GDPR ஆனது ஐரோப்பிய ஒன்றிய குடிமக்களுக்கு அவர்களின் தனிப்பட்ட தரவுகளின் மீது கூடுதல் கட்டுப்பாட்டை வழங்குவதற்காக உருவாக்கப்பட்டது. புகார்களின் எண்ணிக்கையைப் பொறுத்தவரை, இலக்கு "அடையப்பட்டது": கடந்த ஆண்டில், ஐரோப்பியர்கள் நிறுவனங்களின் மீறல்களை அடிக்கடி புகாரளிக்கத் தொடங்கினர், மேலும் நிறுவனங்கள் தங்களைப் பெற்றன. பல விதிமுறைகள் அபராதம் பெறாத வகையில் பாதிப்புகளை விரைவாக மூடத் தொடங்கியது. ஆனால் "திடீரென்று" GDPR, நிதித் தடைகளைத் தவிர்ப்பது அல்லது அதற்கு இணங்க வேண்டிய அவசியம் போன்றவற்றில் மிகவும் புலப்படும் மற்றும் பயனுள்ளது என்று மாறியது. மேலும் - தனிப்பட்ட தரவு கசிவுகளுக்கு முற்றுப்புள்ளி வைக்க வடிவமைக்கப்பட்டுள்ளது, புதுப்பிக்கப்பட்ட ஒழுங்குமுறை அவற்றின் காரணமாகிறது.
GDPR இன் கீழ், EU குடிமக்கள் ஒரு நிறுவனத்தின் சேவையகங்களில் சேமிக்கப்பட்ட தங்கள் தனிப்பட்ட தரவின் நகலைக் கோருவதற்கான உரிமையைக் கொண்டுள்ளனர். இந்த பொறிமுறையை மற்றொரு நபரின் PD சேகரிக்க பயன்படுத்தலாம் என்பது சமீபத்தில் அறியப்பட்டது. பிளாக் ஹாட் மாநாட்டில் பங்கேற்றவர்களில் ஒருவர் ஒரு சோதனை நடத்தினார், அவர் பல்வேறு நிறுவனங்களில் இருந்து தனது வருங்கால மனைவியின் தனிப்பட்ட தரவுகளுடன் காப்பகங்களைப் பெற்றார். அவர் சார்பாக 150 அமைப்புகளுக்கு உரிய கோரிக்கைகளை அனுப்பினார். சுவாரஸ்யமாக, 24% நிறுவனங்களுக்கு அடையாளச் சான்றாக மின்னஞ்சல் முகவரி மற்றும் தொலைபேசி எண் மட்டுமே தேவை - அவற்றைப் பெற்ற பிறகு, அவர்கள் கோப்புகளுடன் ஒரு காப்பகத்தைத் திருப்பி அனுப்பினர். சுமார் 16% நிறுவனங்கள் கூடுதலாக பாஸ்போர்ட்டின் (அல்லது பிற ஆவணத்தின்) புகைப்படங்களைக் கோரின.
இதன் விளைவாக, ஜேம்ஸ் தனது "பாதிக்கப்பட்டவரின்" சமூக பாதுகாப்பு மற்றும் கிரெடிட் கார்டு எண்கள், பிறந்த தேதி, இயற்பெயர் மற்றும் குடியிருப்பு முகவரி ஆகியவற்றைப் பெற முடிந்தது. மின்னஞ்சல் முகவரி கசிந்ததா என்பதைச் சரிபார்க்க உங்களை அனுமதிக்கும் ஒரு சேவை (ஒரு சேவையின் உதாரணம் நான் ஏமாற்றப்பட்டேனா?), முன்பு பயன்படுத்தப்பட்ட அங்கீகாரத் தரவின் பட்டியலையும் அனுப்பியது. பயனர் ஒருபோதும் கடவுச்சொற்களை மாற்றவில்லை அல்லது வேறு எங்காவது பயன்படுத்தினால் இந்தத் தகவல் ஹேக்கிங்கிற்கு வழிவகுக்கும்.
தரவு "தவறாக" அனுப்பப்பட்ட பிறகு தவறான கைகளில் முடிந்தது என்பதற்கு வேறு எடுத்துக்காட்டுகள் உள்ளன. எனவே, மூன்று மாதங்களுக்கு முன்பு Reddit பயனர்களில் ஒருவர் கோரப்பட்டது எபிக் கேம்களில் இருந்து உங்களைப் பற்றிய தனிப்பட்ட தகவல்கள். இருப்பினும், அவள் தவறுதலாக அவனுடைய PDயை வேறொரு வீரருக்கு அனுப்பினாள். கடந்த ஆண்டு இதே போன்ற ஒரு கதை நடந்தது. அமேசான் கிளையண்ட் நான் தற்செயலாக அதைப் பெற்றேன் அலெக்சாவிற்கான இணைய கோரிக்கைகள் மற்றும் மற்றொரு பயனரின் ஆயிரக்கணக்கான WAF கோப்புகளுடன் கூடிய 100 மெகாபைட் காப்பகம்.
