ГДПР је створен да грађанима ЕУ омогући већу контролу над њиховим личним подацима. А што се тиче броја притужби, циљ је „остварен“: током протекле године Европљани су почели све чешће да пријављују кршења од стране компанија, а саме компаније су добиле и почео брзо да затвара пропусте како не би добио казну. Али „одједном“ се показало да је ГДПР највидљивији и најефикаснији када је реч о избегавању финансијских санкција или самој потреби да га се поштује. И још више – осмишљена да стане на крај цурењу личних података, ажурирани пропис постаје њихов узрок.
Хајде да вам кажемо шта се овде дешава.
Фото - — Унспласх
У чему је проблем
Према ГДПР-у, грађани ЕУ имају право да затраже копију својих личних података који се чувају на серверима компаније. Недавно је постало познато да се овај механизам може користити за прикупљање ПД друге особе. Један од учесника конференције Блацк Хат , при чему је из разних компанија добијао архиве са личним подацима своје веренице. Он је у њено име послао релевантне захтеве за 150 организација. Занимљиво, 24 одсто компанија су биле потребне само имејл адреса и број телефона као доказ идентитета – након што су их примили, вратили су архиву са фајловима. Око 16% организација је додатно тражило фотографије пасоша (или другог документа).
Као резултат тога, Џејмс је успео да добије бројеве социјалног осигурања и кредитне картице, датум рођења, девојачко презиме и адресу становања своје „жртве“. Једна услуга која вам омогућава да проверите да ли је адреса е-поште процурила (пример услуге би био ), чак је послао и листу претходно коришћених података за аутентификацију. Ове информације могу довести до хаковања ако корисник никада није променио лозинке или их користио негде другде.
Постоје и други примери где су подаци завршили у погрешним рукама након што су „погрешно“ послани. Дакле, пре три месеца један од корисника Реддита личне податке о себи из Епиц Гамеса. Међутим, грешком је послала његов ПД другом играчу. Слична прича десила се и прошле године. Амазон клијент Архива од 100 мегабајта са интернет захтевима за Алека и хиљадама ВАФ датотека другог корисника.
Фото - — Унспласх
Стручњаци сматрају да је један од главних разлога за појаву оваквих ситуација некомплетност Опште уредбе о заштити података. Конкретно, ГДПР прецизира временски оквир у којем компанија мора да одговори на захтеве корисника (у року од месец дана) и наводи казне—до 20 милиона евра или 4% годишњег прихода—за непоштовање овог захтева. Међутим, у њему нису наведене стварне процедуре које би требало да помогну компанијама да се придржавају закона (на пример, да се постарају да се подаци шаљу власнику). Стога организације морају самостално (понекад путем покушаја и грешака) да граде своје радне процесе.
Како да побољшам ситуацију?
Један од најрадикалнијих предлога је да се напусти ГДПР или да се радикално преправи. Постоји мишљење да у садашњем облику закон не функционише, јер је веома и претерано строга, и морате да потрошите много новца да бисте испунили све његове захтеве.
На пример, прошле године су програмери игре Супер Мондаи Нигхт Цомбат били приморани да откажу свој пројекат. Према његовим креаторима, буџет потребан за редизајн система за ГДПР , додељен седмогодишњој игри.
„Мала и средња предузећа заиста често немају технолошке и људске ресурсе да разумеју захтеве регулатора и изврше неопходне припреме“, коментарише Сергеј Белкин, шеф одељења за развој ИааС провајдера . „Овде велики добављачи и ИааС провајдери могу да притекну у помоћ, обезбеђујући сигурну ИТ инфраструктуру за изнајмљивање. На пример, на 1цлоуд.ру постављамо нашу опрему у дата центар, у складу са стандардом Тиер ИИИ и помаже клијентима да се придржавају захтева руског федералног закона-152 „О личним подацима“.
Фото - — Унспласх
Постоји и супротна тачка гледишта, да овде није проблем у самом закону, већ у жељи компанија да само формално испуне његове захтеве. Један од становника Хакерских вести : разлог за цурење личних података лежи у чињеници да организације најједноставнији механизми верификације, које диктира здрав разум.
На овај или онај начин, Европска унија неће у блиској будућности одустати од ГДПР-а, па би ситуација која је расветљена током конференције Блацк Хат требало да послужи као подстицај компанијама да посвете више пажње безбедности личних података.
О чему пишемо на нашим блоговима и друштвеним мрежама:
1 Цлоуд инфраструктура у Москви у простору података. Ово је први руски дата центар који је прошао Тиер лллл сертификат од Уптиме Института.
Извор: ввв.хабр.цом