GDPR ЕО азаматтарына жеке деректерін көбірек бақылауға мүмкіндік беру үшін жасалған. Шағымдар саны бойынша мақсат «қол жеткізілді»: өткен жылы еуропалықтар компаниялар тарапынан бұзушылықтар туралы жиі хабарлай бастады, ал компаниялардың өздері де алды. және айыппұл алмас үшін осалдықтарды тез жаба бастады. Бірақ «кенеттен» GDPR қаржылық санкциялардан жалтару немесе оны сақтау қажеттілігіне қатысты ең айқын және тиімді болып шықты. Және одан да көп - жеке деректердің ағып кетуін тоқтатуға арналған, жаңартылған ереже олардың себебі болады.
Мұнда не болып жатқанын айтайық.
Фото - - Шығу
Мәселе неде
GDPR бойынша ЕО азаматтары компания серверлерінде сақталған жеке деректерінің көшірмесін сұрауға құқылы. Жақында бұл механизмді басқа адамның ПД жинау үшін пайдалануға болатыны белгілі болды. Қара қалпақ конференциясына қатысушылардың бірі , оның барысында ол әртүрлі компаниялардан қалыңдығының жеке деректері бар мұрағаттарды алды. Оның атынан 150 ұйымға тиісті сұраныстар жолдады. Бір қызығы, компаниялардың 24% -ына жеке куәлік ретінде тек электрондық пошта мекенжайы мен телефон нөмірі қажет болды - оларды алғаннан кейін олар файлдары бар мұрағатты қайтарды. Ұйымдардың шамамен 16%-ы төлқұжаттың (немесе басқа құжаттың) фотосуреттерін қосымша сұраған.
Нәтижесінде Джеймс «жәбірленушінің» әлеуметтік қамсыздандыру және несие картасының нөмірлерін, туған күнін, қыз атын және тұратын мекенжайын ала алды. Электрондық пошта мекенжайының ағып кеткенін тексеруге мүмкіндік беретін бір қызмет (қызметтің мысалы ), тіпті бұрын пайдаланылған аутентификация деректерінің тізімін жіберді. Пайдаланушы құпия сөздерді ешқашан өзгертпесе немесе оларды басқа жерде пайдаланбаса, бұл ақпарат бұзуға әкелуі мүмкін.
«Қате» жіберілгеннен кейін деректер дұрыс емес қолдарға түскен басқа мысалдар бар. Сонымен, үш ай бұрын Reddit пайдаланушыларының бірі Epic Games-тен өзіңіз туралы жеке ақпарат. Алайда, ол қателесіп PD басқа ойыншыға жіберді. Өткен жылы да осындай оқиға болған. Amazon клиенті Alexa-ға Интернет сұраулары және басқа пайдаланушының мыңдаған WAF файлдары бар 100 мегабайттық мұрағат.
Фото - - Шығу
Мамандар мұндай жағдайлардың орын алуының басты себептерінің бірі деректерді қорғау жөніндегі жалпы ереженің толық жасалмауы дейді. Атап айтқанда, GDPR компания пайдаланушылардың сұрауларына (бір ай ішінде) жауап беруі керек уақыт шеңберін көрсетеді және осы талапты орындамағаны үшін 20 миллион еуроға дейін немесе жылдық кірістің 4% мөлшерінде айыппұлдарды белгілейді. Дегенмен, компанияларға заңды сақтауға көмектесетін нақты процедуралар (мысалы, деректердің иесіне жіберілуіне көз жеткізу) онда көрсетілмеген. Сондықтан ұйымдар өз жұмыс процестерін дербес (кейде сынақ және қателер арқылы) құруы керек.
Жағдайды қалай жақсартуға болады?
Ең радикалды ұсыныстардың бірі - GDPR-дан бас тарту немесе оны түбегейлі өзгерту. Қазіргі түрінде заң жұмыс істемейді деген пікір бар, өйткені ол өте және тым қатал, және оның барлық талаптарын қанағаттандыру үшін көп ақша жұмсауға тура келеді.
Мысалы, өткен жылы Super Monday Night Combat ойынының әзірлеушілері өз жобасынан бас тартуға мәжбүр болды. Оны жасаушылардың айтуынша, бюджет GDPR жүйесін қайта құру үшін қажет , жеті жылдық ойынға бөлінген.
IaaS провайдерінің даму бөлімінің басшысы Сергей Белкин: «Шағын және орта бизнесте көбінесе реттеушілердің талаптарын түсіну және қажетті дайындық жасау үшін технологиялық және адам ресурстары жоқ», - деп түсіндіреді. . «Мұнда ірі жеткізушілер мен IaaS провайдерлері жалға алу үшін қауіпсіз АТ-инфрақұрылымын ұсынып, көмекке келе алады. Мысалы, 1cloud.ru сайтында біз жабдықты деректер орталығына орналастырамыз, Tier III стандартына сәйкес және клиенттерге «Жеке деректер туралы» 152-Ресей Федералдық заңының талаптарын орындауға көмектесу.
Фото - - Шығу
Бұл жерде мәселе заңның өзінде емес, компаниялардың өз талаптарын тек ресми түрде орындауға ұмтылуында деген қарама-қарсы пікір де бар. Hacker News тұрғындарының бірі : жеке деректердің ағып кетуінің себебі ұйымдарда ақылға қонымды қарапайым тексеру тетіктері.
Қалай болғанда да, Еуропалық Одақ жақын арада GDPR-дан бас тартпақ емес, сондықтан Black Hat конференциясы кезінде жарық көрген жағдай компаниялар үшін жеке деректердің қауіпсіздігіне көбірек көңіл бөлуге ынталандыру болуы керек.
Блогтарымызда және әлеуметтік желілерде не жазамыз:
Мәскеудегі 1бұлттық инфрақұрылым Деректер кеңістігінде. Бұл Uptime институтының Tier lll сертификатынан өткен алғашқы ресейлік деректер орталығы.
Ақпарат көзі: www.habr.com