GDPR var stofnað til að veita borgurum ESB meiri stjórn á persónuupplýsingum sínum. Og hvað varðar fjölda kvartana var markmiðinu „nákvæmt“: á síðasta ári fóru Evrópubúar að tilkynna brot fyrirtækja oftar og fyrirtækin sjálf fengu og byrjaði fljótt að loka veikleikum til að fá ekki sekt. En „skyndilega“ kom í ljós að GDPR er sýnilegast og áhrifaríkast þegar kemur að annaðhvort að komast hjá fjárhagslegum refsiaðgerðum eða þörfina á að fara eftir henni. Og jafnvel meira - hönnuð til að binda enda á leka persónuupplýsinga, uppfærða reglugerðin verður orsök þeirra.
Við skulum segja þér hvað er að gerast hér.
Ljósmynd - — Unsplash
Hvað er vandamálið
Samkvæmt GDPR hafa borgarar ESB rétt á að biðja um afrit af persónuupplýsingum sínum sem eru geymdar á netþjónum fyrirtækis. Nýlega varð vitað að þetta kerfi er hægt að nota til að safna PD annars einstaklings. Einn af þátttakendum Black Hat ráðstefnunnar , þar sem hann fékk skjalasafn með persónuupplýsingum um unnustu sína frá ýmsum fyrirtækjum. Hann sendi viðeigandi beiðnir fyrir hennar hönd til 150 stofnana. Athyglisvert er að 24% fyrirtækja þurftu aðeins netfang og símanúmer sem sönnun um auðkenni - eftir að þau fengu þau skiluðu þau skjalasafni með skrám. Um 16% stofnana óskuðu að auki eftir ljósmyndum af vegabréfi (eða öðru skjali).
Fyrir vikið gat James fengið almannatryggingar- og kreditkortanúmer, fæðingardag, meyjanafn og heimilisfang „fórnarlambs“ síns. Ein þjónusta sem gerir þér kleift að athuga hvort netfangi hafi verið lekið (dæmi um þjónustu væri ), sendi jafnvel lista yfir áður notuð auðkenningargögn. Þessar upplýsingar geta leitt til innbrots ef notandinn breytti aldrei lykilorðunum eða notaði þau annars staðar.
Það eru önnur dæmi þar sem gögn lentu í röngum höndum eftir að hafa verið send „ranglega“. Svo, fyrir þremur mánuðum, einn af Reddit notendum persónulegar upplýsingar um sjálfan þig frá Epic Games. Hins vegar sendi hún fyrir mistök PD hans til annars leikmanns. Svipuð saga gerðist í fyrra. Amazon viðskiptavinur 100 megabæta skjalasafn með internetbeiðnum til Alexa og þúsundir WAF skráa annars notanda.
Ljósmynd - — Unsplash
Sérfræðingar segja að ein af meginástæðunum fyrir því að slíkar aðstæður komi upp sé ófullkomin almennu persónuverndarreglugerðin. Sérstaklega tilgreinir GDPR þann tímaramma sem fyrirtæki verður að bregðast við beiðnum notenda (innan mánaðar) og tilgreinir sektir — allt að 20 milljónir evra eða 4% af árstekjum — fyrir að hafa ekki uppfyllt þessa kröfu. Hins vegar eru raunverulegar verklagsreglur sem ættu að hjálpa fyrirtækjum að fara að lögum (td að ganga úr skugga um að gögn séu send til eiganda þess) ekki tilgreind í henni. Þess vegna verða stofnanir að byggja upp vinnuferla sína sjálfstætt (stundum með tilraunum og mistökum).
Hvernig get ég bætt ástandið?
Ein róttækasta tillagan er að hætta við GDPR eða endurgera hana á róttækan hátt. Það er skoðun að í núverandi mynd virki lögin ekki, þar sem þau eru mjög og of strangt, og þú þarft að eyða miklum peningum til að uppfylla allar kröfur þess.
Til dæmis, á síðasta ári neyddust hönnuðir leiksins Super Monday Night Combat til að hætta við verkefnið sitt. Samkvæmt höfundum þess, fjárhagsáætlun sem þarf til að endurhanna kerfi fyrir GDPR , úthlutað í sjö ára leik.
„Lítil og meðalstór fyrirtæki hafa í raun oft ekki tækni- og mannauð til að skilja kröfur eftirlitsaðila og gera nauðsynlegan undirbúning,“ segir Sergey Belkin, yfirmaður þróunardeildar IaaS þjónustuveitunnar. . „Þetta er þar sem stórir söluaðilar og IaaS veitendur geta komið til bjargar, útvegað örugga upplýsingatækniinnviði til leigu. Til dæmis, á 1cloud.ru setjum við búnaðinn okkar í gagnaver, samkvæmt Tier III staðlinum og hjálpa viðskiptavinum að uppfylla kröfur rússneskra alríkislaga-152 „um persónuupplýsingar“.
Ljósmynd - — Unsplash
Það er líka þveröfugt sjónarmið, að vandamálið hér sé ekki í lögunum sjálfum, heldur vilji fyrirtækja til að uppfylla skilyrði þeirra aðeins formlega. Einn af íbúum Hacker News : ástæðan fyrir leka persónuupplýsinga liggur í því að stofnanir einföldustu sannprófunaraðferðirnar, sem ráðast af heilbrigðri skynsemi.
Með einum eða öðrum hætti ætlar Evrópusambandið ekki að yfirgefa GDPR á næstunni, þannig að ástandið sem var varpað ljósi á Black Hat ráðstefnuna ætti að vera hvatning fyrir fyrirtæki til að huga betur að öryggi persónuupplýsinga.
Það sem við skrifum um á bloggum okkar og samfélagsnetum:
1skýjauppbygging í Moskvu í Dataspace. Þetta er fyrsta rússneska gagnaverið til að standast Tier lll vottun frá Uptime Institute.
Heimild: www.habr.com