GDPR ЕБ жарандарына жеке маалыматтарын көбүрөөк көзөмөлдөө үчүн түзүлгөн. Ал эми даттануулардын саны боюнча, максат "жетилди": акыркы бир жылда европалыктар компаниялар тарабынан мыйзам бузуулар жөнүндө көбүрөөк кабарлай башташты, ал эми компаниялар өздөрү кабыл алышты. жана штраф албаш үчүн алсыз жерлерин тез жабууга киришти. Бирок "күтүлбөгөн жерден" GDPR каржылык санкциялардан качуу же ага баш ийүү зарылчылыгына келгенде эң көрүнүктүү жана эффективдүү экени белгилүү болду. Жана андан да көп - жеке маалыматтардын агып кетишин токтотуу үчүн иштелип чыккан, жаңыланган жобо алардын себеби болуп калат.
Бул жерде эмне болуп жатканын айтып берели.
Фото - - unsplash
Көйгөй эмнеде
GDPRга ылайык, ЕБ жарандары компаниянын серверлеринде сакталган жеке маалыматтарынын көчүрмөсүн талап кылууга укуктуу. Жакында эле бул механизм башка адамдын PD чогултуу үчүн колдонулушу мүмкүн экени белгилүү болду. Black Hat конференциясынын катышуучуларынын бири , анын жүрүшүндө ал ар кандай компаниялардан анын сүйлөшкөн кызынын жеке маалыматтары менен архивдерди алган. Анын атынан 150 уюмга тиешелүү суроо-талаптарды жөнөткөн. Кызыгы, компаниялардын 24%ына өздүгүн тастыктоочу документ катары электрондук почтанын дареги жана телефон номери гана керек болгон – аларды алгандан кийин алар файлдары бар архивди кайтарып беришкен. Уюмдардын 16%га жакыны паспорттун (же башка документтин) сүрөттөрүн кошумча сурашкан.
Натыйжада, Джеймс Социалдык камсыздандыруу жана кредиттик картанын номерлерин, туулган датасын, кыздык фамилиясын жана "жабырлануучунун" жашаган дарегин ала алган. Электрондук почта дареги ачыкка чыгып кеткенин текшерүүгө мүмкүндүк берген бир кызмат (кызматтын мисалы ), атүгүл мурда колдонулган аутентификация маалыматтарынын тизмесин жөнөттү. Колдонуучу сырсөздөрдү эч качан өзгөртпөсө же башка жерде колдонсо, бул маалымат хакерликке алып келиши мүмкүн.
Маалыматтар "ката" жөнөтүлгөндөн кийин туура эмес колго түшүп калган башка мисалдар бар. Ошентип, үч ай мурун Reddit колдонуучуларынын бири Epic Games'тен өзүңүз жөнүндө жеке маалымат. Бирок, ал жаңылыштык менен PD башка оюнчуга жөнөттү. Ушундай эле окуя былтыр да болгон. Amazon кардары Alexa жана башка колдонуучунун миңдеген WAF файлдары бар 100 мегабайттык архив.
Фото - - unsplash
Адистер мындай жагдайлардын пайда болушунун негизги себептеринин бири маалыматтарды коргоонун жалпы жобосунун толук эместигин айтышат. Атап айтканда, GDPR компания колдонуучулардын суроо-талаптарына жооп бериши керек болгон мөөнөттү (бир айдын ичинде) көрсөтөт жана бул талапты аткарбагандыгы үчүн 20 миллион еврого чейин же жылдык кирешенин 4% га чейин айыппулдарды белгилейт. Бирок, компанияларга мыйзамды сактоого жардам бериши керек болгон иш жүзүндөгү жол-жоболор (мисалы, маалыматтар анын ээсине жөнөтүлгөнүн текшерүү) анда көрсөтүлгөн эмес. Ошондуктан, уюмдар өз алдынча (кээде сыноо жана ката аркылуу) өз иш процесстерин куруу керек.
Кантип кырдаалды жакшыртсам болот?
Эң радикалдуу сунуштардын бири - GDPRдан баш тартуу же аны түп-тамырынан бери өзгөртүү. Анын азыркы түрүндө мыйзам иштебейт деген пикирлер бар, анткени ал абдан жана өтө катуу, жана анын бардык талаптарын канааттандыруу үчүн көп акча коротууга туура келет.
Мисалы, өткөн жылы Super Monday Night Combat оюнунун иштеп чыгуучулары өз долбоорун жокко чыгарууга аргасыз болушкан. Аны түзүүчүлөрдүн айтымында, бюджет GDPR үчүн системаларды кайра иштеп чыгуу үчүн талап кылынат , жети жылдыктын оюнуна белунген.
IaaS провайдеринин өнүктүрүү бөлүмүнүн башчысы Сергей Белкин: "Чакан жана орто бизнесте көбүнчө жөнгө салуучу органдардын талаптарын түшүнүү жана керектүү даярдыктарды көрүү үчүн технологиялык жана адам ресурстары жок", - дейт. . «Бул жерде ири сатуучулар жана IaaS провайдерлери жардамга келип, ижарага коопсуз IT инфраструктурасын камсыздай алышат. Мисалы, 1cloud.ru сайтында биз жабдууларыбызды маалымат борборуна жайгаштырабыз, Tier III стандартына ылайык жана кардарларга "Жеке маалыматтар жөнүндө" Орусиянын 152-Федералдык Мыйзамынын талаптарын аткарууга жардам берүү.
Фото - - unsplash
Бул жерде маселе мыйзамдын өзүндө эмес, ишканалардын анын талаптарын формалдуу түрдө гана аткарууга умтулуусунда деген карама-каршы көз караш дагы бар. Hacker News тургундарынын бири : жеке маалыматтардын агып кетишинин себеби, уюмдар акылга сыярлык эң жөнөкөй текшерүү механизмдери.
Кандай болбосун, Европа Биримдиги жакынкы келечекте GDPRдан баш тартпайт, ошондуктан Black Hat конференциясынын жүрүшүндө жарык көргөн жагдай компаниялар үчүн жеке маалыматтардын коопсуздугуна көбүрөөк көңүл бурууга түрткү болушу керек.
Блогдорубузда жана социалдык тармактарыбызда эмне жөнүндө жазабыз:
Москвадагы 1булут инфраструктурасы Dataspace ичинде. Бул Uptime институтунун Tier lll сертификатынан өткөн биринчи орус маалымат борбору.
Source: www.habr.com