Il GDPR è stato creato per dare ai cittadini dell’UE un maggiore controllo sui propri dati personali. E in termini di numero di denunce, l'obiettivo è stato "raggiunto": nell'ultimo anno, gli europei hanno iniziato a segnalare più spesso violazioni da parte delle aziende, e le aziende stesse hanno ricevuto e ha iniziato a chiudere rapidamente le vulnerabilità per non ricevere una multa. Ma “all’improvviso” si è scoperto che il GDPR è più visibile ed efficace quando si tratta di eludere le sanzioni finanziarie o quando si tratta di rispettarle. Ma soprattutto, il regolamento aggiornato, concepito per porre fine alle fughe di dati personali, ne diventa la causa.
Ti diciamo cosa sta succedendo qui.
Фото - — Spruzza
Qual è il problema?
Secondo il GDPR, i cittadini dell'UE hanno il diritto di richiedere una copia dei propri dati personali archiviati sui server di un'azienda. Recentemente si è saputo che questo meccanismo può essere utilizzato per raccogliere il PD di un’altra persona. Uno dei partecipanti alla conferenza Black Hat , durante il quale ha ricevuto archivi con i dati personali della sua fidanzata da varie società. Ha inviato richieste pertinenti per suo conto a 150 organizzazioni. È interessante notare che il 24% delle aziende necessitava solo di un indirizzo e-mail e di un numero di telefono come prova d'identità: dopo averli ricevuti, restituivano un archivio con i file. Circa il 16% delle organizzazioni ha richiesto inoltre le fotografie del passaporto (o altro documento).
Di conseguenza, James è riuscito a ottenere i numeri di previdenza sociale e di carta di credito, la data di nascita, il nome da nubile e l'indirizzo di residenza della sua "vittima". Un servizio che ti consente di verificare se un indirizzo email è stato trapelato (un esempio di servizio sarebbe ), ha persino inviato un elenco dei dati di autenticazione utilizzati in precedenza. Queste informazioni possono portare all'hacking se l'utente non ha mai modificato le password o non le ha utilizzate altrove.
Esistono altri esempi in cui i dati sono finiti nelle mani sbagliate dopo essere stati inviati “erroneamente”. Quindi, tre mesi fa uno degli utenti Reddit informazioni personali su di te da Epic Games. Tuttavia, ha erroneamente inviato il suo PD a un altro giocatore. Una storia simile è accaduta l’anno scorso. Cliente Amazon Un archivio da 100 megabyte con richieste Internet ad Alexa e migliaia di file WAF di un altro utente.
Фото - — Spruzza
Gli esperti affermano che una delle ragioni principali per il verificarsi di tali situazioni è l’incompletezza del Regolamento generale sulla protezione dei dati. In particolare, il GDPR specifica il lasso di tempo entro il quale un’azienda deve rispondere alle richieste degli utenti (entro un mese) e prevede sanzioni pecuniarie – fino a 20 milioni di euro o al 4% del fatturato annuo – per il mancato rispetto di tale requisito. Tuttavia, non sono specificate le procedure effettive che dovrebbero aiutare le aziende a rispettare la legge (ad esempio, assicurarsi che i dati vengano inviati al proprietario). Pertanto, le organizzazioni devono costruire in modo indipendente (a volte attraverso tentativi ed errori) i propri processi di lavoro.
Come posso migliorare la situazione?
Una delle proposte più radicali è quella di abbandonare il GDPR o rifarlo radicalmente. C'è un'opinione secondo cui nella sua forma attuale la legge non funziona, poiché è molto ed eccessivamente severo e devi spendere molti soldi per soddisfare tutti i suoi requisiti.
Ad esempio, l'anno scorso gli sviluppatori del gioco Super Monday Night Combat sono stati costretti ad annullare il loro progetto. Secondo i suoi creatori, il budget necessario per riprogettare i sistemi per il GDPR , assegnato al gioco di sette anni.
"Le piccole e medie imprese spesso non dispongono delle risorse tecnologiche e umane per comprendere le esigenze delle autorità di regolamentazione e fare i preparativi necessari", commenta Sergey Belkin, capo del dipartimento di sviluppo del fornitore IaaS . “È qui che i grandi fornitori e i fornitori IaaS possono venire in soccorso, fornendo infrastrutture IT sicure a noleggio. Ad esempio, su 1cloud.ru posizioniamo le nostre apparecchiature in un data center, secondo lo standard Tier III e aiutare i clienti a rispettare i requisiti della Legge Federale Russa 152 “Sui dati personali”.
Фото - — Spruzza
C'è anche un punto di vista opposto, secondo cui il problema qui non è nella legge stessa, ma nel desiderio delle aziende di soddisfare i propri requisiti solo formalmente. Uno dei residenti di Hacker News : il motivo delle fughe di dati personali risiede nel fatto che le organizzazioni i meccanismi di verifica più semplici, dettati dal buon senso.
In un modo o nell'altro, l'Unione Europea non abbandonerà il GDPR nel prossimo futuro, quindi la situazione fatta luce durante la conferenza Black Hat dovrebbe servire da incentivo per le aziende a prestare maggiore attenzione alla sicurezza dei dati personali.
Di cosa scriviamo sui nostri blog e social network:
1infrastruttura cloud a Mosca nello spazio dati. Questo è il primo data center russo a superare la certificazione Tier lll dell'Uptime Institute.
Fonte: habr.com