GDPR-ը ստեղծվել է ԵՄ քաղաքացիներին իրենց անձնական տվյալների նկատմամբ ավելի մեծ վերահսկողություն տալու համար: Իսկ բողոքների քանակի առումով նպատակը «հասավ». և սկսեց արագ փակել խոցելի տեղերը՝ տուգանք չստանալու համար։ Բայց «հանկարծ» պարզվեց, որ GDPR-ն առավել տեսանելի և արդյունավետ է, երբ խոսքը վերաբերում է կա՛մ ֆինանսական պատժամիջոցներից խուսափելու, կա՛մ դրան համապատասխանելու անհրաժեշտության: Եվ նույնիսկ ավելին, որը նախատեսված է վերջ դնելու անձնական տվյալների արտահոսքին, նորացված կանոնակարգը դառնում է դրանց պատճառը:
Եկեք պատմենք, թե ինչ է կատարվում այստեղ:
Լուսանկարը - - Անջատեք
Ինչումն է խնդիրը
GDPR-ի համաձայն՝ ԵՄ քաղաքացիներն իրավունք ունեն պահանջել ընկերության սերվերներում պահվող իրենց անձնական տվյալների պատճենը: Վերջերս հայտնի դարձավ, որ այս մեխանիզմը կարող է օգտագործվել մեկ այլ անձի PD հավաքելու համար: Black Hat կոնֆերանսի մասնակիցներից մեկը , որի ընթացքում տարբեր ընկերություններից ստացել է իր հարսնացուի անձնական տվյալներով արխիվները։ Նա նրա անունից համապատասխան հարցումներ է ուղարկել 150 կազմակերպությունների։ Հետաքրքիր է, որ ընկերությունների 24%-ին անհրաժեշտ է եղել միայն էլեկտրոնային փոստի հասցե և հեռախոսահամար՝ որպես ինքնության ապացույց. դրանք ստանալուց հետո նրանք վերադարձրել են ֆայլերով արխիվ: Կազմակերպությունների մոտ 16%-ը լրացուցիչ պահանջել է անձնագրի (կամ այլ փաստաթղթի) լուսանկարներ:
Արդյունքում Ջեյմսը կարողացավ ստանալ իր «զոհի» սոցիալական ապահովության և վարկային քարտի համարները, ծննդյան ամսաթիվը, օրիորդական ազգանունը և բնակության հասցեն։ Ծառայություններից մեկը, որը թույլ է տալիս ստուգել, թե արդյոք էլփոստի հասցեն բաց է թողնվել (ծառայության օրինակ կարող է լինել ), նույնիսկ ուղարկել է նախկինում օգտագործված նույնականացման տվյալների ցանկը: Այս տեղեկատվությունը կարող է հանգեցնել հակերության, եթե օգտատերը երբեք չի փոխել գաղտնաբառերը կամ օգտագործել դրանք այլ տեղ:
Կան այլ օրինակներ, երբ տվյալները «սխալ» ուղարկելուց հետո հայտնվել են սխալ ձեռքերում: Այսպիսով, երեք ամիս առաջ Reddit-ի օգտատերերից մեկը Ձեր մասին անձնական տեղեկություններ Epic Games-ից: Այնուամենայնիվ, նա սխալմամբ իր PD-ն ուղարկեց մեկ այլ խաղացողի: Անցյալ տարի նման դեպք տեղի ունեցավ. Amazon հաճախորդ 100 մեգաբայթանոց արխիվ՝ Alexa-ին ուղղված ինտերնետ հարցումներով և մեկ այլ օգտատիրոջ հազարավոր WAF ֆայլերով:
Լուսանկարը - - Անջատեք