இத்தகைய சூழ்நிலைகள் ஏற்படுவதற்கான முக்கிய காரணங்களில் ஒன்று பொது தரவு பாதுகாப்பு ஒழுங்குமுறையின் முழுமையற்ற தன்மை என்று நிபுணர்கள் கூறுகின்றனர். குறிப்பாக, GDPR ஆனது பயனர் கோரிக்கைகளுக்கு (ஒரு மாதத்திற்குள்) நிறுவனம் பதிலளிக்க வேண்டிய காலக்கெடுவைக் குறிப்பிடுகிறது மற்றும் இந்தத் தேவைக்கு இணங்கத் தவறினால் 20 மில்லியன் யூரோக்கள் அல்லது வருடாந்திர வருவாயில் 4% வரை அபராதம் விதிக்கிறது. இருப்பினும், நிறுவனங்கள் சட்டத்திற்கு இணங்க உதவும் உண்மையான நடைமுறைகள் (எடுத்துக்காட்டாக, தரவு அதன் உரிமையாளருக்கு அனுப்பப்படுவதை உறுதிசெய்தல்) அதில் குறிப்பிடப்படவில்லை. எனவே, நிறுவனங்கள் சுயாதீனமாக (சில நேரங்களில் சோதனை மற்றும் பிழை மூலம்) தங்கள் பணி செயல்முறைகளை உருவாக்க வேண்டும்.
நான் எப்படி நிலைமையை மேம்படுத்த முடியும்?
GDPR ஐ கைவிடுவது அல்லது தீவிரமாக ரீமேக் செய்வது என்பது மிகவும் தீவிரமான திட்டங்களில் ஒன்றாகும். அதன் தற்போதைய வடிவத்தில் சட்டம் வேலை செய்யாது என்று ஒரு கருத்து உள்ளது, ஏனெனில் அது மிகவும் உள்ளது சிக்கலான மற்றும் மிகவும் கண்டிப்பானது, மேலும் அதன் அனைத்து தேவைகளையும் பூர்த்தி செய்ய நீங்கள் நிறைய பணம் செலவழிக்க வேண்டும்.
எடுத்துக்காட்டாக, கடந்த ஆண்டு சூப்பர் திங்கள் இரவு காம்பாட் விளையாட்டின் டெவலப்பர்கள் தங்கள் திட்டத்தை ரத்து செய்ய வேண்டிய கட்டாயம் ஏற்பட்டது. அதன் படைப்பாளிகளின் கூற்றுப்படி, GDPRக்கான அமைப்புகளை மறுவடிவமைப்பு செய்ய பட்ஜெட் தேவைப்படுகிறது பட்ஜெட்டை தாண்டியது, ஏழு வயது விளையாட்டுக்கு ஒதுக்கப்பட்டது.
"சிறு மற்றும் நடுத்தர அளவிலான வணிகங்கள் பெரும்பாலும் கட்டுப்பாட்டாளர்களின் தேவைகளைப் புரிந்துகொள்வதற்கும் தேவையான தயாரிப்புகளைச் செய்வதற்கும் தொழில்நுட்ப மற்றும் மனித வளங்களைக் கொண்டிருக்கவில்லை" என்று IaaS வழங்குநரின் மேம்பாட்டுத் துறையின் தலைவர் செர்ஜி பெல்கின் கருத்துரைக்கிறார். 1Cloud.ru. "பெரிய விற்பனையாளர்கள் மற்றும் IaaS வழங்குநர்கள் மீட்புக்கு வர முடியும், இது பாதுகாப்பான தகவல் தொழில்நுட்ப உள்கட்டமைப்பை வாடகைக்கு வழங்குகிறது. எடுத்துக்காட்டாக, 1cloud.ru இல் எங்கள் உபகரணங்களை தரவு மையத்தில் வைக்கிறோம், சான்றளிக்கப்பட்டது அடுக்கு III தரநிலையின்படி மற்றும் வாடிக்கையாளர்களுக்கு ரஷ்ய கூட்டாட்சி சட்டம்-152 "தனிப்பட்ட தரவுகளில்" தேவைகளுக்கு இணங்க உதவுகிறது.
இங்குள்ள பிரச்சனை சட்டத்தில் இல்லை, ஆனால் நிறுவனங்கள் அதன் தேவைகளை முறையாக மட்டுமே பூர்த்தி செய்ய விரும்புகிறது என்ற எதிர் பார்வையும் உள்ளது. ஹேக்கர் நியூஸில் வசிப்பவர்களில் ஒருவர் அவர் குறிப்பிட்டார்: தனிப்பட்ட தரவு கசிவுக்கான காரணம் நிறுவனங்களில் உள்ளது செயல்படுத்த வேண்டாம் எளிய சரிபார்ப்பு வழிமுறைகள், அவை பொது அறிவு மூலம் கட்டளையிடப்படுகின்றன.
ஒரு வழி அல்லது வேறு, ஐரோப்பிய ஒன்றியம் எதிர்காலத்தில் GDPR ஐ கைவிடப் போவதில்லை, எனவே Black Hat மாநாட்டின் போது வெளிச்சம் போடப்பட்ட நிலைமை, தனிப்பட்ட தரவுகளின் பாதுகாப்பில் அதிக கவனம் செலுத்த நிறுவனங்களுக்கு ஊக்கமளிக்கும்.
எங்கள் வலைப்பதிவுகள் மற்றும் சமூக வலைப்பின்னல்களில் நாம் எதைப் பற்றி எழுதுகிறோம்:
மாஸ்கோவில் 1 கிளவுட் உள்கட்டமைப்பு அமைந்துள்ளது டேட்டாஸ்பேஸில். அப்டைம் இன்ஸ்டிடியூட்டில் இருந்து Tier lll சான்றிதழைப் பெற்ற முதல் ரஷ்ய தரவு மையம் இதுவாகும்.