De GDPR is makke om EU-boargers mear kontrôle te jaan oer har persoanlike gegevens. En wat it oantal klachten oanbelanget, waard it doel "berikber": it ôfrûne jier begûnen Europeanen faker oertredings troch bedriuwen te melden, en de bedriuwen sels krigen en begon kwetsberens fluch te sluten om gjin boete te ûntfangen. Mar "ynienen" die bliken dat de GDPR it meast sichtber en effektyf is as it giet om it ûntdutsen fan finansjele sanksjes of de needsaak om dêr oan te foldwaan. En noch mear - ûntworpen om in ein te meitsjen oan lekkages fan persoanlike gegevens, wurdt de bywurke regeljouwing har oarsaak.
Litte wy jo fertelle wat hjir bart.
Фото - - Unsplash
Wat is it probleem
Under de GDPR hawwe EU-boargers it rjocht om in kopy oan te freegjen fan har persoanlike gegevens opslein op 'e servers fan in bedriuw. Koartlyn waard bekend dat dit meganisme kin wurde brûkt om de PD fan in oare persoan te sammeljen. Ien fan de dielnimmers oan de Black Hat-konferinsje , wêrby't er argiven mei persoanlike gegevens fan syn ferloofde fan ferskate bedriuwen krige. Hy stjoerde relevante oanfragen út har namme nei 150 organisaasjes. It is nijsgjirrich dat 24% fan 'e bedriuwen allinich in e-mailadres en in tillefoannûmer nedich wie as bewiis fan identiteit - nei't se se krigen, joegen se in argyf mei bestannen werom. Sawat 16% fan organisaasjes fregen boppedat foto's fan in paspoart (as oar dokumint).
As gefolch koe James de nûmers fan sosjale feiligens en kredytkaarten, bertedatum, famkesnamme en wenadres fan syn "slachtoffer" krije. Ien tsjinst wêrmei jo kinne kontrolearje oft in e-mailadres is lekt (in foarbyld fan in tsjinst soe wêze ), sels in list mei earder brûkte autentikaasjegegevens stjoerd. Dizze ynformaasje kin liede ta hacking as de brûker de wachtwurden nea feroare of earne oars brûkte.
D'r binne oare foarbylden wêr't gegevens yn 'e ferkearde hannen kamen nei't se "fersin" ferstjoerd binne. Dat, trije moanne lyn ien fan 'e Reddit-brûkers persoanlike ynformaasje oer dysels út Epic Games. Se stjoerde lykwols fersin syn PD nei in oare spiler. In ferlykber ferhaal barde ferline jier. Amazon Client In 100-megabyte argyf mei ynternetoanfragen oan Alexa en tûzenen WAF-bestannen fan in oare brûker.
Фото - - Unsplash
Saakkundigen sizze dat ien fan 'e wichtichste redenen foar it foarkommen fan sokke situaasjes is de ûnfolsleinens fan' e Algemiene Data Protection Regulation. Benammen spesifisearret de GDPR it tiidframe wêryn in bedriuw moat reagearje op brûkersoanfragen (binnen in moanne) en spesifiseart boetes - oant 20 miljoen euro of 4% fan 'e jierlikse ynkomsten - foar it net foldwaan oan dizze eask. De eigentlike prosedueres dy't bedriuwen helpe moatte om te foldwaan oan 'e wet (bygelyks derfoar soargje dat gegevens nei har eigner stjoerd wurde) binne der lykwols net yn spesifisearre. Dêrom moatte organisaasjes selsstannich (soms troch trial and error) har wurkprosessen bouwe.
Hoe kin ik de situaasje ferbetterje?
Ien fan 'e meast radikale foarstellen is om de GDPR te ferlitten of it radikale opnij te meitsjen. Der is in miening dat yn syn hjoeddeistige foarm de wet net wurket, om't it tige is en al te strang, en jo moatte besteegje in soad jild foar in moetsje al syn easken.
Bygelyks, ferline jier waarden de ûntwikkelders fan it spultsje Super Monday Night Combat twongen om har projekt te annulearjen. Neffens har makkers is it budzjet nedich om systemen foar GDPR opnij te ûntwerpen , tawiisd oan de sân jier âlde spultsje.
"Lytse en middelgrutte bedriuwen hawwe echt faak net de technologyske en minsklike boarnen om de easken fan regulators te begripen en de nedige tariedingen te meitsjen," kommentearret Sergey Belkin, haad fan 'e ûntwikkelingsôfdieling fan' e IaaS-provider . "Dit is wêr't grutte leveransiers en IaaS-providers ta de rêding kinne komme, en soargje foar feilige IT-ynfrastruktuer foar hier. Bygelyks, by 1cloud.ru pleatse wy ús apparatuer yn in datasintrum, neffens de Tier III-standert en helpe kliïnten te foldwaan oan 'e easken fan' e Russyske Federale Wet-152 "Op persoanlike gegevens".
Фото - - Unsplash
Der is ek in tsjinoerstelde stânpunt, dat it probleem hjir net yn 'e wet sels sit, mar yn' e winsk fan bedriuwen om har easken allinich formeel te foldwaan. Ien fan de ynwenners fan Hacker News : de reden foar lekkage fan persoanlike gegevens leit yn it feit dat organisaasjes de ienfâldichste ferifikaasjemeganismen, dy't diktearre wurde troch sûn ferstân.
Op ien of oare manier sil de Jeropeeske Uny de GDPR yn 'e heine takomst net ferlitte, dus de situaasje dy't ljocht waard yn' e Black Hat-konferinsje soe moatte tsjinje as in stimulâns foar bedriuwen om mear omtinken te jaan oan 'e feiligens fan persoanlike gegevens.
Wat wy skriuwe oer op ús blogs en sosjale netwurken:
1wolkynfrastruktuer yn Moskou yn Dataspace. Dit is it earste Russyske datasintrum dat Tier lll-sertifikaasje trochgiet fan it Uptime Institute.
Boarne: www.habr.com