O GDPR foi criado para dar aos cidadãos da UE mais controle sobre os seus dados pessoais. E em termos do número de reclamações, o objetivo foi “alcançado”: ao longo do ano passado, os europeus começaram a denunciar com mais frequência violações cometidas por empresas, e as próprias empresas receberam e passou a fechar rapidamente as vulnerabilidades para não receber multa. Mas “de repente” descobriu-se que o RGPD é mais visível e eficaz quando se trata de fugir a sanções financeiras ou da própria necessidade de o cumprir. E ainda mais - concebido para pôr fim às fugas de dados pessoais, o regulamento atualizado torna-se a sua causa.
Vamos contar o que está acontecendo aqui.
Фото - - Unsplash
Qual é o problema
Ao abrigo do RGPD, os cidadãos da UE têm o direito de solicitar uma cópia dos seus dados pessoais armazenados nos servidores de uma empresa. Recentemente soube-se que este mecanismo pode ser utilizado para recolher a DP de outra pessoa. Um dos participantes da conferência Black Hat , durante o qual recebeu arquivos com dados pessoais de sua noiva de diversas empresas. Ele enviou solicitações relevantes em seu nome para 150 organizações. Curiosamente, 24% das empresas só precisavam de um endereço de e-mail e um número de telefone como prova de identidade - após recebê-los, devolveram um arquivo com os arquivos. Cerca de 16% das organizações solicitaram adicionalmente fotografias de passaporte (ou outro documento).
Como resultado, James conseguiu obter os números do Seguro Social e do cartão de crédito, data de nascimento, nome de solteira e endereço residencial de sua “vítima”. Um serviço que permite verificar se um endereço de e-mail vazou (um exemplo de serviço seria ), até enviou uma lista de dados de autenticação usados anteriormente. Essas informações podem levar a hackers se o usuário nunca alterar as senhas ou usá-las em outro lugar.
Existem outros exemplos em que os dados acabaram em mãos erradas após serem enviados “erroneamente”. Então, há três meses, um dos usuários do Reddit informações pessoais sobre você da Epic Games. No entanto, ela enviou por engano seu PD para outro jogador. Uma história semelhante aconteceu no ano passado. Cliente Amazon Um arquivo de 100 megabytes com solicitações de Internet para Alexa e milhares de arquivos WAF de outro usuário.
Фото - - Unsplash
Especialistas afirmam que uma das principais razões para a ocorrência de tais situações é a incompletude do Regulamento Geral de Proteção de Dados. Em particular, o RGPD especifica o prazo dentro do qual uma empresa deve responder aos pedidos dos utilizadores (dentro de um mês) e especifica multas – até 20 milhões de euros ou 4% da receita anual – pelo incumprimento deste requisito. No entanto, os procedimentos reais que devem ajudar as empresas a cumprir a lei (por exemplo, garantir que os dados sejam enviados ao seu proprietário) não estão especificados nela. Portanto, as organizações precisam construir de forma independente (às vezes por tentativa e erro) seus processos de trabalho.
Como posso melhorar a situação?
Uma das propostas mais radicais é abandonar o GDPR ou refazê-lo radicalmente. Existe a opinião de que na sua forma atual a lei não funciona, pois é muito e excessivamente rígido, e você terá que gastar muito dinheiro para atender a todos os seus requisitos.
Por exemplo, no ano passado, os desenvolvedores do jogo Super Monday Night Combat foram forçados a cancelar seu projeto. Segundo seus criadores, o orçamento necessário para redesenhar sistemas para GDPR , alocado para o jogo de sete anos.
“Muitas vezes, as pequenas e médias empresas não têm os recursos tecnológicos e humanos para compreender as exigências dos reguladores e fazer os preparativos necessários”, comenta Sergey Belkin, chefe do departamento de desenvolvimento do provedor IaaS . “É aqui que grandes fornecedores e provedores de IaaS podem ajudar, fornecendo infraestrutura de TI segura para aluguel. Por exemplo, em 1cloud.ru colocamos nossos equipamentos em um data center, de acordo com o padrão Tier III e ajudar os clientes a cumprir os requisitos da Lei Federal Russa-152 “Sobre Dados Pessoais”.
Фото - - Unsplash
Há também um ponto de vista oposto, de que o problema aqui não está na lei em si, mas no desejo das empresas de cumprirem as suas exigências apenas formalmente. Um dos moradores do Hacker News : a razão para vazamentos de dados pessoais reside no fato de que as organizações os mecanismos de verificação mais simples, ditados pelo bom senso.
De uma forma ou de outra, a União Europeia não vai abandonar o RGPD num futuro próximo, pelo que a situação que foi esclarecida durante a conferência Black Hat deverá servir de incentivo para que as empresas prestem mais atenção à segurança dos dados pessoais.
Sobre o que escrevemos em nossos blogs e redes sociais:
Infraestrutura 1cloud em Moscou no espaço de dados. Este é o primeiro data center russo a obter a certificação Tier lll do Uptime Institute.
Fonte: habr.com