ProHoster > وبلاگ > اداره > چگونه GDPR باعث درز اطلاعات شخصی شد

چگونه GDPR باعث درز اطلاعات شخصی شد

GDPR ایجاد شد تا به شهروندان اتحادیه اروپا کنترل بیشتری بر داده های شخصی خود بدهد. و از نظر تعداد شکایات، هدف "به دست آمد": در طول سال گذشته، اروپایی ها شروع به گزارش تخلفات توسط شرکت ها کردند و خود شرکت ها دریافت کردند. بسیاری از مقررات و شروع به بستن سریع آسیب پذیری ها کرد تا جریمه نشوند. اما «ناگهان» مشخص شد که GDPR در مورد فرار از تحریم‌های مالی یا نیاز به رعایت آن بیشتر قابل مشاهده و مؤثر است. و حتی بیشتر - که برای پایان دادن به نشت داده های شخصی طراحی شده است، مقررات به روز شده دلیل آنها می شود.

بیایید به شما بگوییم اینجا چه خبر است.

چگونه GDPR باعث درز اطلاعات شخصی شد
Фото - دان مویج - پاشیدن

مشکل چیه

بر اساس GDPR، شهروندان اتحادیه اروپا حق دارند یک کپی از اطلاعات شخصی خود را که در سرورهای یک شرکت ذخیره شده است درخواست کنند. اخیراً مشخص شده است که از این مکانیسم می توان برای جمع آوری PD شخص دیگری استفاده کرد. یکی از شرکت کنندگان در کنفرانس کلاه سیاه آزمایشی انجام داد، که طی آن آرشیوهایی با اطلاعات شخصی نامزدش از شرکت های مختلف دریافت کرد. او درخواست های مربوطه را از طرف او به 150 سازمان ارسال کرد. جالب اینجاست که 24 درصد از شرکت ها فقط به یک آدرس ایمیل و یک شماره تلفن به عنوان مدرک هویت نیاز داشتند - پس از دریافت آنها، یک بایگانی با پرونده ها را برگرداندند. حدود 16 درصد از سازمان ها علاوه بر این درخواست عکس پاسپورت (یا مدرک دیگر) کردند.

در نتیجه، جیمز توانست شماره کارت اعتباری، تامین اجتماعی، تاریخ تولد، نام دختر و آدرس محل سکونت "قربانی" خود را بدست آورد. یکی از سرویس‌هایی که به شما امکان می‌دهد بررسی کنید که آیا یک آدرس ایمیل لو رفته است (نمونه‌ای از یک سرویس است آیا من تحت فشار قرار گرفته ام؟، حتی لیستی از داده های احراز هویت قبلاً استفاده شده را ارسال کرد. اگر کاربر هرگز رمزهای عبور را تغییر نداده یا در جای دیگری از آنها استفاده نکرده باشد، این اطلاعات می تواند منجر به هک شود.

نمونه های دیگری وجود دارد که داده ها پس از ارسال "به اشتباه" در دستان اشتباه قرار گرفتند. بنابراین، سه ماه پیش یکی از کاربران Reddit درخواست کرد اطلاعات شخصی در مورد خودتان از Epic Games. با این حال، او به اشتباه PD خود را برای بازیکن دیگری فرستاد. داستان مشابهی در سال گذشته اتفاق افتاد. مشتری آمازون تصادفی دریافت کردم یک آرشیو 100 مگابایتی با درخواست های اینترنتی به الکسا و هزاران فایل WAF از یک کاربر دیگر.

چگونه GDPR باعث درز اطلاعات شخصی شد
Фото - تام سودوگ - پاشیدن

کارشناسان یکی از دلایل اصلی بروز چنین شرایطی را ناقص بودن آیین نامه عمومی حفاظت از داده ها می دانند. به طور خاص، GDPR چارچوب زمانی را مشخص می کند که در آن یک شرکت باید به درخواست های کاربران (در عرض یک ماه) پاسخ دهد و جریمه هایی را - تا سقف 20 میلیون یورو یا 4٪ از درآمد سالانه - برای عدم رعایت این الزام مشخص می کند. با این حال، رویه های واقعی که باید به شرکت ها کمک کند تا از قانون پیروی کنند (به عنوان مثال، اطمینان از ارسال داده ها به صاحب آن) در آن مشخص نشده است. بنابراین، سازمان ها باید به طور مستقل (گاهی از طریق آزمون و خطا) فرآیندهای کاری خود را بسازند.

