GDPR a fost creat pentru a oferi cetățenilor UE mai mult control asupra datelor lor personale. Și în ceea ce privește numărul de reclamații, obiectivul a fost „atins”: în ultimul an, europenii au început să raporteze încălcările din partea companiilor mai des, iar companiile însele au primit și a început să închidă rapid vulnerabilitățile pentru a nu primi o amendă. Dar „deodată” s-a dovedit că GDPR este cel mai vizibil și mai eficient atunci când vine vorba fie de sustragerea sancțiunilor financiare, fie de nevoia de a-l respecta. Și chiar mai mult - conceput pentru a pune capăt scurgerilor de date cu caracter personal, regulamentul actualizat devine cauza lor.
Să vă spunem ce se întâmplă aici.
Фото - — Unsplash
Care este problema
Conform GDPR, cetățenii UE au dreptul de a solicita o copie a datelor lor personale stocate pe serverele unei companii. Recent a devenit cunoscut faptul că acest mecanism poate fi folosit pentru a colecta PD a altei persoane. Unul dintre participanții la conferința Black Hat , timp în care a primit arhive cu date personale ale logodnicei sale de la diverse firme. El a trimis cereri relevante în numele ei către 150 de organizații. Interesant este că 24% dintre companii au avut nevoie doar de o adresă de email și un număr de telefon ca dovadă a identității – după ce le-au primit, au returnat o arhivă cu fișiere. Aproximativ 16% dintre organizații au solicitat în plus fotografii ale unui pașaport (sau alt document).
Drept urmare, James a putut să obțină numerele de securitate socială și de card de credit, data nașterii, numele de fată și adresa de domiciliu a „victimei” sale. Un serviciu care vă permite să verificați dacă o adresă de e-mail a fost scursă (un exemplu de serviciu ar fi ), a trimis chiar și o listă de date de autentificare utilizate anterior. Aceste informații pot duce la hacking dacă utilizatorul nu a schimbat niciodată parolele sau le-a folosit în altă parte.
Există și alte exemple în care datele au ajuns în mâini greșite după ce au fost trimise „eronat”. Deci, acum trei luni, unul dintre utilizatorii Reddit informații personale despre tine din Epic Games. Cu toate acestea, ea a trimis din greșeală PD-ul lui unui alt jucător. O poveste similară s-a întâmplat anul trecut. Client Amazon O arhivă de 100 de megabiți cu solicitări de internet către Alexa și mii de fișiere WAF ale altui utilizator.
Фото - — Unsplash
Experții spun că unul dintre principalele motive pentru apariția unor astfel de situații este incompletitudinea Regulamentului general privind protecția datelor. În special, GDPR specifică intervalul de timp în care o companie trebuie să răspundă solicitărilor utilizatorilor (în termen de o lună) și precizează amenzi – până la 20 de milioane de euro sau 4% din veniturile anuale – pentru nerespectarea acestei cerințe. Cu toate acestea, procedurile efective care ar trebui să ajute companiile să respecte legea (de exemplu, să se asigure că datele sunt trimise proprietarului său) nu sunt specificate în acesta. Prin urmare, organizațiile trebuie să își construiască în mod independent (uneori prin încercări și erori) procesele de lucru.
Cum pot îmbunătăți situația?
Una dintre cele mai radicale propuneri este de a abandona GDPR sau de a-l reface radical. Există o părere că în forma ei actuală legea nu funcționează, deoarece este foarte și prea strict și trebuie să cheltuiți mulți bani pentru a îndeplini toate cerințele sale.
De exemplu, anul trecut dezvoltatorii jocului Super Monday Night Combat au fost nevoiți să-și anuleze proiectul. Potrivit creatorilor săi, bugetul necesar reproiectării sistemelor pentru GDPR , alocat jocului de șapte ani.
„Întreprinderile mici și mijlocii de multe ori nu au resursele tehnologice și umane pentru a înțelege cerințele autorităților de reglementare și pentru a face pregătirile necesare”, comentează Sergey Belkin, șeful departamentului de dezvoltare al furnizorului IaaS. . „Acesta este locul în care furnizorii mari și furnizorii IaaS pot veni în ajutor, oferind infrastructură IT sigură pentru închiriere. De exemplu, la 1cloud.ru ne plasăm echipamentele într-un centru de date, conform standardului de nivel III și ajută clienții să respecte cerințele Legii federale ruse-152 „Cu privire la datele cu caracter personal”.
Фото - — Unsplash
Există și un punct de vedere opus, că problema aici nu este în legea în sine, ci în dorința companiilor de a-și îndeplini cerințele doar formal. Unul dintre locuitorii Hacker News : motivul scurgerii de date cu caracter personal constă în faptul că organizațiile cele mai simple mecanisme de verificare, care sunt dictate de bunul simț.
Într-un fel sau altul, Uniunea Europeană nu va abandona GDPR în viitorul apropiat, așa că situația care a fost făcută lumină în timpul conferinței Black Hat ar trebui să servească drept stimulent pentru companii să acorde mai multă atenție securității datelor cu caracter personal.
Despre ce scriem pe blogurile și rețelele noastre sociale:
1 infrastructură cloud în Moscova în Dataspace. Acesta este primul centru de date din Rusia care a promovat certificarea Tier lll de la Uptime Institute.
Sursa: www.habr.com