GDPR blev oprettet for at give EU-borgere mere kontrol over deres personlige data. Og med hensyn til antallet af klager blev målet "opnået": I løbet af det seneste år begyndte europæere at rapportere krænkelser fra virksomheder oftere, og virksomhederne selv modtog og begyndte hurtigt at lukke sårbarheder for ikke at modtage en bøde. Men “pludselig” viste det sig, at GDPR er mest synlig og effektiv, når det kommer til enten at unddrage sig økonomiske sanktioner eller selve behovet for at overholde den. Og endnu mere - designet til at sætte en stopper for persondatalækager, bliver den opdaterede forordning deres årsag.
Lad os fortælle dig, hvad der foregår her.
Ф billeder - — Unsplash
Hvad er problemet
I henhold til GDPR har EU-borgere ret til at anmode om en kopi af deres personlige data gemt på en virksomheds servere. For nylig blev det kendt, at denne mekanisme kan bruges til at indsamle en anden persons PD. En af deltagerne på Black Hat-konferencen , hvor han modtog arkiver med personlige data om sin forlovede fra forskellige virksomheder. Han sendte relevante anmodninger på hendes vegne til 150 organisationer. Interessant nok havde 24 % af virksomhederne kun brug for en e-mailadresse og et telefonnummer som bevis for identitet – efter at have modtaget dem returnerede de et arkiv med filer. Omkring 16 % af organisationerne anmodede desuden om fotografier af et pas (eller andet dokument).
Som et resultat var James i stand til at få socialsikrings- og kreditkortnumre, fødselsdato, pigenavn og bopælsadresse på sit "offer". En tjeneste, der giver dig mulighed for at kontrollere, om en e-mailadresse er blevet lækket (et eksempel på en tjeneste ville være ), sendte endda en liste over tidligere brugte godkendelsesdata. Disse oplysninger kan føre til hacking, hvis brugeren aldrig har ændret adgangskoden eller brugt dem et andet sted.
Der er andre eksempler, hvor data er havnet i de forkerte hænder efter at være blevet "fejlagtigt" sendt. Så for tre måneder siden en af Reddit-brugerne personlige oplysninger om dig selv fra Epic Games. Hun sendte dog fejlagtigt hans PD til en anden spiller. En lignende historie skete sidste år. Amazon klient Et 100 megabyte arkiv med internetanmodninger til Alexa og tusindvis af WAF-filer fra en anden bruger.
Ф billeder - — Unsplash
Eksperter siger, at en af hovedårsagerne til forekomsten af sådanne situationer er ufuldstændigheden af den generelle databeskyttelsesforordning. GDPR specificerer især den tidsramme, inden for hvilken en virksomhed skal reagere på brugeranmodninger (inden for en måned) og specificerer bøder – op til 20 millioner euro eller 4 % af den årlige omsætning – for manglende overholdelse af dette krav. De faktiske procedurer, der skal hjælpe virksomheder med at overholde loven (for eksempel at sikre, at data sendes til ejeren), er dog ikke specificeret i den. Derfor skal organisationer selvstændigt (nogle gange gennem forsøg og fejl) opbygge deres arbejdsprocesser.
Hvordan kan jeg forbedre situationen?
Et af de mest radikale forslag er at opgive GDPR eller radikalt lave den om. Der er en opfattelse af, at loven i sin nuværende form ikke virker, da den er meget og alt for strenge, og du skal bruge mange penge for at opfylde alle dens krav.
For eksempel blev udviklerne af spillet Super Monday Night Combat sidste år tvunget til at annullere deres projekt. Ifølge dets skabere er det nødvendige budget for at redesigne systemer til GDPR , tildelt det syv år gamle spil.
"Små og mellemstore virksomheder har virkelig ofte ikke de teknologiske og menneskelige ressourcer til at forstå regulatorernes krav og foretage de nødvendige forberedelser," kommenterer Sergey Belkin, leder af udviklingsafdelingen hos IaaS-udbyderen. . "Det er her, store leverandører og IaaS-udbydere kan komme til undsætning og levere sikker it-infrastruktur til leje. For eksempel, på 1cloud.ru placerer vi vores udstyr i et datacenter, i henhold til Tier III-standarden og hjælpe kunder med at overholde kravene i den russiske føderale lov-152 "om personlige data".
Ф billeder - — Unsplash
Der er også et modsat synspunkt, at problemet her ikke ligger i selve loven, men i virksomhedernes ønske om kun at opfylde sine krav formelt. En af beboerne i Hacker News : årsagen til persondatalækage ligger i, at organisationer de enkleste verifikationsmekanismer, som er dikteret af sund fornuft.
På den ene eller anden måde har EU ikke tænkt sig at opgive GDPR i den nærmeste fremtid, så den situation, der blev kastet lys under Black Hat-konferencen, bør tjene som et incitament for virksomheder til at være mere opmærksomme på sikkerheden af personlige data.
Hvad vi skriver om på vores blogs og sociale netværk:
1cloud-infrastruktur i Moskva i Dataspace. Dette er det første russiske datacenter, der har bestået Tier lll-certificering fra Uptime Institute.
Kilde: www.habr.com