O GDPR creouse para dar aos cidadáns da UE máis control sobre os seus datos persoais. E en canto ao número de denuncias, o obxectivo foi "conseguido": durante o ano pasado, os europeos comezaron a denunciar con máis frecuencia as violacións por parte das empresas e as propias empresas recibiron e comezou a pechar rapidamente vulnerabilidades para non recibir unha multa. Pero "de súpeto" resultou que o GDPR é máis visible e eficaz cando se trata de eludir sancións financeiras ou de cumprir coa mesma necesidade. E aínda máis: deseñado para poñer fin ás filtracións de datos persoais, a normativa actualizada convértese na súa causa.
Contámosche o que está pasando aquí.
Фото - - Desarrollar
Cal é o problema
Segundo o GDPR, os cidadáns da UE teñen dereito a solicitar unha copia dos seus datos persoais almacenados nos servidores dunha empresa. Recentemente soubo que este mecanismo pode ser usado para recoller a DP doutra persoa. Un dos participantes na conferencia Black Hat , durante o cal recibiu arquivos con datos persoais da súa prometida de diversas empresas. Enviou solicitudes relevantes no seu nome a 150 organizacións. Curiosamente, o 24% das empresas só necesitaba un enderezo de correo electrónico e un número de teléfono como proba de identidade; despois de recibilos, devolveron un arquivo con ficheiros. Cerca do 16% das organizacións solicitaron ademais fotografías dun pasaporte (ou doutro documento).
Como resultado, James puido obter os números da Seguridade Social e da tarxeta de crédito, a data de nacemento, o nome de solteira e o enderezo residencial da súa "vítima". Un servizo que che permite comprobar se se filtrou un enderezo de correo electrónico (un exemplo de servizo sería ), incluso enviou unha lista de datos de autenticación usados anteriormente. Esta información pode levar a piratería se o usuario nunca cambiou os contrasinais nin os usou noutro lugar.
Hai outros exemplos nos que os datos acabaron en mans equivocadas despois de ser enviados "erróneamente". Entón, hai tres meses un dos usuarios de Reddit información persoal sobre ti de Epic Games. Non obstante, ela enviou por erro o seu PD a outro xogador. Unha historia semellante ocorreu o ano pasado. Cliente Amazon Un arquivo de 100 megabytes con solicitudes de Internet a Alexa e miles de ficheiros WAF doutro usuario.
Фото - - Desarrollar
Os expertos din que unha das principais razóns para que se produzan tales situacións é a incompletitude do Regulamento Xeral de Protección de Datos. En particular, o GDPR especifica o prazo no que unha empresa debe responder ás solicitudes dos usuarios (no prazo dun mes) e especifica multas -ata 20 millóns de euros ou 4% dos ingresos anuais- por incumprir este requisito. Non obstante, non se especifican os procedementos reais que deberían axudar ás empresas a cumprir a lei (por exemplo, asegurarse de que os datos se envían ao seu propietario). Polo tanto, as organizacións teñen que construír de forma independente (ás veces por proba e erro) os seus procesos de traballo.
Como podo mellorar a situación?
Unha das propostas máis radicais é abandonar o GDPR ou refacelo radicalmente. Hai unha opinión de que na súa forma actual a lei non funciona, xa que é moi e demasiado estrito, e tes que gastar moito diñeiro para cumprir todos os seus requisitos.
Por exemplo, o ano pasado os desenvolvedores do xogo Super Monday Night Combat víronse obrigados a cancelar o seu proxecto. Segundo os seus creadores, o orzamento necesario para redeseñar os sistemas para o GDPR , destinado ao xogo dos sete anos.
"As pequenas e medianas empresas a miúdo non teñen os recursos tecnolóxicos e humanos para comprender os requisitos dos reguladores e facer os preparativos necesarios", comenta Sergey Belkin, xefe do departamento de desenvolvemento do provedor IaaS. . "Aquí é onde os grandes provedores e provedores de IaaS poden acudir ao rescate, proporcionando unha infraestrutura de TI segura para alugar. Por exemplo, en 1cloud.ru colocamos o noso equipo nun centro de datos, segundo o estándar Tier III e axudar aos clientes a cumprir cos requisitos da Lei federal rusa-152 "Sobre datos persoais".
Фото - - Desarrollar
Tamén hai un punto de vista oposto, que o problema aquí non está na propia lei, senón no desexo das empresas de cumprir os seus requisitos só formalmente. Un dos residentes de Hacker News : o motivo das fugas de datos persoais reside no feito de que as organizacións os mecanismos de verificación máis sinxelos, que son ditados polo sentido común.
Dun xeito ou doutro, a Unión Europea non vai abandonar o GDPR nun futuro próximo, polo que a situación que se arroxou luz durante a conferencia Black Hat debería servir de estímulo para que as empresas presten máis atención á seguridade dos datos persoais.
Sobre o que escribimos nos nosos blogs e redes sociais:
1 infraestrutura de nube en Moscova en Dataspace. Este é o primeiro centro de datos ruso en aprobar a certificación Tier lll do Uptime Institute.
Fonte: www.habr.com