La GDPR estis kreita por doni al EU-civitanoj pli da kontrolo pri iliaj personaj datumoj. Kaj koncerne la nombron da plendoj, la celo estis "atingita": dum la pasinta jaro, eŭropanoj komencis raporti malobservojn de kompanioj pli ofte, kaj la kompanioj mem ricevis kaj komencis rapide fermi vundeblecojn por ne ricevi monpunon. Sed "subite" montriĝis, ke la GDPR estas plej videbla kaj efika kiam temas aŭ eviti financajn sankciojn aŭ la bezonon plenumi ĝin. Kaj eĉ pli - desegnita por ĉesigi personajn datumojn, la ĝisdatigita regularo fariĝas ilia kaŭzo.
Ni diru al vi, kio okazas ĉi tie.
Фото - — Malŝprucigi
Kio estas la problemo
Laŭ la GDPR, EU-civitanoj rajtas peti kopion de siaj personaj datumoj konservitaj sur la serviloj de kompanio. Lastatempe oni sciis, ke ĉi tiu mekanismo povas esti uzata por kolekti la PD de alia persono. Unu el la partoprenantoj ĉe la Black Hat-konferenco , dum kiu li ricevis arkivojn kun personaj datumoj de sia fianĉino de diversaj kompanioj. Li sendis koncernajn petojn en ŝia nomo al 150 organizaĵoj. Interese, ke 24% de kompanioj nur bezonis retpoŝtadreson kaj telefonnumeron kiel pruvon de identeco - post ricevi ilin ili resendis arkivon kun dosieroj. Proksimume 16% de organizoj aldone petis fotojn de pasporto (aŭ alia dokumento).
Kiel rezulto, Jakobo povis akiri la Socialasekurecon kaj kreditkartajn numerojn, naskiĝdaton, naksnomon kaj loĝadreson de sia "viktimo". Unu servo, kiu ebligas al vi kontroli ĉu retpoŝtadreso estis likita (ekzemplo de servo estus ), eĉ sendis liston de antaŭe uzataj aŭtentikigdatenoj. Ĉi tiuj informoj povas konduki al hakado se la uzanto neniam ŝanĝis la pasvortojn aŭ uzis ilin aliloke.
Estas aliaj ekzemploj, kie datumoj finiĝis en malĝustaj manoj post esti "erare" senditaj. Do, antaŭ tri monatoj unu el la uzantoj de Reddit personaj informoj pri vi de Epic Games. Tamen, ŝi erare sendis sian PD al alia ludanto. Simila rakonto okazis pasintjare. Amazon Kliento 100-megabajta arkivo kun interretaj petoj al Alexa kaj miloj da WAF-dosieroj de alia uzanto.
Фото - — Malŝprucigi
Fakuloj diras, ke unu el la ĉefaj kialoj de la okazo de tiaj situacioj estas la nekompleteco de la Ĝenerala Reglamento pri Protekto de Datumoj. Precipe, la GDPR precizigas la tempokadron en kiu firmao devas respondi al uzantpetoj (ene de monato) kaj specifas monpunojn - ĝis 20 milionoj da eŭroj aŭ 4% de jara enspezo - pro malsukceso plenumi ĉi tiun postulon. Tamen, la realaj proceduroj, kiuj devus helpi kompaniojn plenumi la leĝon (ekzemple, certigi, ke datumoj estas senditaj al ĝia posedanto) ne estas specifitaj en ĝi. Tial, organizoj devas sendepende (foje per provo kaj eraro) konstrui siajn laborprocezojn.
Kiel mi povas plibonigi la situacion?
Unu el la plej radikalaj proponoj estas forlasi la GDPR aŭ radikale refari ĝin. Estas opinio, ke en sia nuna formo la leĝo ne funkcias, ĉar ĝi estas tre kaj tro strikta, kaj vi devas elspezi multe da mono por plenumi ĉiujn ĝiajn postulojn.
Ekzemple, pasintjare la programistoj de la ludo Super Monday Night Combat estis devigitaj nuligi sian projekton. Laŭ ĝiaj kreintoj, la buĝeto necesa por restrukturi sistemojn por GDPR , asignita al la sepjara ludo.
"Malgrandaj kaj mezgrandaj entreprenoj vere ofte ne havas la teknologiajn kaj homajn rimedojn por kompreni la postulojn de regulistoj kaj fari la necesajn preparojn," komentas Sergey Belkin, estro de la disvolva fako de la provizanto IaaS. . "Ĉi tie estas kie grandaj vendistoj kaj IaaS-provizantoj povas veni al la savo, provizante sekuran IT-infrastrukturon por luado. Ekzemple, ĉe 1cloud.ru ni metas nian ekipaĵon en datumcentro, laŭ la normo Tier III kaj helpu klientojn plenumi la postulojn de la Rusa Federacia Leĝo-152 "Pri Personaj Datumoj".
Фото - — Malŝprucigi
Estas ankaŭ kontraŭa vidpunkto, ke la problemo ĉi tie ne estas en la leĝo mem, sed en la deziro de kompanioj plenumi siajn postulojn nur formale. Unu el la loĝantoj de Hacker News : la kialo de personaj datumoj likoj kuŝas en la fakto ke organizoj la plej simplaj kontrolmekanismoj, kiuj estas diktitaj de komuna racio.
Unumaniere aŭ alie, Eŭropa Unio ne forlasos la GDPR en proksima estonteco, do la situacio, kiu estis lumigita dum la konferenco de Black Hat, devus servi kiel instigo por kompanioj pli atenti la sekurecon de personaj datumoj.
Pri kio ni skribas en niaj blogoj kaj sociaj retoj:
1nuba infrastrukturo en Moskvo en Dataspace. Ĉi tiu estas la unua rusa datumcentro se temas pri trapasi atestilon de Tier lll de la Uptime Institute.
fonto: www.habr.com