Ο GDPR δημιουργήθηκε για να δώσει στους πολίτες της ΕΕ περισσότερο έλεγχο στα προσωπικά τους δεδομένα. Και όσον αφορά τον αριθμό των καταγγελιών, ο στόχος "επιτεύχθηκε": τον περασμένο χρόνο, οι Ευρωπαίοι άρχισαν να αναφέρουν πιο συχνά παραβιάσεις από εταιρείες και οι ίδιες οι εταιρείες έλαβαν και άρχισε να κλείνει γρήγορα τα τρωτά σημεία για να μην λάβει πρόστιμο. Αλλά «ξαφνικά» αποδείχθηκε ότι ο GDPR είναι πιο ορατός και αποτελεσματικός όταν πρόκειται είτε για αποφυγή οικονομικών κυρώσεων είτε για την ίδια την ανάγκη συμμόρφωσης με αυτόν. Και ακόμη περισσότερο - σχεδιασμένος για να βάλει τέλος στις διαρροές προσωπικών δεδομένων, ο ενημερωμένος κανονισμός γίνεται η αιτία τους.
Ας σας πούμε τι συμβαίνει εδώ.
Фото - — Ξεβιδώστε
Ποιο είναι το πρόβλημα
Σύμφωνα με τον GDPR, οι πολίτες της ΕΕ έχουν το δικαίωμα να ζητήσουν αντίγραφο των προσωπικών τους δεδομένων που είναι αποθηκευμένα στους διακομιστές μιας εταιρείας. Πρόσφατα έγινε γνωστό ότι αυτός ο μηχανισμός μπορεί να χρησιμοποιηθεί για τη συλλογή PD άλλου ατόμου. Ένας από τους συμμετέχοντες στο συνέδριο Black Hat , κατά την οποία έλαβε αρχεία με προσωπικά στοιχεία της αρραβωνιαστικιάς του από διάφορες εταιρείες. Έστειλε σχετικά αιτήματα για λογαριασμό της σε 150 φορείς. Είναι ενδιαφέρον ότι το 24% των εταιρειών χρειάζονταν μόνο μια διεύθυνση email και έναν αριθμό τηλεφώνου ως απόδειξη ταυτότητας - αφού τα έλαβαν, επέστρεψαν ένα αρχείο με αρχεία. Περίπου το 16% των οργανισμών ζήτησε επιπλέον φωτογραφίες διαβατηρίου (ή άλλου εγγράφου).
Ως αποτέλεσμα, ο Τζέιμς μπόρεσε να λάβει τους αριθμούς κοινωνικής ασφάλισης και πιστωτικής κάρτας, την ημερομηνία γέννησης, το πατρικό όνομα και τη διεύθυνση κατοικίας του «θύματος» του. Μια υπηρεσία που σας επιτρέπει να ελέγξετε εάν μια διεύθυνση email έχει διαρρεύσει (ένα παράδειγμα υπηρεσίας θα ήταν ), έστειλε ακόμη και μια λίστα με δεδομένα ελέγχου ταυτότητας που χρησιμοποιήθηκαν στο παρελθόν. Αυτές οι πληροφορίες μπορεί να οδηγήσουν σε εισβολή εάν ο χρήστης δεν άλλαξε ποτέ τους κωδικούς πρόσβασης ή τους χρησιμοποίησε κάπου αλλού.
Υπάρχουν άλλα παραδείγματα όπου τα δεδομένα κατέληξαν σε λάθος χέρια μετά την αποστολή «λανθασμένα». Έτσι, πριν από τρεις μήνες, ένας από τους χρήστες του Reddit προσωπικές πληροφορίες για τον εαυτό σας από την Epic Games. Ωστόσο, κατά λάθος έστειλε το PD του σε άλλο παίκτη. Μια παρόμοια ιστορία συνέβη και πέρυσι. Πελάτης Amazon Ένα αρχείο 100 megabyte με αιτήματα Διαδικτύου προς την Alexa και χιλιάδες αρχεία WAF άλλου χρήστη.
