GDPR je stvoren kako bi građanima EU omogućio veću kontrolu nad svojim osobnim podacima. I što se tiče broja pritužbi, cilj je "postignut": tijekom prošle godine Europljani su počeli češće prijavljivati kršenja od strane tvrtki, a same tvrtke dobivale su mnogi propisi i počeo brzo zatvarati ranjivosti kako ne bi dobio kaznu. No, “odjednom” se pokazalo da je GDPR najvidljiviji i najučinkovitiji kada je u pitanju bilo izbjegavanje financijskih sankcija ili sama potreba da se s njime pridržavate. I još više - osmišljena da stane na kraj curenju osobnih podataka, ažurirana uredba postaje njihov uzrok.
Prema GDPR-u građani EU-a imaju pravo zatražiti kopiju svojih osobnih podataka pohranjenih na poslužiteljima tvrtke. Nedavno je postalo poznato da se ovaj mehanizam može koristiti za prikupljanje PD druge osobe. Jedan od sudionika Black Hat konferencije proveo eksperiment, tijekom kojeg je od raznih tvrtki dobio arhive s osobnim podacima svoje zaručnice. On je u njezino ime poslao odgovarajuće zahtjeve u 150 organizacija. Zanimljivo je da je 24% tvrtki trebalo samo e-mail adresu i telefonski broj kao dokaz identiteta – nakon što su ih primili, vratili su arhivu s datotekama. Oko 16% organizacija dodatno je zatražilo fotografije putovnice (ili drugog dokumenta).
Kao rezultat toga, James je uspio dobiti brojeve socijalnog osiguranja i kreditne kartice, datum rođenja, djevojačko prezime i adresu stanovanja svoje "žrtve". Jedna usluga koja vam omogućuje da provjerite je li adresa e-pošte procurila (primjer usluge bi bio Jesam li pljačkan?), čak je poslao popis prethodno korištenih podataka za provjeru autentičnosti. Ove informacije mogu dovesti do hakiranja ako korisnik nikada nije promijenio zaporke ili ih koristio negdje drugdje.
Postoje i drugi primjeri gdje su podaci završili u krivim rukama nakon što su "pogreškom" poslani. Dakle, prije tri mjeseca jedan od korisnika Reddita pitao osobne podatke o sebi iz Epic Gamesa. Međutim, greškom je poslala njegov PD drugom igraču. Slična se priča dogodila i prošle godine. Amazon klijent Slučajno sam ga dobila Arhiva od 100 megabajta s internetskim zahtjevima za Alexa i tisućama WAF datoteka drugog korisnika.
Stručnjaci navode da je jedan od glavnih razloga za pojavu ovakvih situacija nedorečenost Opće uredbe o zaštiti podataka. Konkretno, GDPR određuje vremenski okvir unutar kojeg tvrtka mora odgovoriti na zahtjeve korisnika (u roku od mjesec dana) i određuje novčane kazne – do 20 milijuna eura ili 4% godišnjeg prihoda – za nepoštivanje ovog zahtjeva. No, stvarni postupci koji bi tvrtkama trebali pomoći u usklađivanju sa zakonom (primjerice, osiguravanje slanja podataka vlasniku) u njemu nisu navedeni. Stoga organizacije moraju samostalno (ponekad putem pokušaja i pogrešaka) graditi svoje radne procese.
Kako mogu poboljšati situaciju?
Jedan od najradikalnijih prijedloga je napuštanje GDPR-a ili njegovo radikalno preinačenje. Postoji mišljenje da u sadašnjem obliku zakon ne funkcionira, jer je vrlo kompleks i pretjerano strog, i morate potrošiti mnogo novca da ispunite sve njegove zahtjeve.
Na primjer, prošle godine programeri igre Super Monday Night Combat bili su prisiljeni otkazati svoj projekt. Prema njegovim tvorcima, proračun je potreban za redizajn sustava za GDPR premašen budžet, dodijeljen igri staroj sedam godina.
“Mala i srednja poduzeća zaista često nemaju tehnološke i ljudske resurse da razumiju zahtjeve regulatora i obave potrebne pripreme”, komentira Sergey Belkin, voditelj razvojnog odjela pružatelja IaaS usluga. 1cloud.ru. “Ovdje veliki dobavljači i IaaS pružatelji mogu priskočiti u pomoć, pružajući sigurnu IT infrastrukturu za iznajmljivanje. Na primjer, na 1cloud.ru svoju opremu postavljamo u podatkovni centar, ovjereni prema standardu Tier III i pomoći klijentima u ispunjavanju zahtjeva ruskog saveznog zakona-152 “O osobnim podacima”.
Postoji i suprotno stajalište, da ovdje nije problem u samom zakonu, već u želji tvrtki da samo formalno ispune njegove zahtjeve. Jedan od stanovnika Hacker Newsa istaknuo: razlog curenja osobnih podataka leži u činjenici da organizacije ne provoditi najjednostavniji mehanizmi provjere, koje nalaže zdrav razum.
Ovako ili onako, Europska unija neće odustati od GDPR-a u skoroj budućnosti, pa bi situacija rasvijetljena tijekom Black Hat konferencije trebala poslužiti kao poticaj tvrtkama da posvete više pažnje sigurnosti osobnih podataka.
O čemu pišemo na našim blogovima i društvenim mrežama: