Kif il-GDPR ikkawża tnixxijiet tad-dejta personali
Il-GDPR inħoloq biex jagħti liċ-ċittadini tal-UE aktar kontroll fuq id-dejta personali tagħhom. U f'termini tan-numru ta 'ilmenti, l-għan kien "ilħuq": matul is-sena li għaddiet, l-Ewropej bdew jirrappurtaw vjolazzjonijiet minn kumpaniji aktar spiss, u l-kumpaniji nfushom irċevew ħafna regolamenti u beda jagħlaq malajr il-vulnerabbiltajiet biex ma jirċievix multa. Iżda "f'daqqa waħda" irriżulta li l-GDPR huwa l-aktar viżibbli u effettiv meta niġu biex jevadu s-sanzjonijiet finanzjarji jew il-ħtieġa stess li tikkonforma miegħu. U aktar - imfassla biex itemmu t-tnixxija tad-dejta personali, ir-regolament aġġornat isir il-kawża tagħhom.
Skont il-GDPR, iċ-ċittadini tal-UE għandhom id-dritt li jitolbu kopja tad-dejta personali tagħhom maħżuna fuq is-servers ta’ kumpanija. Riċentement sar magħruf li dan il-mekkaniżmu jista’ jintuża biex jinġabar il-PD ta’ persuna oħra. Wieħed mill-parteċipanti fil-konferenza Black Hat wettaq esperiment, li matulhom irċieva arkivji b'dejta personali tal-għarusa tiegħu minn diversi kumpaniji. Huwa bagħat talbiet rilevanti f'isimha lil 150 organizzazzjoni. Interessanti, 24% tal-kumpaniji kellhom bżonn biss indirizz tal-email u numru tat-telefon bħala prova tal-identità - wara li rċevewhom, irritornaw arkivju bil-fajls. Madwar 16% tal-organizzazzjonijiet talbu wkoll ritratti ta’ passaport (jew dokument ieħor).
Bħala riżultat, James seta’ jikseb in-numri tas-Sigurtà Soċjali u tal-karta ta’ kreditu, id-data tat-twelid, l-isem ta’ xebba u l-indirizz residenzjali tal-“vittma” tiegħu. Servizz wieħed li jippermettilek li tiċċekkja jekk indirizz tal-email ġiex leaked (eżempju ta’ servizz ikun Ġejt pwned?), anke bagħtet lista ta’ data ta’ awtentikazzjoni użata qabel. Din l-informazzjoni tista 'twassal għal hacking jekk l-utent qatt ma bidel il-passwords jew użahom x'imkien ieħor.
Hemm eżempji oħra fejn id-dejta spiċċat f'idejn żbaljati wara li ntbagħtet "b'mod żbaljat". Għalhekk, tliet xhur ilu wieħed mill-utenti ta’ Reddit mitluba informazzjoni personali dwarek innifsek minn Epic Games. Madankollu, hi bagħtitlu bi żball lill-PD tiegħu lil plejer ieħor. Storja simili ġrat is-sena l-oħra. Klijent Amazon Irċevejtha bi żball Arkivju ta' 100 megabyte b'talbiet tal-Internet lil Alexa u eluf ta' fajls WAF ta' utent ieħor.
L-esperti jgħidu li waħda mir-raġunijiet ewlenin għall-okkorrenza ta’ sitwazzjonijiet bħal dawn hija l-inkompletezza tar-Regolament Ġenerali dwar il-Protezzjoni tad-Dejta. B’mod partikolari, il-GDPR jispeċifika l-qafas ta’ żmien li fih kumpanija trid twieġeb għat-talbiet tal-utenti (fi żmien xahar) u tispeċifika multi—sa 20 miljun ewro jew 4% tad-dħul annwali—għal nuqqas ta’ konformità ma’ dan ir-rekwiżit. Madankollu, il-proċeduri attwali li għandhom jgħinu lill-kumpaniji jikkonformaw mal-liġi (pereżempju, l-iżgurar li d-dejta tintbagħat lil sidha) mhumiex speċifikati. Għalhekk, l-organizzazzjonijiet iridu jibnu l-proċessi tax-xogħol tagħhom b'mod indipendenti (xi kultant permezz ta' prova u żball).
Kif nista' ntejjeb is-sitwazzjoni?
Waħda mill-aktar proposti radikali hija li tabbanduna l-GDPR jew li terġa’ ssir radikalment. Hemm opinjoni li fil-forma attwali tagħha l-liġi ma taħdimx, peress li hija ħafna ikkumplikat u stretta żżejjed, u trid tonfoq ħafna flus biex tissodisfa r-rekwiżiti kollha tagħha.
Per eżempju, is-sena li għaddiet l-iżviluppaturi tal-logħba Super Monday Night Combat kienu sfurzati li jikkanċellaw il-proġett tagħhom. Skont il-ħallieqa tiegħu, il-baġit meħtieġ biex iddisinja mill-ġdid is-sistemi għall-GDPR qabeż il-baġit, allokata għal-logħba ta' seba' snin.
"In-negozji żgħar u ta' daqs medju ħafna drabi ma jkollhomx ir-riżorsi teknoloġiċi u umani biex jifhmu r-rekwiżiti tar-regolaturi u jagħmlu t-tħejjijiet meħtieġa," jikkummenta Sergey Belkin, kap tad-dipartiment tal-iżvilupp tal-fornitur IaaS. 1cloud.ru. “Dan huwa fejn bejjiegħa kbar u fornituri IaaS jistgħu jiġu għas-salvataġġ, billi jipprovdu infrastruttura tal-IT sigura għall-kiri. Pereżempju, f'1cloud.ru npoġġu t-tagħmir tagħna f'ċentru tad-dejta, iċċertifikat skond l-istandard tal-Livell III u tgħin lill-klijenti jikkonformaw mar-rekwiżiti tal-Liġi Federali Russa-152 "Dwar id-Dejta Personali".
Hemm ukoll perspettiva opposta, li l-problema hawnhekk mhix fil-liġi nnifisha, iżda fix-xewqa tal-kumpaniji li jissodisfaw ir-rekwiżiti tagħha biss formalment. Wieħed mir-residenti ta’ Hacker News innutat: ir-raġuni għat-tnixxija tad-dejta personali tinsab fil-fatt li l-organizzazzjonijiet timplimentax l-aktar mekkaniżmi ta’ verifika sempliċi, li huma ddettati mis-sens komun.
B’xi mod jew ieħor, l-Unjoni Ewropea mhux se tabbanduna l-GDPR fil-futur qarib, u għalhekk is-sitwazzjoni li ħarġet dawl waqt il-konferenza Black Hat għandha sservi ta’ inċentiv għall-kumpaniji biex jagħtu aktar attenzjoni lis-sigurtà tad-data personali.
Dak li niktbu fuq il-blogs u n-netwerks soċjali tagħna: