GDPR создавали, чтобы дать гражданам ЕС больше контроля над персональными данными. И с точки зрения количества жалоб цель была «достигнута»: за прошедший год европейцы стали чаще сообщать о нарушениях со стороны компаний, а сами компании получили множество предписаний и начали оперативнее закрывать уязвимости, чтобы не получить штраф. Но «внезапно» выяснилось, что GDPR наиболее заметен и эффективен, когда речь заходит либо об уклонении от финансовых санкций, либо от самой необходимости соблюдать его. И даже больше — призванное положить конец утечкам персональных данных, обновленное регулирование становится их причиной.
Согласно GDPR, граждане ЕС имеют право запросить копию своих персональных данных, которые хранятся на серверах той или ной компании. Недавно стало известно, что этот механизм можно использовать для сбора ПД другого человека. Один из участников конференции Black Hat провел эксперимент, в ходе которого получил архивы с персональными данными своей невесты от различных компаний. Он отправил соответствующие запросы от её имени в 150 организаций. Что интересно, 24% компаниям было достаточно адреса электронной почты и телефонного номера в качестве удостоверения личности — после их получения они возвращали архив с файлами. Еще около 16% организаций дополнительно запросили фотографии паспорта (или другого документа).
В результате Джеймсу удалось заполучить номер социального страхования и кредитной карты, дату рождения, девичью фамилию и адрес проживания своей «жертвы». Один сервис, который позволяет проверить, «засветился» ли адрес электронной почты в каких-либо утечках (примером сервиса может быть Have i been pwned?), даже прислал список ранее использованных аутентификационных данных. Эта информация может стать причиной взлома, если пользователь так и не сменил пароли или использовал их где-то еще.
Есть и другие примеры, когда данные оказывались в чужих руках после «ошибочной» отправки. Так, три месяца назад один из пользователей Reddit запросил персональную информацию о себе у компании Epic Games. Однако она по ошибке отправила его ПД другому игроку. Похожая история произошла и в прошлом году. Клиент Amazon случайно получил 100-мегабайтный архив с интернет-запросами к Alexa и тысячами WAF-файлов другого пользователя.
Одной из главных причин возникновения подобных ситуаций эксперты называют неполноту Общего регламента по защите данных. В частности, GDPR называет сроки, в течение которых компания должна ответить на запросы пользователей (в течение месяца), и указывает штрафы — до 20 млн евро или 4% от годовой выручки — за невыполнение этого требования. Однако сами процедуры, которые должны помочь компаниям соответствовать закону (например, удостовериться в отправке данных их владельцу), в нем не конкретизированы. Поэтому организациям приходится самостоятельно (порой, методом проб и ошибок) выстраивать свои рабочие процессы.
Как можно исправить положение
Одно из самых радикальных предложений — отказаться от GDPR или кардинально его переделать. Есть мнение, что в текущем виде закон не работает, так как очень сложный и излишне строгий, а на соответствие всем его требованиям приходится тратить большое количество средств.
Например, в прошлом году разработчики игры Super Monday Night Combat были вынуждены свернуть свой проект. По словам её создателей, бюджет, необходимый для переделки систем под GDPR, превышал бюджет, выделяемый семилетней игре.
«У маленьких и средних бизнесов действительно часто нет технологических и кадровых ресурсов, чтобы разобраться в требованиях регуляторов и сделать необходимые приготовления, — комментирует Сергей Белкин, начальник отдела развития IaaS-провайдера 1cloud.ru. — Здесь на помощь могут прийти крупные вендоры и IaaS-провайдеры, предоставляющие в аренду защищенную ИТ-инфраструктуру. Например, мы в 1cloud.ru размещаем свое оборудование в ЦОД, сертифицированных по стандарту Tier III и помогаем клиентам соответствовать требованиям российского ФЗ-152 «О персональных данных».
Есть и противоположная точка зрения, что проблема здесь не в самом законе, а в стремлении компаний выполнить его требования лишь формально. Один из резидентов Hacker News отметил: причина утечек персональных данных кроется в том, что организации не внедряют простейшие механизмы верификации, которые продиктованы здравым смыслом.
Так или иначе, в ближайшее время Евросоюз не собирается отказываться от GDPR, поэтому ситуация, на которую пролили свет во время конференции Black Hat, должна послужить стимулом для компаний уделить больше внимания безопасности ПД.