GDPR bylo vytvořeno s cílem poskytnout občanům EU větší kontrolu nad jejich osobními údaji. A pokud jde o počet stížností, cíle bylo „dosaženo“: v průběhu minulého roku Evropané začali častěji hlásit porušení ze strany společností a samotné společnosti dostávaly a začal rychle uzavírat zranitelnosti, aby nedostal pokutu. „Najednou“ se ale ukázalo, že GDPR je nejviditelnější a nejefektivnější, pokud jde buď o vyhýbání se finančním sankcím, nebo o samotnou nutnost jej dodržovat. A ještě více – navržené tak, aby ukončily úniky osobních údajů, se aktualizované nařízení stává jejich příčinou.
Pojďme si říct, co se tady děje.
--Ото - — Odstříknout
Jaký je problém?
Podle GDPR mají občané EU právo vyžádat si kopii svých osobních údajů uložených na serverech společnosti. Nedávno se ukázalo, že tento mechanismus lze použít ke sběru PD jiné osoby. Jeden z účastníků konference Black Hat , během níž získal archivy s osobními údaji své snoubenky od různých společností. Zaslal jejím jménem příslušné žádosti 150 organizacím. Zajímavé je, že 24 % firem potřebovalo jako doklad totožnosti pouze emailovou adresu a telefonní číslo – po jejich obdržení vrátily archiv se soubory. Přibližně 16 % organizací si navíc vyžádalo fotografie pasu (nebo jiného dokumentu).
V důsledku toho byl James schopen získat číslo sociálního zabezpečení a kreditní karty, datum narození, rodné příjmení a adresu bydliště své „oběti“. Jedna služba, která vám umožňuje zkontrolovat, zda nedošlo k úniku e-mailové adresy (příkladem služby by bylo ), dokonce poslal seznam dříve použitých autentizačních údajů. Tyto informace mohou vést k hacknutí, pokud uživatel nikdy nezměnil hesla nebo je nepoužil někde jinde.
Existují další příklady, kdy data skončila ve špatných rukou poté, co byla „chybně“ odeslána. Takže před třemi měsíci jeden z uživatelů Redditu osobní údaje o vás z Epic Games. Omylem však poslala jeho PD jinému hráči. Podobný příběh se stal loni. Klient Amazon 100megabajtový archiv s internetovými požadavky na Alexu a tisíce souborů WAF jiného uživatele.
--Ото - — Odstříknout
Odborníci tvrdí, že jedním z hlavních důvodů vzniku takových situací je neúplnost obecného nařízení o ochraně osobních údajů. GDPR konkrétně specifikuje časový rámec, ve kterém musí společnost reagovat na požadavky uživatelů (do jednoho měsíce), a stanoví pokuty – až 20 milionů eur nebo 4 % ročních příjmů – za nedodržení tohoto požadavku. Skutečné postupy, které by měly firmám pomoci k dodržování zákona (například zajištění toho, aby data byla odeslána jejich vlastníkovi), v ní ale uvedeny nejsou. Organizace proto musí samostatně (někdy prostřednictvím pokusů a omylů) budovat své pracovní procesy.
Jak mohu zlepšit situaci?
Jedním z nejradikálnějších návrhů je opustit GDPR nebo jej radikálně předělat. Existuje názor, že ve své současné podobě zákon nefunguje, protože je velmi a přehnaně přísný a musíte utratit spoustu peněz, abyste splnili všechny jeho požadavky.
Například v loňském roce byli vývojáři hry Super Monday Night Combat nuceni svůj projekt zrušit. Podle jeho tvůrců si rozpočet vyžádal přepracování systémů pro GDPR , přidělené hře sedm let.
„Malé a střední podniky opravdu často nemají technologické a lidské zdroje na to, aby pochopily požadavky regulátorů a provedly nezbytné přípravy,“ komentuje Sergey Belkin, vedoucí vývojového oddělení poskytovatele IaaS. . „To je místo, kde mohou velcí dodavatelé a poskytovatelé IaaS přijít na pomoc a poskytnout zabezpečenou IT infrastrukturu k pronájmu. Například na 1cloud.ru umísťujeme naše zařízení do datového centra, podle standardu Tier III a pomáhá klientům splnit požadavky ruského federálního zákona-152 „O osobních údajích“.
--Ото - — Odstříknout
Existuje i opačný názor, že problém zde není v právu samotném, ale v touze firem plnit jeho požadavky pouze formálně. Jeden z obyvatel Hacker News : důvod úniku osobních údajů spočívá ve skutečnosti, že organizace nejjednodušší ověřovací mechanismy, které jsou diktovány zdravým rozumem.
Tak či onak se Evropská unie nechystá v nejbližší době GDPR opustit, takže situace, která zazněla během konference Black Hat, by měla firmám posloužit jako pobídka k tomu, aby věnovaly větší pozornost bezpečnosti osobních údajů.
O čem píšeme na našich blozích a sociálních sítích:
1 cloudová infrastruktura v Moskvě v datovém prostoru. Jedná se o první ruské datové centrum, které prošlo certifikací Tier lll od Uptime Institute.
Zdroj: www.habr.com