GDPR je stvoren kako bi građanima EU omogućio veću kontrolu nad njihovim ličnim podacima. A što se tiče broja pritužbi, cilj je „ostvaren“: u protekloj godini Evropljani su počeli češće prijavljivati kršenja od strane kompanija, a same kompanije su dobile i počeo brzo da zatvara propuste kako ne bi dobio kaznu. No, “odjednom” se pokazalo da je GDPR najvidljiviji i najefikasniji kada je riječ o izbjegavanju finansijskih sankcija ili samoj potrebi da ga se poštuje. I još više – osmišljena da stane na kraj curenju ličnih podataka, ažurirani propis postaje njihov uzrok.
Hajde da vam kažemo šta se ovde dešava.
Foto - — Unsplash
Šta je problem
Prema GDPR-u, građani EU imaju pravo da traže kopiju svojih ličnih podataka pohranjenih na serverima kompanije. Nedavno je postalo poznato da se ovaj mehanizam može koristiti za prikupljanje PD druge osobe. Jedan od učesnika konferencije Black Hat , tokom kojeg je od raznih kompanija dobijao arhive sa ličnim podacima svoje verenice. On je u njeno ime poslao relevantne zahtjeve za 150 organizacija. Zanimljivo, 24% kompanija su bile potrebne samo imejl adresa i broj telefona kao dokaz identiteta – nakon što su ih primili, vratili su arhivu sa fajlovima. Oko 16% organizacija dodatno je tražilo fotografije pasoša (ili drugog dokumenta).
Kao rezultat toga, Džejms je uspeo da dobije brojeve socijalnog osiguranja i kreditne kartice, datum rođenja, devojačko prezime i adresu stanovanja svoje „žrtve“. Jedna usluga koja vam omogućava da provjerite da li je e-mail adresa procurila (primjer usluge bi bio ), čak je poslao i listu prethodno korištenih podataka za autentifikaciju. Ove informacije mogu dovesti do hakovanja ako korisnik nikada nije promijenio lozinke ili ih koristio negdje drugdje.
Postoje i drugi primjeri gdje su podaci završili u pogrešnim rukama nakon što su „pogrešno“ poslani. Dakle, prije tri mjeseca jedan od korisnika Reddita lične podatke o sebi iz Epic Gamesa. Međutim, greškom je poslala njegov PD drugom igraču. Slična priča desila se i prošle godine. Amazon klijent Arhiva od 100 megabajta sa internet zahtevima za Alexa i hiljadama WAF fajlova drugog korisnika.
Foto - — Unsplash
Stručnjaci smatraju da je jedan od glavnih razloga za pojavu ovakvih situacija nekompletnost Opće uredbe o zaštiti podataka. Konkretno, GDPR precizira vremenski okvir u kojem kompanija mora odgovoriti na zahtjeve korisnika (u roku od mjesec dana) i navodi kazne—do 20 miliona eura ili 4% godišnjeg prihoda—za nepoštivanje ovog zahtjeva. Međutim, stvarne procedure koje bi trebale pomoći kompanijama da se pridržavaju zakona (na primjer, osigurati da se podaci šalju vlasniku) nisu navedeni u njemu. Stoga organizacije moraju samostalno (ponekad putem pokušaja i grešaka) graditi svoje radne procese.
Kako mogu poboljšati situaciju?
Jedan od najradikalnijih prijedloga je napuštanje GDPR-a ili ga radikalno preinačiti. Postoji mišljenje da u sadašnjem obliku zakon ne funkcioniše, jer je vrlo i prestrog, i morate potrošiti mnogo novca da ispunite sve njegove zahtjeve.
Na primjer, prošle godine su programeri igre Super Monday Night Combat bili primorani da otkažu svoj projekat. Prema njegovim kreatorima, budžet je potreban za redizajn sistema za GDPR , dodijeljena sedmogodišnjoj igri.
"Mala i srednja preduzeća zaista često nemaju tehnološke i ljudske resurse da razumiju zahtjeve regulatora i izvrše potrebne pripreme", komentira Sergej Belkin, šef razvojnog odjela IaaS provajdera . „Ovde veliki dobavljači i IaaS provajderi mogu priskočiti u pomoć, obezbeđujući sigurnu IT infrastrukturu za iznajmljivanje. Na primjer, na 1cloud.ru svoju opremu postavljamo u podatkovni centar, u skladu sa standardom Tier III i pomaže klijentima da se pridržavaju zahtjeva ruskog federalnog zakona-152 „O ličnim podacima“.
Foto - — Unsplash
Postoji i suprotan stav, da ovdje nije problem u samom zakonu, već u želji kompanija da samo formalno ispune njegove zahtjeve. Jedan od stanovnika Hacker Newsa : razlog za curenje ličnih podataka leži u činjenici da organizacije najjednostavniji mehanizmi verifikacije, koje diktira zdrav razum.
Na ovaj ili onaj način, Evropska unija neće u bliskoj budućnosti odustati od GDPR-a, pa bi situacija koja je rasvijetljena tokom Black Hat konferencije trebala poslužiti kao poticaj kompanijama da posvete više pažnje sigurnosti ličnih podataka.
O čemu pišemo na našim blogovima i društvenim mrežama:
1Cloud infrastruktura u Moskvi u prostoru podataka. Ovo je prvi ruski data centar koji je prošao Tier llll sertifikat od Uptime Instituta.
izvor: www.habr.com