El RGPD se creó para dar a los ciudadanos de la UE más control sobre sus datos personales. Y en cuanto al número de quejas, el objetivo se “logro”: durante el año pasado, los europeos empezaron a denunciar con mayor frecuencia las infracciones cometidas por las empresas y las propias empresas recibieron y comenzó a cerrar rápidamente las vulnerabilidades para no recibir una multa. Pero "de repente" resultó que el RGPD es más visible y eficaz cuando se trata de evadir sanciones financieras o de la necesidad misma de cumplirlas. Y aún más: diseñado para poner fin a las filtraciones de datos personales, el reglamento actualizado se convierte en su causa.
Te contamos lo que está pasando aquí.
Фото - — Desechar
Cual es el problema
Según el RGPD, los ciudadanos de la UE tienen derecho a solicitar una copia de sus datos personales almacenados en los servidores de una empresa. Recientemente se supo que este mecanismo se puede utilizar para recopilar los datos personales de otra persona. Uno de los participantes en la conferencia Black Hat. , durante el cual recibió archivos con datos personales de su prometida de varias empresas. Envió solicitudes pertinentes en su nombre a 150 organizaciones. Curiosamente, el 24% de las empresas solo necesitaban una dirección de correo electrónico y un número de teléfono como prueba de identidad; después de recibirlos, devolvían un archivo con archivos. Alrededor del 16% de las organizaciones solicitaron además fotografías de un pasaporte (u otro documento).
Como resultado, James pudo obtener los números de Seguro Social y de tarjeta de crédito, fecha de nacimiento, apellido de soltera y dirección residencial de su “víctima”. Un servicio que le permite comprobar si se ha filtrado una dirección de correo electrónico (un ejemplo de servicio sería ), incluso envió una lista de datos de autenticación utilizados anteriormente. Esta información puede dar lugar a piratería si el usuario nunca cambió las contraseñas ni las utilizó en otro lugar.
Hay otros ejemplos en los que los datos terminaron en manos equivocadas después de haber sido enviados “erróneamente”. Entonces, hace tres meses uno de los usuarios de Reddit información personal sobre usted de Epic Games. Sin embargo, ella envió por error su PD a otro jugador. Una historia similar ocurrió el año pasado. Cliente Amazon Un archivo de 100 megas con solicitudes de Internet a Alexa y miles de archivos WAF de otro usuario.
Фото - — Desechar
Los expertos señalan que una de las principales razones de que se produzcan este tipo de situaciones es lo incompleto del Reglamento General de Protección de Datos. En particular, el RGPD especifica el plazo dentro del cual una empresa debe responder a las solicitudes de los usuarios (dentro de un mes) y especifica multas (hasta 20 millones de euros o el 4% de los ingresos anuales) por incumplimiento de este requisito. Sin embargo, los procedimientos reales que deberían ayudar a las empresas a cumplir con la ley (por ejemplo, asegurarse de que los datos se envíen a su propietario) no se especifican en él. Por lo tanto, las organizaciones tienen que construir de forma independiente (a veces mediante prueba y error) sus procesos de trabajo.
¿Cómo puedo mejorar la situación?
Una de las propuestas más radicales es abandonar el RGPD o rehacerlo radicalmente. Existe la opinión de que en su forma actual la ley no funciona, ya que es muy y demasiado estricto, y hay que gastar mucho dinero para cumplir con todos sus requisitos.
Por ejemplo, el año pasado los desarrolladores del juego Super Monday Night Combat se vieron obligados a cancelar su proyecto. Según sus creadores, el presupuesto necesario para rediseñar los sistemas para el RGPD , asignado al juego de siete años.
"Las pequeñas y medianas empresas a menudo no cuentan con los recursos tecnológicos y humanos para comprender los requisitos de los reguladores y hacer los preparativos necesarios", comenta Sergey Belkin, jefe del departamento de desarrollo del proveedor de IaaS. . “Aquí es donde los grandes proveedores y los proveedores de IaaS pueden acudir al rescate, proporcionando infraestructura de TI segura en alquiler. Por ejemplo, en 1cloud.ru colocamos nuestro equipo en un centro de datos, de acuerdo con el estándar Tier III y ayuda a los clientes a cumplir con los requisitos de la Ley Federal Rusa-152 "Sobre Datos Personales".
Фото - — Desechar
También hay una opinión contraria: que el problema no está en la ley en sí, sino en el deseo de las empresas de cumplir sus requisitos sólo formalmente. Uno de los residentes de Hacker News. : el motivo de la filtración de datos personales radica en el hecho de que las organizaciones los mecanismos de verificación más simples, dictados por el sentido común.
De una forma u otra, la Unión Europea no va a abandonar el RGPD en un futuro próximo, por lo que la situación que se arrojó durante la conferencia Black Hat debería servir como incentivo para que las empresas presten más atención a la seguridad de los datos personales.
Sobre qué escribimos en nuestros blogs y redes sociales:
1 infraestructura de nube en Moscú en el espacio de datos. Este es el primer centro de datos ruso que obtiene la certificación Tier III del Uptime Institute.
Fuente: habr.com