GDPR ble opprettet for å gi EU-borgere mer kontroll over personopplysningene sine. Og når det gjelder antall klager, ble målet "oppnådd": I løpet av det siste året begynte europeere å rapportere brudd fra selskaper oftere, og selskapene selv mottok og begynte raskt å lukke sårbarheter for ikke å få en bot. Men «plutselig» viste det seg at GDPR er mest synlig og effektiv når det gjelder enten å unndra økonomiske sanksjoner eller selve behovet for å overholde den. Og enda mer – designet for å få slutt på lekkasjer av personopplysninger, den oppdaterte forskriften blir deres årsak.
La oss fortelle deg hva som skjer her.
Bilder - — unsplash
Hva er problemet
I henhold til GDPR har EU-borgere rett til å be om en kopi av deres personlige data lagret på et selskaps servere. Nylig ble det kjent at denne mekanismen kan brukes til å samle en annen persons PD. En av deltakerne på Black Hat-konferansen , hvor han mottok arkiver med personopplysninger om sin forlovede fra forskjellige selskaper. Han sendte relevante forespørsler på hennes vegne til 150 organisasjoner. Interessant nok trengte 24 % av selskapene bare en e-postadresse og et telefonnummer som bevis på identitet – etter å ha mottatt dem returnerte de et arkiv med filer. Omtrent 16 % av organisasjonene ba i tillegg om fotografier av et pass (eller annet dokument).
Som et resultat var James i stand til å få personnummer og kredittkortnummer, fødselsdato, pikenavn og bostedsadresse til "offeret". En tjeneste som lar deg sjekke om en e-postadresse har blitt lekket (et eksempel på en tjeneste kan være ), sendte til og med en liste over tidligere brukte autentiseringsdata. Denne informasjonen kan føre til hacking hvis brukeren aldri endret passordene eller brukte dem et annet sted.
Det er andre eksempler på at data havnet i feil hender etter å ha blitt "feilaktig" sendt. Så for tre måneder siden en av Reddit-brukerne personlig informasjon om deg selv fra Epic Games. Imidlertid sendte hun ved en feiltakelse hans PD til en annen spiller. En lignende historie skjedde i fjor. Amazon klient Et 100 megabyte arkiv med Internett-forespørsler til Alexa og tusenvis av WAF-filer fra en annen bruker.
Bilder - — unsplash
Eksperter sier at en av hovedårsakene til at slike situasjoner oppstår er ufullstendigheten i den generelle databeskyttelsesforordningen. Spesielt spesifiserer GDPR tidsrammen innen et selskap må svare på brukerforespørsler (innen en måned) og spesifiserer bøter – opptil 20 millioner euro eller 4 % av årlig inntekt – for manglende overholdelse av dette kravet. De faktiske prosedyrene som skal hjelpe selskaper med å overholde loven (for eksempel å sørge for at data sendes til eieren) er imidlertid ikke spesifisert i den. Derfor må organisasjoner selvstendig (noen ganger gjennom prøving og feiling) bygge sine arbeidsprosesser.
Hvordan kan jeg forbedre situasjonen?
Et av de mest radikale forslagene er å forlate GDPR eller radikalt gjøre den om. Det er en oppfatning at i sin nåværende form fungerer ikke loven, siden den er veldig og altfor strenge, og du må bruke mye penger for å oppfylle alle kravene.
For eksempel ble utviklerne av spillet Super Monday Night Combat i fjor tvunget til å kansellere prosjektet sitt. Ifølge skaperne er budsjettet som kreves for å redesigne systemer for GDPR , allokert til det syv år gamle spillet.
"Små og mellomstore bedrifter har ofte ikke de teknologiske og menneskelige ressursene til å forstå kravene til regulatorer og gjøre de nødvendige forberedelsene," kommenterer Sergey Belkin, leder for utviklingsavdelingen til IaaS-leverandøren. . "Det er her store leverandører og IaaS-leverandører kan komme til unnsetning og tilby sikker IT-infrastruktur til leie. For eksempel, på 1cloud.ru plasserer vi utstyret vårt i et datasenter, i henhold til Tier III-standarden og hjelpe klienter med å overholde kravene i den russiske føderale loven-152 "On Personal Data".
Bilder - — unsplash
Det er også et motsatt synspunkt, at problemet her ikke ligger i selve loven, men i selskapenes ønske om å oppfylle kravene kun formelt. En av beboerne i Hacker News : årsaken til persondatalekkasjer ligger i at organisasjoner de enkleste verifiseringsmekanismene, som er diktert av sunn fornuft.
På en eller annen måte kommer ikke EU til å forlate GDPR i nær fremtid, så situasjonen som ble kastet lys under Black Hat-konferansen bør tjene som et insentiv for bedrifter til å være mer oppmerksomme på sikkerheten til personopplysninger.
Hva vi skriver om på bloggene våre og sosiale nettverk:
1sky-infrastruktur i Moskva i Dataspace. Dette er det første russiske datasenteret som har bestått Tier lll-sertifisering fra Uptime Institute.
Kilde: www.habr.com