Le RGPD a été créé pour donner aux citoyens de l'UE plus de contrôle sur leurs données personnelles. Et en termes de nombre de plaintes, l'objectif a été « atteint » : au cours de l'année écoulée, les Européens ont commencé à signaler plus souvent les violations commises par les entreprises, et les entreprises elles-mêmes ont reçu et a commencé à combler rapidement les vulnérabilités afin de ne pas recevoir d'amende. Mais « tout d’un coup », il s’est avéré que le RGPD est plus visible et plus efficace lorsqu’il s’agit soit d’échapper aux sanctions financières, soit de s’y conformer. Et plus encore : destinée à mettre un terme aux fuites de données personnelles, la réglementation actualisée en devient la cause.
Disons ce qui se passe ici.
Фото - - sans éclaboussures
Quel est le problème
En vertu du RGPD, les citoyens de l'UE ont le droit de demander une copie de leurs données personnelles stockées sur les serveurs d'une entreprise. Récemment, on a appris que ce mécanisme pouvait être utilisé pour collecter les données personnelles d’une autre personne. L'un des participants à la conférence Black Hat , au cours de laquelle il a reçu des archives contenant les données personnelles de sa fiancée de diverses sociétés. Il a envoyé des demandes pertinentes en son nom à 150 organisations. Il est intéressant de noter que 24 % des entreprises n'avaient besoin que d'une adresse e-mail et d'un numéro de téléphone comme preuve d'identité : après les avoir reçus, elles ont renvoyé une archive contenant des fichiers. Environ 16 % des organisations ont également demandé des photographies d'un passeport (ou d'un autre document).
Grâce à cela, James a pu obtenir les numéros de sécurité sociale et de carte de crédit, la date de naissance, le nom de jeune fille et l'adresse résidentielle de sa « victime ». Un service qui vous permet de vérifier si une adresse e-mail a été divulguée (un exemple de service serait ), a même envoyé une liste de données d'authentification précédemment utilisées. Ces informations peuvent conduire à un piratage si l'utilisateur n'a jamais modifié les mots de passe ou ne les a pas utilisés ailleurs.
Il existe d’autres exemples où des données se sont retrouvées entre de mauvaises mains après avoir été envoyées « par erreur ». Ainsi, il y a trois mois, l'un des utilisateurs de Reddit informations personnelles vous concernant provenant d'Epic Games. Cependant, elle a envoyé par erreur son PD à un autre joueur. Une histoire similaire s’est produite l’année dernière. Client Amazon Une archive de 100 mégaoctets avec des requêtes Internet adressées à Alexa et des milliers de fichiers WAF d'un autre utilisateur.
Фото - - sans éclaboussures
Les experts estiment que l'une des principales raisons de l'apparition de telles situations est le caractère incomplet du règlement général sur la protection des données. Le RGPD précise notamment le délai dans lequel une entreprise doit répondre aux demandes des utilisateurs (dans un délai d'un mois) et prévoit des amendes – pouvant aller jusqu'à 20 millions d'euros ou 4 % du chiffre d'affaires annuel – en cas de non-respect de cette exigence. Cependant, les procédures concrètes qui devraient aider les entreprises à se conformer à la loi (par exemple, s'assurer que les données sont transmises à leur propriétaire) n'y sont pas précisées. Par conséquent, les organisations doivent construire leurs processus de travail de manière indépendante (parfois par essais et erreurs).
Comment puis-je améliorer la situation ?
L’une des propositions les plus radicales consiste à abandonner le RGPD ou à le remanier radicalement. Il existe une opinion selon laquelle, dans sa forme actuelle, la loi ne fonctionne pas, car elle est très et trop stricte, et vous devez dépenser beaucoup d'argent pour répondre à toutes ses exigences.
Par exemple, l'année dernière, les développeurs du jeu Super Monday Night Combat ont été contraints d'annuler leur projet. Selon ses créateurs, le budget nécessaire à la refonte des systèmes pour le RGPD , attribué au jeu des sept ans.
"Les petites et moyennes entreprises n'ont souvent pas les ressources technologiques et humaines nécessaires pour comprendre les exigences des régulateurs et faire les préparatifs nécessaires", commente Sergey Belkin, chef du département de développement du fournisseur IaaS. . « C’est là que les grands fournisseurs et les fournisseurs IaaS peuvent venir à la rescousse, en proposant une infrastructure informatique sécurisée à louer. Par exemple, chez 1cloud.ru, nous plaçons nos équipements dans un centre de données, conformément à la norme Tier III et aider les clients à se conformer aux exigences de la loi fédérale russe 152 « sur les données personnelles ».
Фото - - sans éclaboussures
Il existe également un point de vue opposé, selon lequel le problème ne réside pas ici dans la loi elle-même, mais dans la volonté des entreprises de ne remplir ses exigences que formellement. Un des résidents de Hacker News : la raison des fuites de données personnelles réside dans le fait que les organisations les mécanismes de vérification les plus simples, dictés par le bon sens.
D'une manière ou d'une autre, l'Union européenne n'abandonnera pas le RGPD dans un avenir proche, c'est pourquoi la situation mise en lumière lors de la conférence Black Hat devrait inciter les entreprises à accorder plus d'attention à la sécurité des données personnelles.
Ce que nous écrivons sur nos blogs et réseaux sociaux :
1infrastructure cloud à Moscou dans l'espace de données. Il s'agit du premier centre de données russe à obtenir la certification Tier III de l'Uptime Institute.
Source: habr.com