Die DSGVO wurde geschaffen, um EU-Bürgern mehr Kontrolle über ihre personenbezogenen Daten zu geben. Und was die Anzahl der Beschwerden angeht, wurde das Ziel „erreicht“: Im vergangenen Jahr begannen die Europäer, Verstöße von Unternehmen häufiger zu melden, und die Unternehmen selbst gingen ein und begann, Schwachstellen schnell zu schließen, um keine Geldstrafe zu erhalten. Doch „plötzlich“ stellte sich heraus, dass die DSGVO dann am sichtbarsten und effektivsten ist, wenn es entweder um die Umgehung von Finanzsanktionen geht oder um die Notwendigkeit, diese einzuhalten. Und noch mehr: Die aktualisierte Verordnung soll dem Verlust personenbezogener Daten ein Ende setzen und wird zu deren Ursache.
Lassen Sie uns Ihnen sagen, was hier los ist.
Фото - – Unsplash
Was ist das Problem
Nach der DSGVO haben EU-Bürger das Recht, eine Kopie ihrer auf den Servern eines Unternehmens gespeicherten personenbezogenen Daten anzufordern. Kürzlich wurde bekannt, dass mit diesem Mechanismus die PD einer anderen Person erfasst werden kann. Einer der Teilnehmer der Black Hat-Konferenz Dabei erhielt er von verschiedenen Firmen Archive mit persönlichen Daten seiner Verlobten. Er schickte in ihrem Namen entsprechende Anfragen an 150 Organisationen. Interessanterweise benötigten 24 % der Unternehmen lediglich eine E-Mail-Adresse und eine Telefonnummer als Identitätsnachweis – nach Erhalt gaben sie ein Archiv mit Dateien zurück. Etwa 16 % der Organisationen forderten zusätzlich Fotos eines Reisepasses (oder eines anderen Dokuments).
Dadurch konnte James die Sozialversicherungs- und Kreditkartennummern, das Geburtsdatum, den Mädchennamen und die Wohnadresse seines „Opfers“ erhalten. Ein Dienst, mit dem Sie überprüfen können, ob eine E-Mail-Adresse durchgesickert ist (ein Beispiel für einen Dienst wäre ), sogar eine Liste der zuvor verwendeten Authentifizierungsdaten gesendet. Diese Informationen können zu Hackerangriffen führen, wenn der Benutzer die Passwörter nie geändert oder an anderer Stelle verwendet hat.
Es gibt weitere Beispiele, bei denen Daten nach „irrtümlicher“ Übermittlung in die falschen Hände gelangten. So, vor drei Monaten einer der Reddit-Benutzer Persönliche Informationen über Sie von Epic Games. Allerdings hat sie seinen PD fälschlicherweise an einen anderen Spieler geschickt. Eine ähnliche Geschichte ereignete sich letztes Jahr. Amazon-Client Ein 100-Megabyte-Archiv mit Internetanfragen an Alexa und Tausenden WAF-Dateien eines anderen Benutzers.
Фото - – Unsplash
Einer der Hauptgründe für das Auftreten solcher Situationen sehen Experten in der Unvollständigkeit der Datenschutz-Grundverordnung. Insbesondere legt die DSGVO den Zeitrahmen fest, innerhalb dessen ein Unternehmen auf Nutzeranfragen reagieren muss (innerhalb eines Monats), und sieht Bußgelder – bis zu 20 Millionen Euro oder 4 % des Jahresumsatzes – für die Nichteinhaltung dieser Anforderung vor. Die tatsächlichen Verfahren, die Unternehmen bei der Einhaltung des Gesetzes helfen sollen (z. B. die Sicherstellung, dass Daten an ihren Eigentümer gesendet werden), sind darin jedoch nicht aufgeführt. Daher müssen Organisationen ihre Arbeitsprozesse unabhängig (manchmal durch Versuch und Irrtum) aufbauen.
Wie kann ich die Situation verbessern?
Einer der radikalsten Vorschläge besteht darin, die DSGVO aufzugeben oder radikal neu zu gestalten. Es besteht die Meinung, dass das Gesetz in seiner jetzigen Form nicht funktioniert, da es sehr ist und zu streng, und man muss viel Geld ausgeben, um alle seine Anforderungen zu erfüllen.
Letztes Jahr mussten beispielsweise die Entwickler des Spiels Super Monday Night Combat ihr Projekt abbrechen. Laut seinen Entwicklern ist das Budget erforderlich, um Systeme für die DSGVO neu zu gestalten , dem siebenjährigen Spiel zugeordnet.
„Kleine und mittlere Unternehmen verfügen oft nicht über die technischen und personellen Ressourcen, um die Anforderungen der Regulierungsbehörden zu verstehen und die notwendigen Vorbereitungen zu treffen“, kommentiert Sergey Belkin, Leiter der Entwicklungsabteilung des IaaS-Anbieters . „Hier können große Anbieter und IaaS-Anbieter Abhilfe schaffen und sichere IT-Infrastruktur zur Miete bereitstellen. Bei 1cloud.ru platzieren wir beispielsweise unsere Geräte in einem Rechenzentrum, gemäß dem Tier-III-Standard und helfen Kunden bei der Einhaltung der Anforderungen des russischen Bundesgesetzes Nr. 152 „Über personenbezogene Daten“.
Фото - – Unsplash
Es gibt auch einen gegenteiligen Standpunkt, dass das Problem hier nicht im Gesetz selbst liegt, sondern im Wunsch der Unternehmen, seine Anforderungen nur formal zu erfüllen. Einer der Bewohner von Hacker News : Der Grund für den Verlust personenbezogener Daten liegt darin, dass Organisationen die einfachsten Überprüfungsmechanismen, die vom gesunden Menschenverstand diktiert werden.
Auf die eine oder andere Weise wird die Europäische Union die DSGVO in naher Zukunft nicht aufgeben, daher sollte die Situation, die während der Black-Hat-Konferenz ans Licht gebracht wurde, als Anreiz für Unternehmen dienen, der Sicherheit personenbezogener Daten mehr Aufmerksamkeit zu schenken.
Worüber wir in unseren Blogs und sozialen Netzwerken schreiben:
1cloud-Infrastruktur in Moskau im Datenraum. Dies ist das erste russische Rechenzentrum, das die Tier-III-Zertifizierung des Uptime Institute erhalten hat.
Source: habr.com