Monday Night Combat oyununun tərtibatçıları öz layihələrini ləğv etmək məcburiyyətində qaldılar. Yaradıcılarının fikrincə, GDPR üçün sistemlərin yenidən işlənməsi üçün büdcə tələb olunur , yeddi yaşındakı oyuna ayrıldı.
IaaS provayderinin inkişaf departamentinin rəhbəri Sergey Belkin, "Kiçik və orta biznes həqiqətən çox vaxt tənzimləyicilərin tələblərini başa düşmək və lazımi hazırlıqları görmək üçün texnoloji və insan resurslarına malik deyil" dedi. . “İcarə üçün təhlükəsiz İT infrastrukturunu təmin edən iri təchizatçılar və IaaS provayderləri köməyə gələ biləcəkləri yer budur. Məsələn, 1cloud.ru saytında avadanlıqlarımızı məlumat mərkəzinə yerləşdiririk, Tier III standartına uyğun olaraq və müştərilərə Rusiya Federal Qanununun 152-ci “Fərdi məlumatlar haqqında” tələblərinə əməl etməyə kömək edin.
Фото - - Sıçrama
Əks fikir də var ki, burada problem qanunun özündə deyil, şirkətlərin onun tələblərini yalnız formal şəkildə yerinə yetirmək istəyindədir. Hacker News rezidentlərindən biri : şəxsi məlumatların sızmasının səbəbi təşkilatların olmasıdır sağlam düşüncənin diktə etdiyi ən sadə yoxlama mexanizmləri.
Bu və ya digər şəkildə, Avropa İttifaqı yaxın gələcəkdə GDPR-dən imtina etmək niyyətində deyil, ona görə də Black Hat konfransı zamanı işıqlandırılan vəziyyət şirkətlər üçün fərdi məlumatların təhlükəsizliyinə daha çox diqqət yetirmək üçün stimul rolunu oynamalıdır.
Bloqlarımızda və sosial şəbəkələrdə nələr haqqında yazırıq:
Moskvada 1bulud infrastrukturu Dataspace-də. Bu, Uptime İnstitutundan Tier lll sertifikatından keçən ilk Rusiya məlumat mərkəzidir.
Mənbə: www.habr.com