GDPR нь ЕХ-ны иргэдэд хувийн мэдээлэлдээ илүү хяналт тавих зорилгоор бүтээгдсэн. Мөн гомдлын тооны хувьд зорилгодоо "хэрэглээ": сүүлийн нэг жилийн хугацаанд Европчууд компаниудын зөрчлийн талаар илүү олон удаа мэдээлж эхэлсэн бөгөөд компаниуд өөрсдөө хүлээн авсан. торгууль авахгүйн тулд эмзэг байдлыг хурдан хааж эхлэв. Гэхдээ "гэнэт" GDPR нь санхүүгийн хориг арга хэмжээнээс зайлсхийх эсвэл түүнийг дагаж мөрдөх шаардлагатай үед хамгийн тод, үр дүнтэй байдаг нь тодорхой болов. Үүнээс гадна хувийн мэдээлэл алдагдлыг зогсоох зорилготой шинэчлэгдсэн журам нь тэдний шалтгаан болж байна.
Энд юу болоод байгааг танд хэлье.
Фото - - Цочмог арилгах
Асуудал юу вэ
GDPR-ийн дагуу ЕХ-ны иргэд компанийн серверт хадгалагдсан хувийн мэдээллийнхээ хуулбарыг авахыг хүсэх эрхтэй. Саяхан энэ механизмыг өөр хүний PD цуглуулахад ашиглаж болох нь тодорхой болсон. Хар малгайт чуулганд оролцогчдын нэг , энэ үеэр тэрээр янз бүрийн компаниудаас сүйт бүсгүйнхээ хувийн мэдээлэл бүхий архивыг хүлээн авсан. Тэрээр түүний нэрийн өмнөөс 150 байгууллагад холбогдох хүсэлтээ илгээсэн байна. Сонирхолтой нь, компаниудын 24% нь зөвхөн цахим шуудангийн хаяг, утасны дугаарыг баталгаажуулах шаардлагатай байсан - тэдгээрийг хүлээн авсны дараа тэд файл бүхий архивыг буцааж өгсөн. Байгууллагуудын 16 орчим хувь нь паспорт (эсвэл бусад баримт бичгийн) зургийг нэмж авах хүсэлт гаргасан.
Үүний үр дүнд Жеймс "хохирогч"-ынхоо нийгмийн даатгалын болон зээлийн картын дугаар, төрсөн он, сар, өдөр, оршин суугаа хаягийг авах боломжтой болсон. Имэйл хаяг алдагдсан эсэхийг шалгах боломжийг олгодог нэг үйлчилгээ (үйлчилгээний жишээ нь ), өмнө нь ашигласан баталгаажуулалтын өгөгдлийн жагсаалтыг хүртэл илгээсэн. Хэрэв хэрэглэгч нууц үгээ хэзээ ч өөрчлөөгүй эсвэл өөр газар ашиглаагүй бол энэ мэдээлэл нь хакердахад хүргэж болзошгүй.
Өгөгдөл "алдаатай" илгээгдсэний дараа буруу гарт орсон бусад жишээ бий. Тиймээс гурван сарын өмнө Reddit хэрэглэгчдийн нэг Epic Games-ээс өөрийнхөө тухай хувийн мэдээлэл. Гэсэн хэдий ч тэр PD-ээ андуурч өөр тоглогч руу илгээсэн. Үүнтэй төстэй түүх өнгөрсөн жил болсон. Amazon үйлчлүүлэгч 100 мегабайтын архив, Alexa руу илгээсэн интернет хүсэлт болон өөр хэрэглэгчийн мянга мянган WAF файлууд.
Фото - - Цочмог арилгах
Ийм нөхцөл байдал үүсэх гол шалтгаануудын нэг нь Мэдээлэл хамгаалах ерөнхий журам дутуу дулимаг байгаатай холбоотой гэж мэргэжилтнүүд хэлж байна. Тодруулбал, GDPR-д тухайн компани хэрэглэгчийн хүсэлтэд (сарын дотор) хариу өгөх ёстой цаг хугацааг тодорхойлж, энэ шаардлагыг биелүүлээгүй тохиолдолд 20 сая евро буюу жилийн орлогын 4% хүртэл торгууль ногдуулдаг. Гэсэн хэдий ч компаниудад хуулийг дагаж мөрдөхөд нь туслах ёстой бодит журам (жишээлбэл, өгөгдлийг эзэмшигчид нь илгээсэн эсэхийг шалгах) үүнд заагаагүй болно. Тиймээс байгууллагууд бие даан (заримдаа туршилт, алдааны замаар) ажлын процессоо бий болгох ёстой.
Би нөхцөл байдлыг хэрхэн сайжруулах вэ?
Хамгийн радикал саналуудын нэг бол GDPR-аас татгалзах эсвэл түүнийг эрс өөрчлөх явдал юм. Одоогийн байдлаар хууль ажиллахгүй байна гэсэн бодол байдаг, учир нь энэ нь маш их байдаг мөн хэт хатуу бөгөөд та түүний бүх шаардлагыг хангахын тулд маш их мөнгө зарцуулах хэрэгтэй болно.
Тухайлбал, өнгөрсөн жил Super Monday Night Combat тоглоомын хөгжүүлэгчид төслөө цуцлахаас өөр аргагүйд хүрсэн. Бүтээгчдийн үзэж байгаагаар GDPR-д зориулсан системийг дахин төлөвлөхөд төсөв шаардлагатай , долоон настай тоглоомд хуваарилагдсан.
IaaS үйлчилгээ үзүүлэгчийн хөгжлийн хэлтсийн дарга Сергей Белкин "Жижиг, дунд бизнес эрхлэгчдэд зохицуулагчдын шаардлагыг ойлгож, шаардлагатай бэлтгэлийг хангах технологийн болон хүний нөөц үнэхээр байдаггүй" гэж тайлбарлав. . “Энд томоохон үйлдвэрлэгчид болон IaaS үйлчилгээ үзүүлэгчид аврах ажилд ирж, мэдээллийн технологийн дэд бүтцийг түрээслэх боломжтой. Жишээлбэл, 1cloud.ru дээр бид тоног төхөөрөмжөө дата төвд байрлуулдаг. III түвшний стандартын дагуу үйлчлүүлэгчдэд ОХУ-ын Холбооны хууль-152 "Хувийн мэдээллийн тухай" шаардлагыг биелүүлэхэд нь туслах.
Фото - - Цочмог арилгах
Энд асуудал хуульдаа биш, компаниуд өөрсдийн шаардлагыг зөвхөн албан ёсоор биелүүлэх гэсэн хүсэлд байгаа гэсэн эсрэг байр суурь ч бий. Hacker News-ийн оршин суугчдын нэг : хувийн мэдээлэл алдагдсан шалтгаан нь байгууллагуудад оршдог эрүүл ухаанаар тогтоогдсон хамгийн энгийн шалгах механизмууд.
Ямар нэг байдлаар Европын холбоо ойрын ирээдүйд GDPR-аас татгалзахгүй байгаа тул Хар малгайт бага хурлын үеэр ил болсон нөхцөл байдал нь компаниудад хувийн мэдээллийн аюулгүй байдалд илүү анхаарал хандуулах хөшүүрэг болох ёстой.
Бидний блог болон нийгмийн сүлжээнд юу бичдэг вэ:
Москва дахь 1 үүлний дэд бүтэц Dataspace-д. Энэ бол Uptime институтээс Tier lll гэрчилгээ авсан Оросын анхны дата төв юм.
Эх сурвалж: www.habr.com