چگونه می توانم وضعیت را بهبود بخشم؟

یکی از رادیکال ترین پیشنهادها کنار گذاشتن GDPR یا بازسازی بنیادی آن است. این عقیده وجود دارد که در شکل فعلی آن قانون کار نمی کند، زیرا بسیار است پیچیده است و بیش از حد سختگیر است و برای برآورده کردن تمام الزامات آن باید پول زیادی خرج کنید.

به عنوان مثال، سال گذشته توسعه دهندگان بازی Super Monday Night Combat مجبور شدند پروژه خود را لغو کنند. به گفته سازندگان آن، بودجه مورد نیاز برای طراحی مجدد سیستم ها برای GDPR از بودجه فراتر رفت، اختصاص به بازی هفت ساله دارد.

سرگئی بلکین، رئیس بخش توسعه ارائه‌دهنده IaaS می‌گوید: «کسب‌وکارهای کوچک و متوسط ​​اغلب منابع فنی و انسانی برای درک الزامات تنظیم‌کننده‌ها و انجام مقدمات لازم را ندارند. 1cloud.ru. اینجا جایی است که فروشندگان بزرگ و ارائه دهندگان IaaS می توانند به کمک بیایند و زیرساخت امن IT را برای اجاره فراهم کنند. به عنوان مثال، در 1cloud.ru ما تجهیزات خود را در یک مرکز داده قرار می دهیم، گواهی شده مطابق با استاندارد Tier III و به مشتریان کمک می کند تا با الزامات قانون فدرال روسیه-152 "در مورد داده های شخصی" مطابقت داشته باشند.

چگونه GDPR باعث درز اطلاعات شخصی شد
Фото - کروماتوگراف - پاشیدن

دیدگاه مخالفی نیز وجود دارد، که مشکل در اینجا در خود قانون نیست، بلکه در تمایل شرکت ها به انجام الزامات آن فقط به صورت رسمی است. یکی از ساکنان هکر نیوز اشاره کرد: دلیل نشت داده های شخصی در این واقعیت نهفته است که سازمان ها اجرا نکنید ساده ترین مکانیسم های تأیید، که توسط عقل سلیم دیکته می شود.

به هر حال، اتحادیه اروپا قرار نیست در آینده نزدیک GDPR را کنار بگذارد، بنابراین وضعیتی که در کنفرانس کلاه سیاه روشن شد باید به عنوان انگیزه ای برای شرکت ها باشد تا توجه بیشتری به امنیت داده های شخصی داشته باشند.

آنچه در وبلاگ ها و شبکه های اجتماعی خود می نویسیم:

چگونه GDPR باعث درز اطلاعات شخصی شد 766 کیلومتر - رکورد جدید برد برای LoRaWAN
چگونه GDPR باعث درز اطلاعات شخصی شد چه کسی از پروتکل احراز هویت SAML 2.0 استفاده می کند

چگونه GDPR باعث درز اطلاعات شخصی شد داده های بزرگ: فرصت های بزرگ یا فریب بزرگ
چگونه GDPR باعث درز اطلاعات شخصی شد داده های شخصی: ویژگی های ابر عمومی

چگونه GDPR باعث درز اطلاعات شخصی شد مجموعه‌ای از کتاب‌ها برای کسانی که قبلاً درگیر مدیریت سیستم هستند یا قصد دارند شروع کنند
چگونه GDPR باعث درز اطلاعات شخصی شد پشتیبانی فنی 1cloud چگونه کار می کند؟

چگونه GDPR باعث درز اطلاعات شخصی شد
1 زیرساخت ابری در مسکو واقع شده در Dataspace این اولین مرکز داده روسی است که گواهینامه Tier lll را از موسسه Uptime دریافت می کند.

منبع: www.habr.com

اضافه کردن نظر