GDPR ایجاد شد تا به شهروندان اتحادیه اروپا کنترل بیشتری بر داده های شخصی خود بدهد. و از نظر تعداد شکایات، هدف "به دست آمد": در طول سال گذشته، اروپایی ها شروع به گزارش تخلفات توسط شرکت ها کردند و خود شرکت ها دریافت کردند. بسیاری از مقررات و شروع به بستن سریع آسیب پذیری ها کرد تا جریمه نشوند. اما «ناگهان» مشخص شد که GDPR در مورد فرار از تحریمهای مالی یا نیاز به رعایت آن بیشتر قابل مشاهده و مؤثر است. و حتی بیشتر - که برای پایان دادن به نشت داده های شخصی طراحی شده است، مقررات به روز شده دلیل آنها می شود.
بر اساس GDPR، شهروندان اتحادیه اروپا حق دارند یک کپی از اطلاعات شخصی خود را که در سرورهای یک شرکت ذخیره شده است درخواست کنند. اخیراً مشخص شده است که از این مکانیسم می توان برای جمع آوری PD شخص دیگری استفاده کرد. یکی از شرکت کنندگان در کنفرانس کلاه سیاه آزمایشی انجام داد، که طی آن آرشیوهایی با اطلاعات شخصی نامزدش از شرکت های مختلف دریافت کرد. او درخواست های مربوطه را از طرف او به 150 سازمان ارسال کرد. جالب اینجاست که 24 درصد از شرکت ها فقط به یک آدرس ایمیل و یک شماره تلفن به عنوان مدرک هویت نیاز داشتند - پس از دریافت آنها، یک بایگانی با پرونده ها را برگرداندند. حدود 16 درصد از سازمان ها علاوه بر این درخواست عکس پاسپورت (یا مدرک دیگر) کردند.
در نتیجه، جیمز توانست شماره کارت اعتباری، تامین اجتماعی، تاریخ تولد، نام دختر و آدرس محل سکونت "قربانی" خود را بدست آورد. یکی از سرویسهایی که به شما امکان میدهد بررسی کنید که آیا یک آدرس ایمیل لو رفته است (نمونهای از یک سرویس است آیا من تحت فشار قرار گرفته ام؟، حتی لیستی از داده های احراز هویت قبلاً استفاده شده را ارسال کرد. اگر کاربر هرگز رمزهای عبور را تغییر نداده یا در جای دیگری از آنها استفاده نکرده باشد، این اطلاعات می تواند منجر به هک شود.
نمونه های دیگری وجود دارد که داده ها پس از ارسال "به اشتباه" در دستان اشتباه قرار گرفتند. بنابراین، سه ماه پیش یکی از کاربران Reddit درخواست کرد اطلاعات شخصی در مورد خودتان از Epic Games. با این حال، او به اشتباه PD خود را برای بازیکن دیگری فرستاد. داستان مشابهی در سال گذشته اتفاق افتاد. مشتری آمازون تصادفی دریافت کردم یک آرشیو 100 مگابایتی با درخواست های اینترنتی به الکسا و هزاران فایل WAF از یک کاربر دیگر.
کارشناسان یکی از دلایل اصلی بروز چنین شرایطی را ناقص بودن آیین نامه عمومی حفاظت از داده ها می دانند. به طور خاص، GDPR چارچوب زمانی را مشخص می کند که در آن یک شرکت باید به درخواست های کاربران (در عرض یک ماه) پاسخ دهد و جریمه هایی را - تا سقف 20 میلیون یورو یا 4٪ از درآمد سالانه - برای عدم رعایت این الزام مشخص می کند. با این حال، رویه های واقعی که باید به شرکت ها کمک کند تا از قانون پیروی کنند (به عنوان مثال، اطمینان از ارسال داده ها به صاحب آن) در آن مشخص نشده است. بنابراین، سازمان ها باید به طور مستقل (گاهی از طریق آزمون و خطا) فرآیندهای کاری خود را بسازند.
چگونه می توانم وضعیت را بهبود بخشم؟
یکی از رادیکال ترین پیشنهادها کنار گذاشتن GDPR یا بازسازی بنیادی آن است. این عقیده وجود دارد که در شکل فعلی آن قانون کار نمی کند، زیرا بسیار است پیچیده است و بیش از حد سختگیر است و برای برآورده کردن تمام الزامات آن باید پول زیادی خرج کنید.
به عنوان مثال، سال گذشته توسعه دهندگان بازی Super Monday Night Combat مجبور شدند پروژه خود را لغو کنند. به گفته سازندگان آن، بودجه مورد نیاز برای طراحی مجدد سیستم ها برای GDPR از بودجه فراتر رفت، اختصاص به بازی هفت ساله دارد.
سرگئی بلکین، رئیس بخش توسعه ارائهدهنده IaaS میگوید: «کسبوکارهای کوچک و متوسط اغلب منابع فنی و انسانی برای درک الزامات تنظیمکنندهها و انجام مقدمات لازم را ندارند. 1cloud.ru. اینجا جایی است که فروشندگان بزرگ و ارائه دهندگان IaaS می توانند به کمک بیایند و زیرساخت امن IT را برای اجاره فراهم کنند. به عنوان مثال، در 1cloud.ru ما تجهیزات خود را در یک مرکز داده قرار می دهیم، گواهی شده مطابق با استاندارد Tier III و به مشتریان کمک می کند تا با الزامات قانون فدرال روسیه-152 "در مورد داده های شخصی" مطابقت داشته باشند.
دیدگاه مخالفی نیز وجود دارد، که مشکل در اینجا در خود قانون نیست، بلکه در تمایل شرکت ها به انجام الزامات آن فقط به صورت رسمی است. یکی از ساکنان هکر نیوز اشاره کرد: دلیل نشت داده های شخصی در این واقعیت نهفته است که سازمان ها اجرا نکنید ساده ترین مکانیسم های تأیید، که توسط عقل سلیم دیکته می شود.
به هر حال، اتحادیه اروپا قرار نیست در آینده نزدیک GDPR را کنار بگذارد، بنابراین وضعیتی که در کنفرانس کلاه سیاه روشن شد باید به عنوان انگیزه ای برای شرکت ها باشد تا توجه بیشتری به امنیت داده های شخصی داشته باشند.
آنچه در وبلاگ ها و شبکه های اجتماعی خود می نویسیم: