BDAR buvo sukurtas siekiant suteikti ES piliečiams daugiau galimybių valdyti savo asmens duomenis. O kalbant apie skundų skaičių, tikslas buvo „pasiektas“: per pastaruosius metus europiečiai pradėjo dažniau pranešti apie įmonių pažeidimus, o pačios įmonės gavo ir pradėjo greitai uždaryti spragas, kad negautų baudos. Tačiau „staiga“ paaiškėjo, kad GDPR yra matomiausias ir veiksmingiausias, kai kalbama apie vengimą finansinių sankcijų arba būtinybę jo laikytis. Ir dar daugiau – sukurtas siekiant sustabdyti asmens duomenų nutekėjimą, atnaujintas reglamentas tampa jų priežastimi.
Papasakokime, kas čia vyksta.
Фото - – Atskleiskite
Kokia problema
Pagal GDPR ES piliečiai turi teisę prašyti savo asmens duomenų, saugomų įmonės serveriuose, kopijos. Neseniai tapo žinoma, kad šis mechanizmas gali būti naudojamas renkant kito asmens PD. Vienas iš Black Hat konferencijos dalyvių , kurio metu iš įvairių įmonių gavo archyvus su sužadėtinės asmens duomenimis. Jis jos vardu išsiuntė atitinkamus prašymus 150 organizacijų. Įdomu tai, kad 24% įmonių prireikė tik elektroninio pašto adreso ir telefono numerio kaip tapatybės įrodymo – juos gavusios grąžino archyvą su failais. Apie 16% organizacijų papildomai paprašė paso (ar kito dokumento) nuotraukų.
Dėl to Jamesas galėjo gauti savo „aukos“ socialinio draudimo ir kredito kortelių numerius, gimimo datą, mergautinę pavardę ir gyvenamosios vietos adresą. Viena paslauga, leidžianti patikrinti, ar el. pašto adresas nebuvo nutekėjęs (paslaugos pavyzdys būtų ), netgi atsiuntė anksčiau naudotų autentifikavimo duomenų sąrašą. Ši informacija gali sukelti įsilaužimą, jei vartotojas niekada nepakeitė slaptažodžių arba nenaudojo jų kur nors kitur.
Yra ir kitų pavyzdžių, kai „klaidingai“ išsiųsti duomenys pateko į netinkamas rankas. Taigi, prieš tris mėnesius vienas iš Reddit vartotojų asmeninė informacija apie save iš Epic Games. Tačiau ji per klaidą išsiuntė jo PD kitam žaidėjui. Panaši istorija nutiko ir pernai. „Amazon“ klientas 100 megabaitų archyvas su interneto užklausomis Alexa ir tūkstančiais kito vartotojo WAF failų.
Фото - – Atskleiskite
Ekspertai teigia, kad viena iš pagrindinių tokių situacijų atsiradimo priežasčių yra Bendrojo duomenų apsaugos reglamento neišsamumas. Visų pirma, BDAR nurodo terminą, per kurį įmonė turi atsakyti į vartotojų užklausas (per mėnesį), ir nurodo baudas – iki 20 milijonų eurų arba 4% metinių pajamų – už šio reikalavimo nesilaikymą. Tačiau tikrosios procedūros, kurios turėtų padėti įmonėms laikytis įstatymų (pavyzdžiui, pasirūpinti, kad duomenys būtų išsiųsti jo savininkui), jame nenurodytos. Todėl organizacijos turi savarankiškai (kartais bandymų ir klaidų būdu) kurti savo darbo procesus.
Kaip galėčiau pagerinti situaciją?
Vienas radikaliausių pasiūlymų – atsisakyti BDAR arba radikaliai jį perdaryti. Yra nuomonė, kad dabartine forma įstatymas neveikia, nes jis yra labai ir pernelyg griežta, ir jūs turite išleisti daug pinigų, kad atitiktumėte visus jos reikalavimus.
Pavyzdžiui, pernai žaidimo Super Monday Night Combat kūrėjai buvo priversti atšaukti savo projektą. Pasak jo kūrėjų, biudžetas reikalingas GDPR sistemoms perdaryti , skirta septynerių metų žaidimui.
„Smulkus ir vidutinis verslas tikrai dažnai neturi technologinių ir žmogiškųjų išteklių, kad suprastų reguliuotojų reikalavimus ir padarytų reikiamus pasiruošimus“, – komentuoja IaaS tiekėjo plėtros skyriaus vadovas Sergejus Belkinas. . „Čia į pagalbą gali ateiti stambūs pardavėjai ir IaaS tiekėjai, suteikdami saugią IT infrastruktūrą nuomai. Pavyzdžiui, 1cloud.ru savo įrangą talpiname duomenų centre, pagal III pakopos standartą ir padėti klientams laikytis Rusijos federalinio įstatymo-152 „Dėl asmens duomenų“ reikalavimų.
Фото - – Atskleiskite
Egzistuoja ir priešingas požiūris, kad čia problema ne pačiame įstatyme, o įmonių siekyje jo reikalavimus įvykdyti tik formaliai. Vienas iš „Hacker News“ gyventojų : asmens duomenų nutekėjimo priežastis slypi tame, kad organizacijos paprasčiausi patikrinimo mechanizmai, kuriuos padiktuoja sveikas protas.
Vienaip ar kitaip, Europos Sąjunga artimiausiu metu nesiruošia atsisakyti GDPR, todėl „Black Hat“ konferencijos metu nušviesta situacija turėtų paskatinti įmones daugiau dėmesio skirti asmens duomenų saugumui.
Apie ką rašome savo tinklaraščiuose ir socialiniuose tinkluose:
1 debesų infrastruktūra Maskvoje duomenų erdvėje. Tai pirmasis Rusijos duomenų centras, išlaikęs „Uptime Institute“ Ill lygio sertifikatą.
Šaltinis: www.habr.com