GDPR bolo vytvorené s cieľom poskytnúť občanom EÚ väčšiu kontrolu nad ich osobnými údajmi. A pokiaľ ide o počet sťažností, cieľ bol „dosiahnutý“: za posledný rok začali Európania častejšie hlásiť porušenia zo strany spoločností a samotné spoločnosti dostávali a začal rýchlo uzatvárať slabé miesta, aby nedostal pokutu. „Zrazu“ sa však ukázalo, že GDPR je najviditeľnejšie a najúčinnejšie, či už ide o vyhýbanie sa finančným sankciám, alebo o samotnú potrebu ho dodržiavať. A ešte viac – navrhnuté tak, aby ukončili úniky osobných údajov, aktualizované nariadenie sa stáva ich príčinou.
Povedzme si, čo sa tu deje.
Foto — — Odstriekať
Aký je problém
Podľa GDPR majú občania EÚ právo požiadať o kópiu svojich osobných údajov uložených na serveroch spoločnosti. Nedávno sa zistilo, že tento mechanizmus možno použiť na zber PD inej osoby. Jeden z účastníkov konferencie Black Hat , počas ktorej dostával archívy s osobnými údajmi svojej zverenkyne od rôznych spoločností. Poslal v jej mene príslušné žiadosti 150 organizáciám. Zaujímavé je, že 24 % firiem potrebovalo ako doklad totožnosti iba emailovú adresu a telefónne číslo – po ich obdržaní vrátili archív so súbormi. Približne 16 % organizácií si dodatočne vyžiadalo fotografie pasu (alebo iného dokumentu).
V dôsledku toho sa Jamesovi podarilo získať čísla sociálneho zabezpečenia a kreditných kariet, dátum narodenia, rodné priezvisko a adresu bydliska svojej „obete“. Jedna služba, ktorá vám umožňuje skontrolovať, či e-mailová adresa neunikla (príkladom služby by bolo ), dokonca odoslal zoznam predtým použitých autentifikačných údajov. Tieto informácie môžu viesť k hackingu, ak používateľ nikdy nezmenil heslá alebo ich nepoužil niekde inde.
Existujú aj ďalšie príklady, keď údaje po „chybnom“ odoslaní skončili v nesprávnych rukách. Takže pred tromi mesiacmi jeden z používateľov Reddit osobné údaje o sebe z Epic Games. Omylom však poslala jeho PD inému hráčovi. Podobný príbeh sa stal minulý rok. Klient Amazon 100-megabajtový archív s internetovými požiadavkami na Alexa a tisíckami súborov WAF iného používateľa.
Foto — — Odstriekať
Odborníci tvrdia, že jedným z hlavných dôvodov vzniku takýchto situácií je neúplnosť všeobecného nariadenia o ochrane údajov. GDPR špecifikuje najmä časový rámec, v ktorom musí spoločnosť reagovať na požiadavky používateľov (do jedného mesiaca) a stanovuje pokuty – až do výšky 20 miliónov eur alebo 4 % ročného príjmu – za nesplnenie tejto požiadavky. Skutočné postupy, ktoré by mali firmám pomôcť pri dodržiavaní zákona (napríklad zabezpečiť, aby sa údaje odosielali ich vlastníkovi), v ňom však uvedené nie sú. Preto musia organizácie samostatne (niekedy prostredníctvom pokusov a omylov) budovať svoje pracovné procesy.
Ako môžem zlepšiť situáciu?
Jedným z najradikálnejších návrhov je opustiť GDPR alebo ho radikálne prerobiť. Existuje názor, že v súčasnej podobe zákon nefunguje, pretože je veľmi a príliš prísne a musíte minúť veľa peňazí, aby ste splnili všetky jeho požiadavky.
Napríklad minulý rok boli vývojári hry Super Monday Night Combat nútení svoj projekt zrušiť. Podľa jeho tvorcov si rozpočet vyžiadal redizajn systémov pre GDPR , pridelené sedemročnej hre.
„Malé a stredné podniky naozaj často nemajú technologické a ľudské zdroje na to, aby pochopili požiadavky regulátorov a urobili potrebné prípravy,“ komentuje Sergey Belkin, vedúci oddelenia vývoja poskytovateľa IaaS. . „To je miesto, kde môžu veľkí predajcovia a poskytovatelia IaaS prísť na pomoc a poskytnúť zabezpečenú IT infraštruktúru na prenájom. Napríklad na 1cloud.ru umiestňujeme naše vybavenie do dátového centra, podľa štandardu Tier III a pomáha klientom dodržiavať požiadavky ruského federálneho zákona-152 „O osobných údajoch“.
Foto — — Odstriekať
Existuje aj opačný názor, že problém tu nie je v samotnom zákone, ale v túžbe firiem plniť jeho požiadavky len formálne. Jeden z obyvateľov Hacker News : dôvod úniku osobných údajov spočíva v tom, že organizácie najjednoduchšie overovacie mechanizmy, ktoré sú diktované zdravým rozumom.
Tak či onak, Európska únia sa v najbližšom čase GDPR nechystá opustiť, a tak by mala situácia, ktorá zaznela počas konferencie Black Hat, slúžiť ako podnet pre firmy, aby viac dbali na bezpečnosť osobných údajov.
O čom píšeme na našich blogoch a sociálnych sieťach:
1 cloudová infraštruktúra v Moskve v dátovom priestore. Toto je prvé ruské dátové centrum, ktoré prešlo certifikáciou Tier lll od inštitútu Uptime.
Zdroj: hab.com