GDPR loodi selleks, et anda ELi kodanikele suurem kontroll oma isikuandmete üle. Ja kaebuste arvu osas sai eesmärk "täidetud": viimase aasta jooksul hakkasid eurooplased ettevõtete rikkumistest sagedamini teatama ja ettevõtted ise said ja hakkas haavatavusi kiiresti sulgema, et mitte trahvi saada. Kuid "äkki" selgus, et GDPR on kõige nähtavam ja tõhusam siis, kui tegemist on finantssanktsioonidest kõrvalehoidmisega või vajadusega seda järgida. Ja veelgi enam – isikuandmete lekete lõpetamiseks mõeldud uuendatud määrus saab nende põhjuseks.
Räägime teile, mis siin toimub.
Фото - — Vabastage pritsmed
Milles on probleem
GDPR-i kohaselt on ELi kodanikel õigus nõuda koopiat oma isikuandmetest, mis on salvestatud ettevõtte serveritesse. Hiljuti sai teatavaks, et seda mehhanismi saab kasutada teise inimese PD kogumiseks. Üks Black Hat konverentsil osalejatest , mille käigus sai ta erinevatelt ettevõtetelt arhiive oma kihlatu isikuandmetega. Ta saatis tema nimel asjakohased taotlused 150 organisatsioonile. Huvitaval kombel vajas 24% ettevõtetest isikut tõendava dokumendina vaid meiliaadressi ja telefoninumbrit – pärast nende saamist tagastasid nad arhiivi failidega. Umbes 16% organisatsioonidest soovis lisaks passi (või muu dokumendi) fotosid.
Selle tulemusel suutis James saada oma "ohvri" sotsiaalkindlustus- ja krediitkaardinumbrid, sünnikuupäeva, neiupõlvenime ja elukoha aadressi. Üks teenus, mis võimaldab teil kontrollida, kas meiliaadress on lekkinud (teenuse näide oleks ), saatis isegi varem kasutatud autentimisandmete loendi. See teave võib viia häkkimiseni, kui kasutaja pole kunagi paroole muutnud ega kasutanud neid kusagil mujal.
On ka teisi näiteid, kus andmed sattusid pärast ekslikult saatmist valedesse kätesse. Niisiis, kolm kuud tagasi üks Redditi kasutajatest isiklik teave enda kohta teenusest Epic Games. Kuid ta saatis tema PD ekslikult teisele mängijale. Sarnane lugu juhtus ka eelmisel aastal. Amazoni klient 100-megabaidine arhiiv Interneti-päringutega Alexale ja tuhandete teise kasutaja WAF-failidega.
Фото - — Vabastage pritsmed
Ekspertide sõnul on selliste olukordade esinemise üheks peamiseks põhjuseks isikuandmete kaitse üldmääruse puudulikkus. Eelkõige määrab GDPR ajavahemiku, mille jooksul ettevõte peab kasutajate päringutele vastama (kuu jooksul) ja määrab selle nõude täitmata jätmise eest trahvid kuni 20 miljonit eurot või 4% aastasest tulust. Tegelikke protseduure, mis peaksid aitama ettevõtetel seadusi järgida (näiteks andmete omanikule saatmise tagamine), selles aga ei täpsustata. Seetõttu peavad organisatsioonid iseseisvalt (mõnikord katse-eksituse meetodil) oma tööprotsesse üles ehitama.
Kuidas saaksin olukorda parandada?
Üks radikaalsemaid ettepanekuid on GDPR-ist loobuda või see radikaalselt ümber teha. On arvamus, et praegusel kujul seadus ei tööta, kuna see on väga ja liiga range ning kõigi selle nõuete täitmiseks peate kulutama palju raha.
Näiteks eelmisel aastal olid mängu Super Monday Night Combat arendajad sunnitud oma projekti katkestama. Selle loojate sõnul oli eelarve vaja GDPR-i süsteemide ümberkujundamiseks , mis on eraldatud seitsmeaastasele mängule.
"Väike- ja keskmise suurusega ettevõtetel ei ole tõesti sageli tehnoloogilisi ja inimressursse, et mõista regulaatorite nõudeid ja teha vajalikke ettevalmistusi," kommenteerib IaaS-i pakkuja arendusosakonna juhataja Sergey Belkin. . „Siin saavad appi tulla suured müüjad ja IaaS-i pakkujad, kes pakuvad turvalist IT-taristut rentimiseks. Näiteks saidil 1cloud.ru paigutame oma seadmed andmekeskusesse, vastavalt Tier III standardile ja aidata klientidel järgida Venemaa föderaalseaduse-152 "Isikuandmete kohta" nõudeid.
Фото - — Vabastage pritsmed
On ka vastupidine seisukoht, et probleem ei ole siin seaduses endas, vaid ettevõtete soovis täita selle nõudeid vaid formaalselt. Üks Hacker Newsi elanikest : isikuandmete lekete põhjus peitub selles, et organisatsioonid kõige lihtsamad kontrollimehhanismid, mille dikteerib terve mõistus.
Nii või teisiti ei kavatse Euroopa Liit GDPR-ist lähiajal loobuda, seega peaks Black Hat konverentsil päevavalgele tulnud olukord andma ettevõtetele tõuke pöörata rohkem tähelepanu isikuandmete turvalisusele.
Millest me oma blogides ja sotsiaalvõrgustikes kirjutame:
1 pilveinfrastruktuur Moskvas andmeruumis. See on esimene Venemaa andmekeskus, mis läbis Uptime Institute'i Tier lll sertifikaadi.
Allikas: www.habr.com