El RGPD es va crear per oferir als ciutadans de la UE més control sobre les seves dades personals. I pel que fa al nombre de denúncies, l'objectiu es va "aconseguir": durant l'últim any, els europeus van començar a denunciar infraccions per part de les empreses amb més freqüència, i les mateixes empreses van rebre i va començar a tancar ràpidament vulnerabilitats per no rebre una multa. Però "de sobte" va resultar que el GDPR és més visible i efectiu quan es tracta d'eludir sancions financeres o de la mateixa necessitat de complir-lo. I encara més: dissenyada per posar fi a les filtracions de dades personals, la normativa actualitzada es converteix en la seva causa.
T'expliquem què està passant aquí.
Фото - — Desesquitxa
Quin és el problema
Segons el GDPR, els ciutadans de la UE tenen dret a sol·licitar una còpia de les seves dades personals emmagatzemades als servidors d'una empresa. Recentment es va saber que aquest mecanisme es pot utilitzar per recollir la DP d'una altra persona. Un dels participants a la conferència Black Hat , durant el qual va rebre arxius amb dades personals del seu promès de diverses empreses. Va enviar peticions rellevants en nom d'ella a 150 organitzacions. Curiosament, el 24% de les empreses només necessitaven una adreça de correu electrònic i un número de telèfon com a prova d'identitat; després de rebre'ls, van retornar un arxiu amb fitxers. Al voltant del 16% de les organitzacions també van sol·licitar fotografies d'un passaport (o un altre document).
Com a resultat, James va poder obtenir els números de la Seguretat Social i de la targeta de crèdit, la data de naixement, el nom de soltera i l'adreça residencial de la seva "víctima". Un servei que us permet comprovar si una adreça de correu electrònic s'ha filtrat (un exemple de servei seria ), fins i tot va enviar una llista de dades d'autenticació utilitzades anteriorment. Aquesta informació pot conduir a la pirateria si l'usuari mai ha canviat les contrasenyes ni les ha utilitzat en un altre lloc.
Hi ha altres exemples en què les dades van acabar en mans equivocades després de ser enviades "erròniament". Per tant, fa tres mesos un dels usuaris de Reddit informació personal sobre tu d'Epic Games. No obstant això, ella va enviar per error el seu PD a un altre jugador. Una història semblant va passar l'any passat. Client d'Amazon Un arxiu de 100 megabytes amb sol·licituds d'Internet a Alexa i milers de fitxers WAF d'un altre usuari.
Фото - — Desesquitxa
Els experts asseguren que un dels principals motius de l'aparició d'aquestes situacions és la incompletitud del Reglament General de Protecció de Dades. En concret, el GDPR especifica el termini en què una empresa ha de respondre a les sol·licituds dels usuaris (en el termini d'un mes) i especifica multes —fins a 20 milions d'euros o un 4% dels ingressos anuals— per incompliment d'aquest requisit. No obstant això, no s'especifiquen els procediments reals que haurien d'ajudar les empreses a complir la llei (per exemple, assegurar-se que les dades s'enviïn al seu propietari). Per tant, les organitzacions han de construir de manera independent (de vegades mitjançant assaig i error) els seus processos de treball.
Com puc millorar la situació?
Una de les propostes més radicals és abandonar el GDPR o refer-lo radicalment. Hi ha l'opinió que en la seva forma actual la llei no funciona, ja que és molt i massa estricte, i has de gastar molts diners per complir amb tots els seus requisits.
Per exemple, l'any passat els desenvolupadors del joc Super Monday Night Combat es van veure obligats a cancel·lar el seu projecte. Segons els seus creadors, el pressupost necessari per redissenyar els sistemes per al GDPR , destinat al joc dels set anys.
"Les empreses petites i mitjanes sovint no tenen els recursos tecnològics i humans per entendre els requisits dels reguladors i fer els preparatius necessaris", comenta Sergey Belkin, cap del departament de desenvolupament del proveïdor IaaS. . "Aquí és on els grans venedors i proveïdors d'IaaS poden venir al rescat, proporcionant una infraestructura informàtica segura per llogar. Per exemple, a 1cloud.ru col·loquem el nostre equip en un centre de dades, d'acord amb l'estàndard de nivell III i ajudar els clients a complir els requisits de la Llei federal russa-152 "Sobre dades personals".
Фото - — Desesquitxa
També hi ha un punt de vista contrari, que el problema aquí no està en la pròpia llei, sinó en el desig de les empreses de complir els seus requisits només formalment. Un dels residents de Hacker News : el motiu de les filtracions de dades personals rau en el fet que les organitzacions els mecanismes de verificació més senzills, que són dictats pel sentit comú.
D'una manera o d'una altra, la Unió Europea no abandonarà el GDPR en un futur proper, per la qual cosa la situació que es va fer llum durant la conferència Black Hat hauria de servir d'incentiu perquè les empreses prestin més atenció a la seguretat de les dades personals.
Què escrivim als nostres blogs i xarxes socials:
1 infraestructura de núvol a Moscou a Dataspace. Aquest és el primer centre de dades rus que aprova la certificació Tier lll de l'Uptime Institute.
Font: www.habr.com