GDPR u krijua për t'u dhënë qytetarëve të BE-së më shumë kontroll mbi të dhënat e tyre personale. Dhe për sa i përket numrit të ankesave, qëllimi u "arrit": gjatë vitit të kaluar, evropianët filluan të raportojnë më shpesh shkelje nga kompanitë, dhe vetë kompanitë morën dhe filloi të mbyllte shpejt dobësitë për të mos marrë një gjobë. Por "papritmas" doli se GDPR është më i dukshëm dhe efektiv kur bëhet fjalë për shmangien e sanksioneve financiare ose vetë nevojën për t'u pajtuar me të. Dhe akoma më shumë - i krijuar për t'i dhënë fund rrjedhjeve të të dhënave personale, rregullorja e përditësuar bëhet shkaku i tyre.
Le t'ju tregojmë se çfarë po ndodh këtu.
Фото - - Zhduk
Cili është problemi
Sipas GDPR, qytetarët e BE-së kanë të drejtë të kërkojnë një kopje të të dhënave të tyre personale të ruajtura në serverët e një kompanie. Së fundmi u bë e ditur se ky mekanizëm mund të përdoret për të mbledhur PD-në e një personi tjetër. Një nga pjesëmarrësit në konferencën Black Hat , gjatë së cilës ka marrë arkivat me të dhënat personale të të fejuarës së tij nga kompani të ndryshme. Ai u dërgoi kërkesa përkatëse në emër të saj 150 organizatave. Është interesante se 24% e kompanive kishin nevojë vetëm për një adresë emaili dhe një numër telefoni si dëshmi identiteti - pasi i morën ato, ata kthyen një arkiv me skedarë. Rreth 16% e organizatave kërkuan gjithashtu fotografi të një pasaporte (ose dokumenti tjetër).
Si rezultat, James ishte në gjendje të merrte numrat e Sigurimeve Shoqërore dhe të kartës së kreditit, datën e lindjes, mbiemrin e vajzërisë dhe adresën e banimit të "viktimës" së tij. Një shërbim që ju lejon të kontrolloni nëse një adresë emaili ka rrjedhur (një shembull i një shërbimi do të ishte ), madje dërgoi një listë të të dhënave të vërtetimit të përdorura më parë. Ky informacion mund të çojë në hakerim nëse përdoruesi nuk i ka ndryshuar kurrë fjalëkalimet ose i ka përdorur diku tjetër.
Ka shembuj të tjerë ku të dhënat përfunduan në duar të gabuara pasi u dërguan "gabimisht". Pra, tre muaj më parë një nga përdoruesit e Reddit informacione personale për veten tuaj nga Epic Games. Mirëpo, ajo gabimisht ia ka dërguar PD-në e tij një lojtari tjetër. Një histori e ngjashme ka ndodhur edhe vitin e kaluar. Klient i Amazon Një arkiv 100 megabajt me kërkesa në internet për Alexa dhe mijëra skedarë WAF të një përdoruesi tjetër.
Фото - - Zhduk
Ekspertët thonë se një nga arsyet kryesore të shfaqjes së situatave të tilla është paplotësia e Rregullores së Përgjithshme për Mbrojtjen e të Dhënave. Në veçanti, GDPR specifikon kornizën kohore brenda së cilës një kompani duhet t'i përgjigjet kërkesave të përdoruesve (brenda një muaji) dhe specifikon gjoba - deri në 20 milionë euro ose 4% të të ardhurave vjetore - për mospërputhje me këtë kërkesë. Megjithatë, procedurat aktuale që duhet t'i ndihmojnë kompanitë të respektojnë ligjin (për shembull, sigurimi që të dhënat t'i dërgohen pronarit të tij) nuk janë të specifikuara në të. Prandaj, organizatat duhet të ndërtojnë në mënyrë të pavarur (nganjëherë përmes provës dhe gabimit) proceset e tyre të punës.
Si mund ta përmirësoj situatën?
Një nga propozimet më radikale është braktisja e GDPR ose ribërja rrënjësore e tij. Ekziston një mendim se në formën e tij aktuale ligji nuk funksionon, pasi është shumë dhe tepër strikte, dhe duhet të shpenzosh shumë para për të përmbushur të gjitha kërkesat e saj.
Për shembull, vitin e kaluar zhvilluesit e lojës Super Monday Night Combat u detyruan të anulojnë projektin e tyre. Sipas krijuesve të tij, buxheti kërkohet për të ridizajnuar sistemet për GDPR , alokuar për lojën shtatëvjeçare.
"Bizneset e vogla dhe të mesme shpesh nuk kanë burimet teknologjike dhe njerëzore për të kuptuar kërkesat e rregullatorëve dhe për të bërë përgatitjet e nevojshme," komenton Sergey Belkin, kreu i departamentit të zhvillimit të ofruesit IaaS. . “Kjo është vendi ku shitësit e mëdhenj dhe ofruesit e IaaS mund të vijnë në shpëtim, duke ofruar infrastrukturë të sigurt IT me qira. Për shembull, në 1cloud.ru ne vendosim pajisjet tona në një qendër të dhënash, sipas standardit të nivelit III dhe ndihmoni klientët të respektojnë kërkesat e Ligjit Federal Rus-152 "Për të dhënat personale".
Фото - - Zhduk
Ekziston edhe një këndvështrim i kundërt, se këtu problemi nuk është në vetë ligjin, por në dëshirën e kompanive për të përmbushur kërkesat e tij vetëm formalisht. Një nga banorët e Hacker News : arsyeja e rrjedhjes së të dhënave personale qëndron në faktin se organizatat mekanizmat më të thjeshtë të verifikimit, të cilat diktohen nga arsyeja e shëndoshë.
Në një mënyrë apo tjetër, Bashkimi Evropian nuk do të braktisë GDPR në të ardhmen e afërt, ndaj situata që u hodh në dritë gjatë konferencës Black Hat duhet të shërbejë si një nxitje për kompanitë që t'i kushtojnë më shumë vëmendje sigurisë së të dhënave personale.
Për çfarë shkruajmë në bloget dhe rrjetet tona sociale:
1 infrastruktura cloud në Moskë në Dataspace. Kjo është qendra e parë ruse e të dhënave që kalon certifikimin Tier lll nga Instituti Uptime.
Burimi: www.habr.com