RODO zostało stworzone, aby zapewnić obywatelom UE większą kontrolę nad ich danymi osobowymi. A jeśli chodzi o liczbę skarg, cel został „osiągnięty”: w ciągu ostatniego roku Europejczycy zaczęli częściej zgłaszać naruszenia przez firmy, a same firmy otrzymały i zaczął szybko zamykać luki, aby nie otrzymać kary. Ale „nagle” okazało się, że RODO jest najbardziej widoczne i skuteczne, jeśli chodzi o uniknięcie sankcji finansowych lub samą konieczność jego przestrzegania. Co więcej – mające na celu położenie kresu wyciekom danych osobowych, zaktualizowane rozporządzenie staje się ich przyczyną.
Powiemy ci, co się tutaj dzieje.
Фото - — Rozpryskiwanie
W czym jest problem
Zgodnie z RODO obywatele UE mają prawo zażądać kopii swoich danych osobowych przechowywanych na serwerach firmy. Niedawno okazało się, że mechanizm ten można wykorzystać do pobrania PD innej osoby. Jeden z uczestników konferencji Black Hat , podczas którego otrzymał archiwa z danymi osobowymi swojej narzeczonej z różnych firm. Wysłał w jej imieniu odpowiednie wnioski do 150 organizacji. Co ciekawe, 24% firm jako dowód tożsamości potrzebowało jedynie adresu e-mail i numeru telefonu – po ich otrzymaniu zwróciło archiwum z plikami. Około 16% organizacji prosiło dodatkowo o zdjęcia paszportu (lub innego dokumentu).
W rezultacie Jamesowi udało się uzyskać numer ubezpieczenia społecznego i karty kredytowej, datę urodzenia, nazwisko panieńskie i adres zamieszkania swojej „ofiary”. Jedną z usług, która pozwala sprawdzić, czy adres e-mail nie wyciekł (przykładem usługi może być ), wysłał nawet listę wcześniej używanych danych uwierzytelniających. Informacje te mogą prowadzić do włamań, jeśli użytkownik nigdy nie zmienił haseł ani nie użył ich gdzie indziej.
Istnieją inne przykłady sytuacji, w których dane po „błędnym” przesłaniu trafiły w niepowołane ręce. Tak więc trzy miesiące temu jeden z użytkowników Reddita dane osobowe o Tobie od Epic Games. Jednak przez pomyłkę wysłała jego PD do innego gracza. Podobna historia wydarzyła się w zeszłym roku. Klient Amazona 100-megabajtowe archiwum zawierające żądania internetowe kierowane do Alexy i tysiące plików WAF innego użytkownika.
Фото - — Rozpryskiwanie
Eksperci twierdzą, że jedną z głównych przyczyn występowania takich sytuacji jest niekompletność ogólnego rozporządzenia o ochronie danych. W szczególności RODO określa termin, w jakim firma musi odpowiedzieć na żądania użytkowników (w ciągu miesiąca) oraz określa kary pieniężne – do 20 mln euro lub 4% rocznych przychodów – za niedopełnienie tego wymogu. Nie określono jednak w niej faktycznych procedur, które powinny pomóc firmom w przestrzeganiu prawa (np. zadbanie o przesłanie danych do ich właściciela). Dlatego organizacje muszą samodzielnie (czasami metodą prób i błędów) budować swoje procesy pracy.
Jak mogę poprawić sytuację?
Jedną z najbardziej radykalnych propozycji jest rezygnacja z RODO lub radykalne jego przekształcenie. Istnieje opinia, że w obecnym kształcie prawo nie działa, ponieważ jest bardzo i zbyt rygorystyczne, a aby spełnić wszystkie jego wymagania, trzeba wydać dużo pieniędzy.
Przykładowo w zeszłym roku twórcy gry Super Monday Night Combat zmuszeni byli anulować swój projekt. Według jego twórców budżet potrzebny na przeprojektowanie systemów pod kątem RODO , przydzielony do siedmioletniej gry.
„Małe i średnie przedsiębiorstwa naprawdę często nie mają zasobów technologicznych i ludzkich, aby zrozumieć wymagania organów regulacyjnych i poczynić niezbędne przygotowania” – komentuje Sergey Belkin, szef działu rozwoju dostawcy IaaS . „W tym miejscu z pomocą mogą przyjść duzi dostawcy i dostawcy IaaS, udostępniając bezpieczną infrastrukturę IT do wynajęcia. Na przykład w 1cloud.ru umieszczamy nasz sprzęt w centrum danych, zgodnie ze standardem Tier III i pomóc klientom spełnić wymagania rosyjskiej ustawy federalnej nr 152 „O danych osobowych”.
Фото - — Rozpryskiwanie
Istnieje również przeciwny punkt widzenia, że problem nie leży w samym prawie, ale w chęci firm do wypełniania jego wymagań jedynie formalnie. Jeden z mieszkańców Hacker News : przyczyną wycieków danych osobowych jest fakt, że organizacje najprostszych mechanizmów weryfikacji, które podyktowane są zdrowym rozsądkiem.
Tak czy inaczej Unia Europejska nie zamierza w najbliższej przyszłości porzucić RODO, więc sytuacja, która została wyjaśniona podczas konferencji Black Hat, powinna stanowić zachętę dla firm do zwracania większej uwagi na bezpieczeństwo danych osobowych.
O czym piszemy na naszych blogach i portalach społecznościowych:
Infrastruktura 1cloud w Moskwie w Dataspace. Jest to pierwsze rosyjskie centrum danych, które uzyskało certyfikat Tier lll wydany przez Uptime Institute.
Źródło: www.habr.com