A GDPR azért jött létre, hogy az uniós polgárok nagyobb ellenőrzést biztosítsanak személyes adataik felett. A panaszok számát tekintve pedig a cél „teljesült”: az elmúlt évben az európaiak egyre gyakrabban jelentettek be a cégek jogsértéseit, és maguk a cégek is megkapták és elkezdte gyorsan bezárni a sebezhetőségeket, hogy ne kapjon bírságot. De „hirtelen” kiderült, hogy a GDPR akkor a leglátványosabb és leghatékonyabb, amikor akár a pénzügyi szankciók kijátszásáról van szó, akár a betartásának szükségességéről. És még ennél is több – a személyes adatok kiszivárogtatásának véget vetve, a frissített rendelet válik az okaivá.
Elmondjuk, mi folyik itt.
Фото - — Fröcskölés
Mi a probléma
A GDPR értelmében az uniós polgároknak joguk van másolatot kérni a cég szerverein tárolt személyes adataikról. A közelmúltban vált ismertté, hogy ez a mechanizmus felhasználható egy másik személy PD-jének begyűjtésére. A Black Hat konferencia egyik résztvevője , melynek során különböző cégektől archívumokat kapott menyasszonya személyes adataival. 150 szervezetnek küldött erre vonatkozó kérelmet a nevében. Érdekes módon a cégek 24%-ának csak egy e-mail címre és egy telefonszámra volt szüksége személyazonosság igazolására – miután megkapta, visszaküldték az archívumot fájlokkal. A szervezetek körülbelül 16%-a kért továbbá fényképet az útlevélről (vagy más dokumentumról).
Ennek eredményeként James megszerezhette „áldozata” társadalombiztosítási és hitelkártyaszámát, születési dátumát, leánykori nevét és lakcímét. Az egyik szolgáltatás, amely lehetővé teszi annak ellenőrzését, hogy egy e-mail-cím kiszivárgott-e (például ilyen szolgáltatás lenne ), még a korábban használt hitelesítési adatok listáját is elküldte. Ez az információ feltöréshez vezethet, ha a felhasználó soha nem változtatta meg a jelszavait, vagy nem használta őket valahol máshol.
Vannak más példák is, amikor az adatok rossz kezekbe kerültek „tévesen” elküldve. Tehát három hónappal ezelőtt az egyik Reddit felhasználó személyes adatokat magadról az Epic Gamestől. Azonban tévedésből elküldte a PD-jét egy másik játékosnak. Hasonló történet történt tavaly is. Amazon kliens 100 megabájtos archívum Alexának küldött internetes kérésekkel és egy másik felhasználó több ezer WAF-fájljával.
Фото - — Fröcskölés
Szakértők szerint az ilyen helyzetek előfordulásának egyik fő oka az általános adatvédelmi rendelet hiányossága. A GDPR meghatározza azt az időkeretet, amelyen belül a vállalatnak válaszolnia kell a felhasználói kérésekre (egy hónapon belül), és 20 millió euróig vagy az éves bevétel 4%-áig terjedő pénzbírságot határoz meg e követelmény be nem tartása esetén. A tényleges eljárásokat azonban, amelyek a vállalkozásokat a jogszabályok betartásában kellene segíteniük (például annak biztosítása, hogy az adatokat elküldjék a tulajdonosnak), nincsenek benne meghatározva. Ezért a szervezeteknek önállóan (néha próba és hiba útján) kell felépíteniük munkafolyamataikat.
Hogyan javíthatok a helyzeten?
Az egyik legradikálisabb javaslat a GDPR feladása vagy radikális újraalkotása. Van olyan vélemény, hogy jelenlegi formájában nem működik a törvény, hiszen nagyon és túl szigorú, és sok pénzt kell költenie, hogy megfeleljen minden követelményének.
Például tavaly a Super Monday Night Combat játék fejlesztői kénytelenek voltak lemondani projektjüket. Az alkotók szerint a GDPR-rendszerek újratervezéséhez szükséges költségvetés , amelyet a hét éves játékra osztottak ki.
„A kis- és középvállalkozások valóban gyakran nem rendelkeznek a technológiai és emberi erőforrásokkal ahhoz, hogy megértsék a szabályozók követelményeit és megtegyék a szükséges előkészületeket” – kommentálja Sergey Belkin, az IaaS szolgáltató fejlesztési osztályának vezetője. . „Itt jöhetnek a nagy gyártók és az IaaS szolgáltatók a segítségükre, akik biztonságos IT infrastruktúrát biztosítanak bérbeadásra. Például az 1cloud.ru webhelyen a berendezéseinket egy adatközpontban helyezzük el, a Tier III szabványnak megfelelően, és segítse az ügyfeleket a „Személyes adatokról” szóló 152-es orosz szövetségi törvény követelményeinek betartásában.
Фото - — Fröcskölés
Ezzel ellentétes álláspont is van, miszerint itt nem magában a törvényben van a probléma, hanem abban, hogy a cégek csak formálisan teljesítsék a követelményeket. A Hacker News egyik lakója : a személyes adatok kiszivárgásának oka abban rejlik, hogy a szervezetek a legegyszerűbb ellenőrzési mechanizmusok, amelyeket a józan ész diktál.
Így vagy úgy, de az Európai Unió a közeljövőben nem fog felhagyni a GDPR-val, így a Black Hat konferencián napvilágot látott helyzet arra kell, hogy ösztönözze a cégeket, hogy nagyobb figyelmet fordítsanak a személyes adatok biztonságára.
Amiről blogjainkon és közösségi oldalainkon írunk:
1 felhő infrastruktúra Moszkvában az Adattérben. Ez az első orosz adatközpont, amely átment az Uptime Institute Tier lll tanúsítványán.
Forrás: will.com