GDPR luotiin, jotta EU:n kansalaiset voisivat paremmin hallita henkilötietojaan. Ja valitusten lukumäärän osalta tavoite "saavutettiin": viime vuoden aikana eurooppalaiset alkoivat ilmoittaa useammin yritysten rikkomuksista, ja yritykset itse saivat monia säädöksiä ja alkoi nopeasti sulkea haavoittuvuuksia, jotta ei saisi sakkoja. Mutta "yhtäkkiä" kävi ilmi, että GDPR on näkyvin ja tehokkain, kun on kyse joko taloudellisten pakotteiden kiertämisestä tai sen noudattamisen tarpeesta. Ja vielä enemmän - päivitetystä asetuksesta, joka on suunniteltu lopettamaan henkilötietovuodot, tulee niiden syy.
GDPR:n mukaan EU:n kansalaisilla on oikeus pyytää kopio yrityksen palvelimille tallennetuista henkilötiedoistaan. Äskettäin tuli tunnetuksi, että tätä mekanismia voidaan käyttää toisen henkilön PD:n keräämiseen. Yksi Black Hat -konferenssin osallistujista suoritti kokeen, jonka aikana hän sai eri yrityksiltä arkistoja morsiamensa henkilötiedoista. Hän lähetti asianmukaisia pyyntöjä hänen puolestaan 150 organisaatiolle. Mielenkiintoista on, että 24 % yrityksistä tarvitsi vain sähköpostiosoitteen ja puhelinnumeron henkilöllisyyden todistajaksi – saatuaan ne palautettiin arkiston tiedostoineen. Noin 16 % organisaatioista pyysi lisäksi valokuvia passista (tai muusta asiakirjasta).
Tämän seurauksena James sai ”uhrinsa” sosiaaliturva- ja luottokorttinumerot, syntymäajan, tyttönimen ja asuinosoitteen. Yksi palvelu, jonka avulla voit tarkistaa, onko sähköpostiosoite vuotanut (esimerkki palvelusta olisi Onko minut ryöstetty?), jopa lähetti luettelon aiemmin käytetyistä todennustiedoista. Nämä tiedot voivat johtaa hakkerointiin, jos käyttäjä ei ole koskaan vaihtanut salasanoja tai käyttänyt niitä muualla.
On muitakin esimerkkejä, joissa tiedot päätyivät vääriin käsiin "virheellisen" lähetyksen jälkeen. Joten, kolme kuukautta sitten yksi Reddit-käyttäjistä pyydetty henkilökohtaisia tietoja itsestäsi Epic Gamesiltä. Hän lähetti kuitenkin virheellisesti hänen PD:nsä toiselle pelaajalle. Samanlainen tarina tapahtui viime vuonna. Amazon-asiakas Sain sen vahingossa 100 megatavun arkisto, jossa on Internet-pyyntöjä Alexalle ja tuhansia toisen käyttäjän WAF-tiedostoja.
Asiantuntijoiden mukaan yksi tärkeimmistä syistä tällaisten tilanteiden esiintymiseen on yleisen tietosuoja-asetuksen epätäydellisyys. Erityisesti GDPR määrittelee aikarajan, jonka kuluessa yrityksen on vastattava käyttäjien pyyntöihin (kuukauden sisällä), ja määrittää sakkoja – enintään 20 miljoonaa euroa tai 4 % vuosituloista – tämän vaatimuksen noudattamatta jättämisestä. Varsinaisia menettelytapoja, joiden pitäisi auttaa yrityksiä noudattamaan lakia (esimerkiksi varmistaa, että tiedot lähetetään sen omistajalle), ei kuitenkaan siinä mainita. Siksi organisaatioiden on itsenäisesti (joskus yrityksen ja erehdyksen kautta) rakennettava työprosessinsa.
Miten voin parantaa tilannetta?
Yksi radikaaleimmista ehdotuksista on hylätä GDPR tai muuttaa se radikaalisti. On olemassa mielipide, että nykyisessä muodossaan laki ei toimi, koska se on hyvin monimutkainen ja liian tiukka, ja sinun on käytettävä paljon rahaa täyttääksesi kaikki sen vaatimukset.
Esimerkiksi viime vuonna Super Monday Night Combat -pelin kehittäjät joutuivat perumaan projektinsa. Sen tekijöiden mukaan budjetti vaadittiin järjestelmien uudelleensuunnitteluun GDPR:ää varten ylitti budjetin, jaettu seitsemän vuotta vanhaan peliin.
"Pienillä ja keskisuurilla yrityksillä ei todellakaan usein ole teknisiä ja henkilöresursseja ymmärtää viranomaisten vaatimuksia ja tehdä tarvittavia valmisteluja", kommentoi IaaS-toimittajan kehitysosaston johtaja Sergey Belkin. 1cloud.ru. "Tässä suuret toimittajat ja IaaS-palveluntarjoajat voivat tulla apuun tarjoamalla turvallisen IT-infrastruktuurin vuokralle. Esimerkiksi osoitteessa 1cloud.ru sijoitamme laitteemme datakeskukseen, sertifioitu Tier III -standardin mukaisesti ja auttaa asiakkaita noudattamaan Venäjän liittovaltion lain 152 "henkilötietoja" vaatimuksia.
On myös päinvastainen näkemys, että ongelma ei ole itse laissa, vaan yritysten halussa täyttää sen vaatimukset vain muodollisesti. Yksi Hacker Newsin asukkaista hän totesi: syy henkilötietojen vuotamiseen piilee siinä, että organisaatiot älä toteuta yksinkertaisimmat todentamismekanismit, jotka ovat terveen järjen sanelemia.
Tavalla tai toisella Euroopan unioni ei aio luopua GDPR:stä lähitulevaisuudessa, joten Black Hat -konferenssissa esiin noussut tilanteen pitäisi toimia kannustimena yrityksille kiinnittämään enemmän huomiota henkilötietojen turvallisuuteen.
Mistä kirjoitamme blogeissamme ja sosiaalisessa mediassa:
1pilviinfrastruktuuri Moskovassa sijaitsee tietotilassa. Tämä on ensimmäinen venäläinen datakeskus, joka on läpäissyt Uptime Instituten Tier lll -sertifikaatin.