Як GDPR стаў прычынай уцечак персанальных дадзеных
GDPR стваралі, каб даць грамадзянам ЕЗ больш кантролю над персанальнымі дадзенымі. І з пункту гледжання колькасці скаргаў мэта была "дасягнута": за мінулы год еўрапейцы сталі часцей паведамляць аб парушэннях з боку кампаній, а самі кампаніі атрымалі мноства прадпісанняў і пачалі больш аператыўна закрываць уразлівасці, каб не атрымаць штраф. Але "раптоўна" высветлілася, што GDPR найбольш прыкметны і эфектыўны, калі гаворка заходзіць або аб ухіленні ад фінансавых санкцый, або ад самой неабходнасці выконваць яго. І нават больш - закліканае пакласці канец уцечкам персанальных дадзеных, абноўленае рэгуляванне становіцца іх прычынай.
Згодна з GDPR, грамадзяне ЕС маюць права запытаць копію сваіх персанальных дадзеных, якія захоўваюцца на серверах той ці іншай кампаніі. Нядаўна стала вядома, што гэты механізм можна выкарыстоўваць для збору ПД іншага чалавека. Адзін з удзельнікаў канферэнцыі Black Hat правёў эксперымент, Падчас якога атрымаў архівы з персанальнымі дадзенымі сваёй нявесты ад розных кампаній. Ён даслаў адпаведныя запыты ад яе імя ў 150 арганізацый. Што цікава, 24% кампаніям было дастаткова адрасы электроннай пошты і тэлефоннага нумара ў якасці пасведчання асобы - пасля іх атрымання яны вярталі архіў з файламі. Яшчэ каля 16 працэнтаў арганізацый дадаткова запыталі фатаграфіі пашпарта (або іншага дакумента).
У выніку Джэймсу ўдалося займець нумар сацыяльнага страхавання і крэдытнай карты, дату нараджэння, дзявоцкае прозвішча і адрас пражывання сваёй "ахвяры". Адзін сэрвіс, які дазваляе праверыць, ці «засвяціўся» адрас электроннай пошты ў якіх-небудзь уцечках (прыкладам сэрвісу можа быць Have i been pwned?), нават даслаў спіс раней выкарыстаных аўтэнтыфікацыйных дадзеных. Гэтая інфармацыя можа стаць прычынай узлому, калі карыстач так і не змяніў паролі ці выкарыстоўваў іх дзесьці яшчэ.
Ёсць і іншыя прыклады, калі дадзеныя аказваліся ў чужых руках пасля "памылковай" адпраўкі. Так, тры месяцы таму адзін з карыстальнікаў Reddit запытаў персанальную інфармацыю аб сабе ў кампаніі Epic Games. Аднак яна памылкова адправіла яго ПД іншаму гульцу. Падобная гісторыя адбылася і ў мінулым годзе. Кліент Amazon выпадкова атрымаў 100-мегабайтны архіў з інтэрнэт-запытамі да Alexa і тысячамі WAF-файлаў іншага карыстальніка.
Адной з галоўных прычын узнікнення падобных сітуацый эксперты называюць непаўнату Агульнага рэгламенту па абароне даных. У прыватнасці, GDPR называе тэрміны, на працягу якіх кампанія павінна адказаць на запыты карыстальнікаў (на працягу месяца), і паказвае штрафы - да 20 млн еўра або 4% ад гадавой выручкі - за невыкананне гэтага патрабавання. Аднак самі працэдуры, якія павінны дапамагчы кампаніям адпавядаць закону (напрыклад, пераканацца ў адпраўцы дадзеных іх уладальніку), у ім не канкрэтызаваны. Таму арганізацыям даводзіцца самастойна (часам, метадам спроб і памылак) выбудоўваць свае працоўныя працэсы.
Як можна выправіць становішча
Адно з самых радыкальных прапаноў - адмовіцца ад GDPR або кардынальна яго перарабіць. Ёсць меркаванне, што ў бягучым выглядзе закон не працуе, бо вельмі складаны і залішне строгі, а на адпаведнасць усім яго патрабаванням даводзіцца марнаваць вялікую колькасць сродкаў.
Напрыклад, у мінулым годзе распрацоўшчыкі гульні Super Monday Night Combat былі вымушаны згарнуць свой праект. Па словах яе стваральнікаў, бюджэт, неабходны для пераробкі сістэм пад GDPR, перавышаў бюджэт, які выдаткоўваецца сямігадовай гульні.
«У маленькіх і сярэдніх бізнэсаў сапраўды часта няма тэхналагічных і кадравых рэсурсаў, каб разабрацца ў патрабаваннях рэгулятараў і зрабіць неабходныя падрыхтоўкі, – каментуе Сяргей Белкін, начальнік аддзела развіцця IaaS-правайдэра 1cloud.ru. - Тут на дапамогу могуць прыйсці буйныя вендары і IaaS-правайдэры, якія прадстаўляюць у арэнду абароненую ІТ-інфраструктуру. Напрыклад, мы ў 1cloud.ru размяшчаем сваё абсталяванне ў ЦАД, сертыфікаваных па стандарце Tier III і дапамагаем кліентам адпавядаць патрабаванням расійскага ФЗ-152 "Аб персанальных дадзеных".
Ёсць і супрацьлеглы пункт гледжання, што праблема тут не ў самім законе, а ў імкненні кампаній выканаць яго патрабаванні толькі фармальна. Адзін з рэзідэнтаў Hacker News адзначыў: прычына ўцечак персанальных даных крыецца ў тым, што арганізацыі не ўкараняюць найпростыя механізмы верыфікацыі, якія прадыктаваны разумным сэнсам.
Так ці інакш, хуткім часам Еўразвяз не збіраецца адмаўляцца ад GDPR, таму сітуацыя, на якую пралілі святло падчас канферэнцыі Black Hat, павінна паслужыць стымулам для кампаній надаць больш увагі бяспекі ПД.
Пра што мы пішам у нашых блогах і сацыяльных сетках: