GDPR skapades för att ge EU-medborgare mer kontroll över sina personuppgifter. Och när det gäller antalet klagomål "uppnåddes" målet: under det senaste året började européer oftare rapportera företagsöverträdelser, och företagen själva fick och började snabbt stänga sårbarheter för att inte få böter. Men ”plötsligt” visade det sig att GDPR är mest synlig och effektiv när det kommer till att antingen kringgå ekonomiska sanktioner eller själva behovet av att följa den. Och ännu mer – utformad för att sätta stopp för persondataläckor, blir den uppdaterade förordningen deras orsak.
Låt oss berätta vad som händer här.
Фото - — unsplash
Vad är problemet
Enligt GDPR har EU-medborgare rätt att begära en kopia av sina personuppgifter som lagras på ett företags servrar. Nyligen blev det känt att denna mekanism kan användas för att samla in en annan persons PD. En av deltagarna på Black Hat-konferensen , under vilken han fick arkiv med personuppgifter om sin fästmö från olika företag. Han skickade relevanta förfrågningar å hennes vägnar till 150 organisationer. Intressant nog behövde 24 % av företagen bara en e-postadress och ett telefonnummer som bevis på identitet – efter att ha fått dem returnerade de ett arkiv med filer. Cirka 16 % av organisationerna begärde dessutom fotografier av ett pass (eller annat dokument).
Som ett resultat kunde James få socialförsäkrings- och kreditkortsnummer, födelsedatum, flicknamn och bostadsadress för sitt "offer". En tjänst som låter dig kontrollera om en e-postadress har läckt (ett exempel på en tjänst skulle vara ), skickade till och med en lista över tidigare använda autentiseringsdata. Denna information kan leda till hacking om användaren aldrig ändrat lösenorden eller använt dem någon annanstans.
Det finns andra exempel där data hamnat i fel händer efter att ha skickats "felaktigt". Så, för tre månader sedan en av Reddit-användarna personlig information om dig själv från Epic Games. Men hon skickade av misstag hans PD till en annan spelare. En liknande historia hände förra året. Amazon klient Ett 100-megabyte arkiv med Internetförfrågningar till Alexa och tusentals WAF-filer från en annan användare.
Фото - — unsplash
Experter säger att en av huvudorsakerna till att sådana situationer uppstår är ofullständigheten i den allmänna dataskyddsförordningen. I synnerhet specificerar GDPR den tidsram inom vilken ett företag måste svara på användarförfrågningar (inom en månad) och specificerar böter – upp till 20 miljoner euro eller 4 % av den årliga omsättningen – för underlåtenhet att uppfylla detta krav. De faktiska förfarandena som ska hjälpa företag att följa lagen (till exempel se till att data skickas till dess ägare) anges inte i den. Därför måste organisationer självständigt (ibland genom försök och misstag) bygga sina arbetsprocesser.
Hur kan jag förbättra situationen?
Ett av de mest radikala förslagen är att överge GDPR eller radikalt göra om den. Det finns en uppfattning om att lagen i sin nuvarande form inte fungerar, eftersom den är mycket och alltför strikt, och du måste spendera mycket pengar för att uppfylla alla dess krav.
Till exempel, förra året tvingades utvecklarna av spelet Super Monday Night Combat att avbryta sitt projekt. Enligt dess skapare, den budget som krävs för att designa om system för GDPR , allokerad till det sjuåriga spelet.
"Små och medelstora företag har verkligen ofta inte de tekniska och mänskliga resurserna för att förstå kraven från tillsynsmyndigheter och göra de nödvändiga förberedelserna", kommenterar Sergey Belkin, chef för utvecklingsavdelningen för IaaS-leverantören . "Det är här stora leverantörer och IaaS-leverantörer kan komma till undsättning och tillhandahålla säker IT-infrastruktur för uthyrning. Till exempel, på 1cloud.ru placerar vi vår utrustning i ett datacenter, enligt Tier III-standarden och hjälpa kunder att följa kraven i den ryska federala lagen-152 "Om personuppgifter".
Фото - — unsplash
Det finns också en motsatt synpunkt, att problemet här inte ligger i själva lagen, utan i företagens önskan att uppfylla sina krav endast formellt. En av invånarna i Hacker News : orsaken till personuppgiftsläckor ligger i att organisationer de enklaste verifieringsmekanismerna, som dikteras av sunt förnuft.
På ett eller annat sätt kommer Europeiska unionen inte att överge GDPR inom en snar framtid, så situationen som belystes under Black Hat-konferensen bör fungera som ett incitament för företag att ägna mer uppmärksamhet åt säkerheten för personuppgifter.
Vad vi skriver om på våra bloggar och sociala nätverk:
1molninfrastruktur i Moskva i Dataspace. Detta är det första ryska datacentret som klarar Tier lll-certifieringen från Uptime Institute.
Källa: will.com