GDPR EBko herritarrei euren datu pertsonalen gaineko kontrol handiagoa emateko sortu zen. Eta kexa kopuruari dagokionez, helburua Β«lortuaΒ» zen: azken urtean, europarrak enpresen urraketak sarriago salatzen hasi ziren, eta enpresek eurek jaso zuten. eta ahuleziak azkar ixten hasi zen, isunrik ez jasotzeko. Baina "bat-batean" ikusi zen GDPR ikusgarriena eta eraginkorrena dela finantza-zigorrak saihesteko edo bete beharrari dagokionez. Eta are gehiago: datu pertsonalen filtrazioei amaiera emateko diseinatua, eguneratutako araudia haien kausa bihurtzen da.
Esan dezagun hemen zer gertatzen den.
Argazkia - β Zipriztindu
Zein da arazoa
GDPRren arabera, EBko herritarrek eskubidea dute enpresa baten zerbitzarietan gordetako datu pertsonalen kopia bat eskatzeko. Duela gutxi jakin zen mekanismo hau beste pertsona baten PD biltzeko erabil daitekeela. Black Hat jardunaldiko parte hartzaileetako bat , zeinetan bere ezkongaiaren datu pertsonalekin artxiboak jaso zituen hainbat enpresatatik. Haren izenean eskaera garrantzitsuak bidali zizkien 150 erakunderi. Interesgarria da enpresen % 24k helbide elektronikoa eta telefono zenbakia soilik behar izan zituen nortasun froga gisa - horiek jaso ondoren artxibo bat itzuli zuten fitxategiekin. Erakundeen % 16 inguruk pasaporte baten (edo beste dokumentu baten) argazkiak ere eskatu zituzten.
Ondorioz, Jamesek bere "biktimaren" Gizarte Segurantzaren eta kreditu-txartelaren zenbakiak, jaioteguna, neska-izena eta egoitza-helbidea eskuratu ahal izan zituen. Helbide elektroniko bat filtratu den ala ez egiaztatzeko aukera ematen duen zerbitzu bat (zerbitzu baten adibidea izango litzateke ), aurretik erabilitako autentifikazio-datuen zerrenda bidali ere. Informazio horrek hackeatzea ekar dezake erabiltzaileak inoiz pasahitzak aldatu edo beste nonbait erabiltzen baditu.
Badira beste adibide batzuk non datuak "erruki" bidali ostean esku okerretan amaitu zuten. Beraz, duela hiru hilabete Reddit erabiltzaileetako bat Epic Games-en zeure buruari buruzko informazio pertsonala. Hala ere, bere PD beste jokalari bati bidali zion oker. Antzeko istorio bat gertatu zen iaz. Amazon bezeroa 100 megabyteko artxiboa, Alexa-ri Interneteko eskaerak eta beste erabiltzaile baten milaka WAF fitxategi dituena.
Argazkia - β Zipriztindu
Adituek diote horrelako egoerak gertatzeko arrazoi nagusietako bat Datuak Babesteko Erregelamendu Orokorra osatugabea dela. Hain zuzen ere, GDPRk zehazten du zein epe barruan erantzun behar duen enpresa batek erabiltzaileen eskaerei (hilabeteko epean) eta isunak zehazten ditu β20 milioi euro edo urteko diru-sarreren %4rainoβ baldintza hori ez betetzeagatik. Hala ere, enpresei legea betetzen lagundu behar dieten benetako prozedurak (adibidez, bere jabeari datuak bidaltzen zaizkiola ziurtatzea) ez dira bertan zehazten. Hori dela eta, erakundeek modu independentean (batzuetan saiakeraren bidez) beren lan-prozesuak eraiki behar dituzte.
Nola hobe dezaket egoera?
Proposamen erradikalenetako bat GDPR alde batera uztea edo errotik berregitea da. Gaur egungo forman legeak ez duela funtzionatzen iritzia dago, oso baita eta zorrotzegia, eta diru asko gastatu behar duzu bere baldintza guztiak betetzeko.
Esaterako, iaz Super Monday Night Combat jokoaren garatzaileek euren proiektua bertan behera utztzera behartu zuten. Bere sortzaileen arabera, GDPRrako sistemak birdiseinatzeko behar den aurrekontua , zazpi urteko jokorako esleitua.
"Enpresa txiki eta ertainek askotan ez dute erregulatzaileen eskakizunak ulertzeko eta beharrezko prestaketak egiteko baliabide teknologiko eta giza baliabiderik", dio Sergey Belkinek, IaaS hornitzailearen garapen saileko buruak. . "Hor saltzaile handiak eta IaaS hornitzaileak salbatzera etor daitezke, alokairurako IT azpiegitura segurua eskainiz. Adibidez, 1cloud.ru-n gure ekipoak datu-zentro batean jartzen ditugu, Tier III estandarraren arabera eta bezeroei lagundu Errusiako Lege Federal-152 "Datu pertsonalei buruzko" baldintzak betetzen.
Argazkia - β Zipriztindu
Alderantzizko ikuspuntu bat ere badago, hemen arazoa ez dagoela legean bertan, baizik eta enpresek bere eskakizunak formalki bakarrik betetzeko nahian. Hacker News-eko bizilagunetako bat : datu pertsonalen filtrazioen arrazoia erakundeek izatean datza egiaztapen-mekanismorik errazenak, zentzu onak agindutakoak.
Modu batera edo bestera, Europar Batasunak ez du etorkizun hurbilean utziko GDPR, beraz, Black Hat konferentzian argitu zen egoerak pizgarri izan beharko luke enpresek datu pertsonalen segurtasunari arreta gehiago jartzeko.
Gure blogetan eta sare sozialetan idazten duguna:
1hodei azpiegitura Moskun Dataspacen. Hau da Uptime Institutuaren Tier lll ziurtagiria gainditu duen Errusiako lehen datu-zentroa.
Iturria: www.habr.com