Փորձագետները նշում են, որ նման իրավիճակների առաջացման հիմնական պատճառներից մեկը տվյալների պաշտպանության ընդհանուր կանոնակարգի թերի լինելն է։ Մասնավորապես, GDPR-ը սահմանում է ժամկետը, որի ընթացքում ընկերությունը պետք է պատասխանի օգտատերերի հարցումներին (մեկ ամսվա ընթացքում) և սահմանում է տուգանքներ՝ մինչև 20 միլիոն եվրո կամ տարեկան եկամտի 4%-ը՝ այս պահանջը չկատարելու համար: Այնուամենայնիվ, փաստացի ընթացակարգերը, որոնք պետք է օգնեն ընկերություններին համապատասխանել օրենքին (օրինակ, համոզվել, որ տվյալները ուղարկվում են իրենց սեփականատիրոջը), դրանում նշված չեն: Հետևաբար, կազմակերպությունները պետք է ինքնուրույն (երբեմն փորձության և սխալի միջոցով) կառուցեն իրենց աշխատանքային գործընթացները:
Ինչպե՞ս կարող եմ բարելավել իրավիճակը:
Ամենաարմատական առաջարկներից մեկը GDPR-ից հրաժարվելն է կամ այն արմատապես վերափոխելն է: Կարծիք կա, որ ներկայիս տեսքով օրենքը չի գործում, քանի որ շատ է և չափազանց խիստ, և դրա բոլոր պահանջները բավարարելու համար պետք է մեծ գումարներ ծախսել:
Օրինակ՝ անցյալ տարի Super Monday Night Combat խաղի մշակողները ստիպված էին չեղարկել իրենց նախագիծը։ Ըստ դրա ստեղծողների, բյուջեն անհրաժեշտ է GDPR-ի համար համակարգերի վերանախագծման համար , հատկացված յոթնամյա խաղին։
«Փոքր և միջին բիզնեսներն իսկապես հաճախ չունեն տեխնոլոգիական և մարդկային ռեսուրսներ՝ հասկանալու կարգավորիչների պահանջները և անհրաժեշտ նախապատրաստությունները կատարելու համար», - մեկնաբանում է IaaS մատակարարի զարգացման բաժնի ղեկավար Սերգեյ Բելկինը։ . «Սա այն վայրում է, որտեղ խոշոր վաճառողներն ու IaaS պրովայդերները կարող են օգնության հասնել՝ վարձով ապահովելով ապահով ՏՏ ենթակառուցվածք: Օրինակ, 1cloud.ru-ում մենք տեղադրում ենք մեր սարքավորումները տվյալների կենտրոնում, Համաձայն Tier III ստանդարտի և օգնել հաճախորդներին կատարել «Անձնական տվյալների մասին» Ռուսաստանի Դաշնային օրենքի 152-ի պահանջները:
Լուսանկարը - - Անջատեք
Կա նաև հակառակ տեսակետը, որ խնդիրն այստեղ ոչ թե բուն օրենքի, այլ ընկերությունների կողմից դրա պահանջները միայն ձևականորեն կատարելու ցանկության մեջ է։ Hacker News-ի բնակիչներից մեկը Անձնական տվյալների արտահոսքի պատճառը կայանում է նրանում, որ կազմակերպությունները ստուգման ամենապարզ մեխանիզմները, որոնք թելադրված են ողջախոհությամբ։
Այսպես թե այնպես, Եվրամիությունը չի պատրաստվում մոտ ապագայում հրաժարվել GDPR-ից, ուստի այն իրավիճակը, որը լույս սփռվեց Black Hat կոնֆերանսի ժամանակ, պետք է խթան հանդիսանա ընկերությունների համար՝ ավելի մեծ ուշադրություն դարձնելու անձնական տվյալների անվտանգությանը։
Ինչի մասին ենք գրում մեր բլոգներում և սոցիալական ցանցերում.
1ամպային ենթակառուցվածք Մոսկվայում Dataspace-ում: Սա առաջին ռուսական տվյալների կենտրոնն է, որն անցել է Tier llll սերտիֆիկացում Uptime Institute-ից:
Source: www.habr.com