ProHoster > Blog > Uprava > Kako je GDPR povzročil uhajanje osebnih podatkov
Kako je GDPR povzročil uhajanje osebnih podatkov
GDPR je bila ustvarjena, da državljanom EU omogoči večji nadzor nad njihovimi osebnimi podatki. In kar zadeva število pritožb, je bil cilj "dosežen": v zadnjem letu so Evropejci začeli pogosteje prijavljati kršitve podjetij, podjetja sama pa so prejela veliko predpisov in začel hitro zapirati ranljivosti, da ne bi prejel globe. Toda »naenkrat« se je izkazalo, da je GDPR najbolj viden in učinkovit, ko gre bodisi za izogibanje finančnim sankcijam bodisi za samo potrebo po njenem spoštovanju. In še več – posodobljena uredba, ki je namenjena zaustavitvi uhajanja osebnih podatkov, postane njihov vzrok.
V skladu z GDPR imajo državljani EU pravico zahtevati kopijo svojih osebnih podatkov, shranjenih na strežnikih podjetja. Pred kratkim je postalo znano, da se ta mehanizem lahko uporablja za zbiranje PD druge osebe. Eden od udeležencev konference Black Hat izvedli poskus, med katerim je od različnih podjetij prejel arhive z osebnimi podatki svoje zaročenke. Ustrezne prošnje je v njenem imenu poslal 150 organizacijam. Zanimivo je, da je 24 % podjetij kot dokazilo o identiteti potrebovalo le elektronski naslov in telefonsko številko – po prejemu so vrnili arhiv z datotekami. Približno 16 % organizacij je dodatno zahtevalo fotografije potnega lista (ali drugega dokumenta).
Kot rezultat je Jamesu uspelo pridobiti številko socialnega zavarovanja in kreditne kartice, datum rojstva, dekliški priimek in naslov bivanja svoje "žrtve". Ena storitev, ki vam omogoča, da preverite, ali je e-poštni naslov pricurljal (primer storitve bi bil Sem bil opeharjen?), celo poslal seznam predhodno uporabljenih podatkov za preverjanje pristnosti. Te informacije lahko privedejo do vdora, če uporabnik nikoli ni spremenil gesel ali jih uporabil kje drugje.
Obstajajo tudi drugi primeri, ko so podatki končali v napačnih rokah, potem ko so bili »napačno« poslani. Torej, pred tremi meseci eden od uporabnikov Reddita zahtevano osebne podatke o sebi iz Epic Games. Vendar je pomotoma poslala njegov PD drugemu igralcu. Podobna zgodba se je zgodila lani. Amazonova stranka Prejel sem ga po naključju 100-megabajtni arhiv z internetnimi zahtevami Alexa in na tisoče datotek WAF drugega uporabnika.
Strokovnjaki pravijo, da je eden glavnih razlogov za nastanek takšnih situacij nedorečenost Splošne uredbe o varstvu podatkov. GDPR zlasti določa časovni okvir, v katerem mora podjetje odgovoriti na zahteve uporabnikov (v enem mesecu), in določa globe – do 20 milijonov evrov ali 4 % letnega prihodka – za neizpolnjevanje te zahteve. Dejanski postopki, ki naj bi podjetjem pomagali spoštovati zakonodajo (na primer zagotoviti, da so podatki poslani lastniku), pa v njem niso navedeni. Zato morajo organizacije samostojno (včasih s poskusi in napakami) graditi svoje delovne procese.
Kako lahko izboljšam stanje?
Eden najbolj radikalnih predlogov je opustitev GDPR ali njena korenita predelava. Obstaja mnenje, da zakon v sedanji obliki ne deluje, saj je zelo zapleteno in pretirano strog, zato morate porabiti veliko denarja, da izpolnite vse njegove zahteve.
Na primer, lani so bili razvijalci igre Super Monday Night Combat prisiljeni preklicati svoj projekt. Po mnenju njegovih ustvarjalcev je proračun potreben za preoblikovanje sistemov za GDPR presežen proračun, dodeljen sedem let stari igri.
»Mala in srednje velika podjetja res pogosto nimajo tehnoloških in človeških virov, da bi razumela zahteve regulatorjev in opravila potrebne priprave,« komentira Sergey Belkin, vodja razvojnega oddelka ponudnika IaaS. 1cloud.ru. »Tu lahko priskočijo na pomoč veliki prodajalci in ponudniki IaaS, ki nudijo varno IT infrastrukturo za najem. Na primer, na 1cloud.ru svojo opremo postavimo v podatkovni center, certificiran v skladu s standardom Tier III in pomaga strankam pri izpolnjevanju zahtev ruskega zveznega zakona-152 "O osebnih podatkih".
Obstaja tudi nasprotno stališče, da tukaj ni problem v samem zakonu, ampak v želji podjetij, da le formalno izpolnjujejo njegove zahteve. Eden od rezidentov Hacker News opozoriti: razlog za odtekanje osebnih podatkov je v tem, da organizacije ne izvajajo najenostavnejši mehanizmi preverjanja, ki jih narekuje zdrava pamet.
Evropska unija tako ali drugače ne bo opustila GDPR v bližnji prihodnosti, zato bi morala situacija, ki je bila razsvetljena na Black Hat konferenci, služiti kot spodbuda za podjetja, da več pozornosti namenijo varnosti osebnih podatkov.
O čem pišemo na naših blogih in družbenih omrežjih:
1cloud infrastruktura v Moskvi se nahaja v podatkovnem prostoru. To je prvi ruski podatkovni center, ki je pridobil certifikat Tier lll s strani Uptime Institute.