GDPR diciptakan untuk memberi warga negara UE kontrol lebih besar atas data pribadi mereka. Dan dalam hal jumlah pengaduan, tujuannya “tercapai”: selama setahun terakhir, masyarakat Eropa mulai lebih sering melaporkan pelanggaran yang dilakukan oleh perusahaan, dan perusahaan itu sendiri menerima dan mulai segera menutup kerentanan agar tidak menerima denda. Namun “tiba-tiba” ternyata GDPR paling terlihat dan efektif dalam hal menghindari sanksi keuangan atau kebutuhan untuk mematuhinya. Dan terlebih lagi – dirancang untuk mengakhiri kebocoran data pribadi, peraturan yang diperbarui menjadi penyebabnya.
Mari beri tahu Anda apa yang terjadi di sini.
Фото - — Hapus percikan
Apa masalahnya
Berdasarkan GDPR, warga negara UE berhak meminta salinan data pribadi mereka yang disimpan di server perusahaan. Baru-baru ini diketahui bahwa mekanisme tersebut dapat digunakan untuk mengumpulkan PD orang lain. Salah satu peserta konferensi Black Hat , di mana ia menerima arsip dengan data pribadi tunangannya dari berbagai perusahaan. Dia mengirimkan permintaan yang relevan atas namanya ke 150 organisasi. Menariknya, 24% perusahaan hanya memerlukan alamat email dan nomor telepon sebagai bukti identitas - setelah menerimanya, mereka mengembalikan arsip beserta file. Sekitar 16% organisasi juga meminta foto paspor (atau dokumen lainnya).
Hasilnya, James bisa mendapatkan nomor Jaminan Sosial dan kartu kredit, tanggal lahir, nama gadis dan alamat tempat tinggal “korbannya”. Salah satu layanan yang memungkinkan Anda memeriksa apakah suatu alamat email telah bocor (contoh layanannya adalah ), bahkan mengirimkan daftar data otentikasi yang digunakan sebelumnya. Informasi ini dapat menyebabkan peretasan jika pengguna tidak pernah mengubah kata sandi atau menggunakannya di tempat lain.
Ada contoh lain di mana data berakhir di tangan yang salah setelah dikirim secara “salah”. Jadi, tiga bulan lalu salah satu pengguna Reddit informasi pribadi tentang diri Anda dari Epic Games. Namun, dia keliru mengirimkan PD-nya ke pemain lain. Kisah serupa terjadi tahun lalu. Klien Amazon Arsip 100 megabyte dengan permintaan Internet ke Alexa dan ribuan file WAF dari pengguna lain.
Фото - — Hapus percikan
Para ahli mengatakan salah satu alasan utama terjadinya situasi seperti itu adalah ketidaklengkapan Peraturan Umum Perlindungan Data. Secara khusus, GDPR menetapkan jangka waktu di mana perusahaan harus menanggapi permintaan pengguna (dalam waktu satu bulan) dan menentukan denda—hingga 20 juta euro atau 4% dari pendapatan tahunan—jika gagal mematuhi persyaratan ini. Namun, prosedur sebenarnya yang seharusnya membantu perusahaan mematuhi hukum (misalnya, memastikan data dikirim ke pemiliknya) tidak disebutkan di dalamnya. Oleh karena itu, organisasi harus secara mandiri (terkadang melalui trial and error) membangun proses kerjanya.
Bagaimana cara memperbaiki situasi?
Salah satu usulan paling radikal adalah meninggalkan GDPR atau mengubahnya secara radikal. Ada pendapat bahwa dalam bentuknya yang sekarang, undang-undang tersebut tidak berfungsi, karena memang demikian adanya dan terlalu ketat, dan Anda harus mengeluarkan banyak uang untuk memenuhi semua persyaratannya.
Misalnya, tahun lalu pengembang game Super Monday Night Combat terpaksa membatalkan proyeknya. Menurut pembuatnya, anggaran diperlukan untuk mendesain ulang sistem GDPR , dialokasikan untuk game berusia tujuh tahun.
“Usaha kecil dan menengah sering kali tidak memiliki teknologi dan sumber daya manusia untuk memahami persyaratan regulator dan melakukan persiapan yang diperlukan,” komentar Sergey Belkin, kepala departemen pengembangan penyedia IaaS. . “Di sinilah vendor besar dan penyedia IaaS dapat membantu dengan menyediakan infrastruktur TI yang aman untuk disewakan. Misalnya, di 1cloud.ru kami menempatkan peralatan kami di pusat data, sesuai dengan standar Tingkat III dan membantu klien mematuhi persyaratan Undang-undang Federal Rusia-152 “Tentang Data Pribadi”.
Фото - — Hapus percikan
Ada juga pandangan sebaliknya, bahwa permasalahan di sini bukan pada undang-undang itu sendiri, melainkan keinginan perusahaan untuk memenuhi persyaratannya hanya secara formal. Salah satu penghuni Hacker News : alasan kebocoran data pribadi terletak pada kenyataan bahwa organisasi mekanisme verifikasi paling sederhana, yang ditentukan oleh akal sehat.
Dengan satu atau lain cara, Uni Eropa tidak akan meninggalkan GDPR dalam waktu dekat, sehingga situasi yang dijelaskan selama konferensi Black Hat harus menjadi insentif bagi perusahaan untuk lebih memperhatikan keamanan data pribadi.
Apa yang kami tulis di blog dan jejaring sosial kami:
Infrastruktur 1cloud di Moskow di Ruang Data. Ini adalah pusat data Rusia pertama yang lulus sertifikasi Tier III dari Uptime Institute.
Sumber: www.habr.com