De GDPR gouf geschaf fir EU Bierger méi Kontroll iwwer hir perséinlech Donnéeën ze ginn. A wat d'Zuel vun de Reklamatiounen ugeet, ass d'Zil "erreecht" ginn: d'lescht Joer hunn d'Europäer ugefaang méi dacks Verstéiss vu Firmen ze mellen, an d'Firmen selwer kruten an ugefaang séier Schwachstelle ze zoumaachen fir keng Geldstrof ze kréien. Awer "op eemol" huet sech erausgestallt datt de GDPR am meeschte siichtbar an effektiv ass wann et drëm geet entweder finanziell Sanktiounen z'evitéieren oder de ganz Besoin dermat ze erhalen. An nach méi - entworf fir en Enn vu perséinlechen Dateleken ze maachen, gëtt déi aktualiséiert Regulatioun hir Ursaach.
Loosst eis Iech soen wat hei lass ass.
Фото - - Unsplash
Wat ass de Problem
Ënnert dem GDPR hunn EU Bierger d'Recht eng Kopie vun hire perséinlechen Donnéeën ze froen, déi op de Server vun enger Firma gespäichert sinn. Viru kuerzem gouf bekannt datt dëse Mechanismus ka benotzt ginn fir eng aner Persoun hir PD ze sammelen. Ee vun de Participanten op der Black Hat Konferenz , während deem hien Archive mat perséinlechen Donnéeë vu senger Verlobten aus verschiddene Firmen krut. Hien geschéckt relevant Demanden op hirem Numm ze 150 Organisatiounen. Interessanterweis hunn 24% vun de Firmen nëmmen eng E-Mailadress an eng Telefonsnummer als Beweis vun der Identitéit gebraucht - nodeems se se kritt hunn, hunn se en Archiv mat Dateien zréckginn. Ongeféier 16% vun den Organisatiounen hunn zousätzlech Fotoe vun engem Pass (oder aner Dokument) gefrot.
Als Resultat konnt den James d'Sozialversécherung a Kredittkaartnummeren, Gebuertsdatum, Jongfraennumm a Wunnadress vu sengem "Affer" kréien. Ee Service deen Iech erlaabt ze kontrolléieren ob eng E-Mailadress geläscht gouf (e Beispill vun engem Service wier ), souguer eng Lëscht vu virdru benotzten Authentifikatiounsdaten geschéckt. Dës Informatioun kann zu Hacking féieren, wann de Benotzer d'Passwierder ni geännert huet oder se soss anzwousch benotzt.
Et ginn aner Beispiller wou d'Donnéeën an déi falsch Hänn koumen nodeems se "falsch" geschéckt goufen. Also, virun dräi Méint ee vun de Reddit Benotzer perséinlech Informatioun iwwer Iech selwer vun Epic Games. Wéi och ëmmer, si huet falsch seng PD un en anere Spiller geschéckt. Eng ähnlech Geschicht ass d'lescht Joer geschitt. Amazon Client En 100-Megabyte Archiv mat Internet Ufroen un Alexa an Dausende vu WAF Dateien vun engem anere Benotzer.
Фото - - Unsplash
D'Experten soen datt ee vun den Haaptgrënn fir d'Optriede vun esou Situatiounen d'Onvollstännegkeet vun der Allgemeng Dateschutzreglement ass. Besonnesch spezifizéiert de GDPR den Zäitframe, an deem eng Firma op d'Ufroe vun de Benotzer muss äntweren (bannent engem Mount) a präziséiert Geldstrofen - bis zu 20 Milliounen Euro oder 4% vum jährlechen Einnahmen - fir Versoen dës Ufuerderung z'erhalen. Déi aktuell Prozeduren, déi Firmen hëllefe sollen dem Gesetz z'erhalen (zum Beispill sécherzestellen, datt d'Donnéeën un hire Besëtzer geschéckt ginn) sinn net dran uginn. Dofir mussen Organisatiounen onofhängeg (heiansdo duerch Versuch a Feeler) hir Aarbechtsprozesser bauen.
Wéi kann ech d'Situatioun verbesseren?
Ee vun de radikalste Virschléi ass den GDPR opzeginn oder radikal nei ze maachen. Et gëtt eng Meenung datt a senger aktueller Form d'Gesetz net funktionnéiert, well et ganz an ze streng, an et ass néideg eng grouss Zomm Suen ze verbréngen all seng Ufuerderunge ze treffen.
Zum Beispill, d'lescht Joer hunn d'Entwéckler vum Spill Super Monday Night Combat gezwongen hire Projet ze annuléieren. No senge Creatoren, de Budget néideg fir Systemer fir GDPR nei ze designen , zu de siwe Joer-ale Spill zougewisen.
"Kleng a mëttelgrouss Betriber hu wierklech dacks net déi technologesch a mënschlech Ressourcen fir d'Ufuerderunge vun de Reguléierer ze verstoen an déi néideg Virbereedungen ze maachen", kommentéiert Sergey Belkin, Chef vun der Entwécklungsdepartement vum IaaS Provider . "Dëst ass wou grouss Ubidder an IaaS Ubidder zur Rettung kommen, déi sécher IT Infrastruktur fir ze lounen. Zum Beispill, op 1cloud.ru setzen mir eis Ausrüstung an engem Rechenzentrum, no dem Tier III Standard an hëlleft Clienten d'Ufuerderunge vum russesche Bundesgesetz-152 "On Perséinlech Daten" ze respektéieren.
Фото - - Unsplash
Et gëtt och e Géigendeel Siicht, datt de Problem hei net am Gesetz selwer läit, mä am Wonsch vun de Betriber hir Ufuerderunge just formell erfëllen. Ee vun den Awunner vun Hacker News : de Grond fir perséinlech Dateleken läit an der Tatsaach, datt Organisatiounen déi einfachste Verifizéierungsmechanismen, déi vum gesonde Mënscheverstand diktéiert ginn.
Eng oder aner Manéier wäert d'Europäesch Unioun de GDPR an der nächster Zukunft net opginn, sou datt d'Situatioun, déi während der Black Hat Konferenz beliicht gouf, soll als Ureiz fir Firmen déngen fir méi Opmierksamkeet op d'Sécherheet vu perséinlechen Donnéeën ze bezuelen.
Wat mir op eise Blogs a sozialen Netzwierker schreiwen:
1Cloud Infrastruktur zu Moskau am Dataspace. Dëst ass deen éischte russesche Rechenzentrum deen den Tier lll Zertifizéierung vum Uptime Institute passéiert.
Source: will.com