Фото - — Ξεβιδώστε
Οι ειδικοί λένε ότι ένας από τους κύριους λόγους για την εμφάνιση τέτοιων καταστάσεων είναι η μη πληρότητα του Γενικού Κανονισμού για την Προστασία Δεδομένων. Συγκεκριμένα, ο GDPR καθορίζει το χρονικό πλαίσιο εντός του οποίου μια εταιρεία πρέπει να ανταποκριθεί στα αιτήματα των χρηστών (εντός ενός μήνα) και καθορίζει πρόστιμα —έως 20 εκατομμύρια ευρώ ή 4% των ετήσιων εσόδων— για μη συμμόρφωση με αυτήν την απαίτηση. Ωστόσο, οι πραγματικές διαδικασίες που θα βοηθήσουν τις εταιρείες να συμμορφωθούν με τη νομοθεσία (για παράδειγμα, η διασφάλιση ότι τα δεδομένα αποστέλλονται στον κάτοχό τους) δεν προσδιορίζονται σε αυτό. Ως εκ τούτου, οι οργανισμοί πρέπει να δημιουργήσουν ανεξάρτητα (μερικές φορές μέσω δοκιμής και λάθους) τις διαδικασίες εργασίας τους.
Πώς μπορώ να βελτιώσω την κατάσταση;
Μία από τις πιο ριζοσπαστικές προτάσεις είναι η εγκατάλειψη του GDPR ή η ριζική αναδιαμόρφωσή του. Υπάρχει η άποψη ότι στην τρέχουσα μορφή του ο νόμος δεν λειτουργεί, αφού είναι πολύ και υπερβολικά αυστηρό, και πρέπει να ξοδέψεις πολλά χρήματα για να καλύψεις όλες τις απαιτήσεις του.
Για παράδειγμα, πέρυσι οι προγραμματιστές του παιχνιδιού Super Monday Night Combat αναγκάστηκαν να ακυρώσουν το έργο τους. Σύμφωνα με τους δημιουργούς του, ο προϋπολογισμός που απαιτείται για τον επανασχεδιασμό συστημάτων για το GDPR , που διατίθεται στο παιχνίδι των επτά ετών.
«Οι μικρομεσαίες επιχειρήσεις πραγματικά συχνά δεν έχουν τους τεχνολογικούς και ανθρώπινους πόρους για να κατανοήσουν τις απαιτήσεις των ρυθμιστικών αρχών και να κάνουν τις απαραίτητες προετοιμασίες», σχολιάζει ο Sergey Belkin, επικεφαλής του τμήματος ανάπτυξης του παρόχου IaaS. . «Αυτό είναι όπου μεγάλοι πωλητές και πάροχοι IaaS μπορούν να έρθουν στη διάσωση, παρέχοντας ασφαλή υποδομή πληροφορικής προς ενοικίαση. Για παράδειγμα, στο 1cloud.ru τοποθετούμε τον εξοπλισμό μας σε ένα κέντρο δεδομένων, σύμφωνα με το πρότυπο Tier III και βοηθούν τους πελάτες να συμμορφώνονται με τις απαιτήσεις του Ρωσικού Ομοσπονδιακού Νόμου-152 «Περί Προσωπικών Δεδομένων».
Фото - — Ξεβιδώστε
Υπάρχει επίσης μια αντίθετη άποψη, ότι το πρόβλημα εδώ δεν βρίσκεται στον ίδιο τον νόμο, αλλά στην επιθυμία των εταιρειών να εκπληρώσουν τις απαιτήσεις του μόνο τυπικά. Ένας από τους κατοίκους του Hacker News : ο λόγος για τις διαρροές προσωπικών δεδομένων έγκειται στο γεγονός ότι οι οργανισμοί τους απλούστερους μηχανισμούς επαλήθευσης, που υπαγορεύονται από την κοινή λογική.
Με τον έναν ή τον άλλον τρόπο, η Ευρωπαϊκή Ένωση δεν πρόκειται να εγκαταλείψει τον GDPR στο εγγύς μέλλον, επομένως η κατάσταση που φωτίστηκε κατά τη διάσκεψη Black Hat θα πρέπει να χρησιμεύσει ως κίνητρο για τις εταιρείες να δώσουν μεγαλύτερη προσοχή στην ασφάλεια των προσωπικών δεδομένων.
Τι γράφουμε στα ιστολόγια και στα κοινωνικά μας δίκτυα:
1 υποδομή cloud στη Μόσχα στο Dataspace. Αυτό είναι το πρώτο Ρωσικό κέντρο δεδομένων που πέρασε την πιστοποίηση Tier lll από το Uptime Institute.
Πηγή: www.habr.com