GDPR tika izveidots, lai nodrošinātu ES pilsoņiem lielāku kontroli pār saviem personas datiem. Un sūdzību skaita ziņā mērķis tika “sasniegts”: pēdējā gada laikā eiropieši sāka biežāk ziņot par uzņēmumu pārkāpumiem, un paši uzņēmumi saņēma daudzi noteikumi un sāka ātri slēgt ievainojamības, lai nesaņemtu naudas sodu. Taču “pēkšņi” izrādījās, ka GDPR ir visredzamākais un efektīvākais, ja runa ir par izvairīšanos no finansiālām sankcijām vai arī par nepieciešamību to ievērot. Un vēl jo vairāk - izstrādāts, lai izbeigtu personas datu noplūdi, atjauninātais regulējums kļūst par to cēloni.
Saskaņā ar GDPR ES pilsoņiem ir tiesības pieprasīt savu personas datu kopiju, kas tiek glabāta uzņēmuma serveros. Nesen kļuva zināms, ka šo mehānismu var izmantot, lai savāktu citas personas PD. Viens no Black Hat konferences dalībniekiem veica eksperimentu, kuras laikā viņš saņēma arhīvus ar savas līgavas personas datiem no dažādiem uzņēmumiem. Viņš nosūtīja attiecīgus pieprasījumus viņas vārdā 150 organizācijām. Interesanti, ka 24% uzņēmumu identitātes apliecinājumam bija nepieciešama tikai e-pasta adrese un tālruņa numurs – pēc to saņemšanas viņi atdeva arhīvu ar failiem. Apmēram 16% organizāciju papildus pieprasīja pases (vai cita dokumenta) fotogrāfijas.
Rezultātā Džeimss varēja iegūt sava "upura" sociālās apdrošināšanas un kredītkaršu numurus, dzimšanas datumu, pirmslaulības uzvārdu un dzīvesvietas adresi. Viens pakalpojums, kas ļauj pārbaudīt, vai e-pasta adrese nav noplūdusi (pakalpojuma piemērs varētu būt Vai esmu ticis apzagts?), pat nosūtīja sarakstu ar iepriekš izmantotajiem autentifikācijas datiem. Šī informācija var izraisīt uzlaušanu, ja lietotājs nekad nav mainījis paroles vai izmantojis tās kaut kur citur.
Ir arī citi piemēri, kad dati pēc “kļūdaini” nosūtīšanas nonākuši nepareizās rokās. Tātad, pirms trim mēnešiem viens no Reddit lietotājiem pieprasīts personiskā informācija par sevi no Epic Games. Tomēr viņa kļūdaini nosūtīja viņa PD citam spēlētājam. Līdzīgs stāsts notika arī pagājušajā gadā. Amazon klients Saņēmu nejauši 100 megabaitu arhīvs ar interneta pieprasījumiem Alexa un tūkstošiem cita lietotāja WAF failu.
Eksperti norāda, ka viens no galvenajiem šādu situāciju rašanās iemesliem ir Vispārīgās datu aizsardzības regulas nepilnīgums. Jo īpaši GDPR nosaka termiņu, kurā uzņēmumam ir jāatbild uz lietotāju pieprasījumiem (mēneša laikā), un nosaka naudas sodu līdz 20 miljoniem eiro vai 4% no gada ieņēmumiem par šīs prasības neievērošanu. Taču faktiskās procedūras, kurām būtu jāpalīdz uzņēmumiem ievērot likumu (piemēram, pārliecinoties, ka dati tiek nosūtīti tā īpašniekam), tajā nav noteiktas. Tāpēc organizācijām ir patstāvīgi (dažreiz izmēģinājumu un kļūdu ceļā) jāveido savi darba procesi.
Kā es varu uzlabot situāciju?
Viens no radikālākajiem priekšlikumiem ir atteikties no GDPR vai radikāli to pārveidot. Pastāv viedoklis, ka pašreizējā formā likums nedarbojas, jo tas ir ļoti sarežģīts un pārāk stingri, un jums ir jātērē daudz naudas, lai izpildītu visas tās prasības.
Piemēram, pērn spēles Super Monday Night Combat izstrādātāji bija spiesti atcelt savu projektu. Saskaņā ar tās veidotāju teikto, budžets, kas nepieciešams, lai pārveidotu GDPR sistēmas pārsniedza budžetu, kas atvēlēts septiņus gadus vecajai spēlei.
"Mazajiem un vidējiem uzņēmumiem patiešām bieži vien nav tehnoloģisko un cilvēkresursu, lai izprastu regulatoru prasības un veiktu nepieciešamos sagatavošanās darbus," komentē IaaS pakalpojumu sniedzēja attīstības nodaļas vadītājs Sergejs Belkins. 1cloud.ru. “Šeit palīgā var nākt lielie pārdevēji un IaaS pakalpojumu sniedzēji, nodrošinot drošu IT infrastruktūru nomai. Piemēram, vietnē 1cloud.ru mēs ievietojam savu aprīkojumu datu centrā, sertificēts saskaņā ar III līmeņa standartu un palīdz klientiem izpildīt Krievijas Federālā likuma-152 “Par personas datiem” prasības.
Ir arī pretējs viedoklis, ka problēma šeit nav pašā likumā, bet gan uzņēmumu vēlmē tās prasības izpildīt tikai formāli. Viens no Hacker News iemītniekiem atzīmēja: personas datu noplūdes iemesls slēpjas apstāklī, ka organizācijas neīsteno visvienkāršākie pārbaudes mehānismi, kurus nosaka veselais saprāts.
Tā vai citādi Eiropas Savienība tuvākajā laikā negrasās atteikties no GDPR, tāpēc Black Hat konferences laikā izgaismotajai situācijai vajadzētu kalpot par stimulu uzņēmumiem pievērst lielāku uzmanību personas datu drošībai.
Par ko mēs rakstām savos emuāros un sociālajos tīklos: