โปรโฮสต์ > บล็อก > การบริหาร > GDPR ทำให้ข้อมูลส่วนบุคคลรั่วไหลได้อย่างไร

GDPR ทำให้ข้อมูลส่วนบุคคลรั่วไหลได้อย่างไร

GDPR ถูกสร้างขึ้นเพื่อให้พลเมืองสหภาพยุโรปสามารถควบคุมข้อมูลส่วนบุคคลของตนได้มากขึ้น และในแง่ของจำนวนข้อร้องเรียน เป้าหมายคือ "บรรลุผล": ในปีที่ผ่านมา ชาวยุโรปเริ่มรายงานการละเมิดโดยบริษัทต่างๆ บ่อยขึ้น และบริษัทเองก็ได้รับ กฎระเบียบมากมาย และเริ่มปิดช่องโหว่อย่างรวดเร็วเพื่อไม่ให้ถูกปรับ แต่ "ทันใดนั้น" กลับกลายเป็นว่า GDPR นั้นมองเห็นได้ชัดเจนและมีประสิทธิภาพมากที่สุดเมื่อต้องหลีกเลี่ยงการคว่ำบาตรทางการเงินหรือจำเป็นต้องปฏิบัติตาม และยิ่งกว่านั้น - ออกแบบมาเพื่อยุติการรั่วไหลของข้อมูลส่วนบุคคล กฎระเบียบที่ได้รับการปรับปรุงจึงกลายเป็นต้นเหตุ

เรามาบอกคุณว่าเกิดอะไรขึ้นที่นี่

GDPR ทำให้ข้อมูลส่วนบุคคลรั่วไหลได้อย่างไร
ภาพถ่าย — ดาน มอย — อันสแปลช

อะไรคือปัญหา

ภายใต้ GDPR พลเมืองสหภาพยุโรปมีสิทธิ์ขอสำเนาข้อมูลส่วนบุคคลของตนที่จัดเก็บไว้ในเซิร์ฟเวอร์ของบริษัท เมื่อเร็วๆ นี้ทราบว่ากลไกนี้สามารถใช้เพื่อรวบรวม PD ของบุคคลอื่นได้ หนึ่งในผู้เข้าร่วมการประชุม Black Hat ได้ทำการทดลองซึ่งในระหว่างนั้นเขาได้รับเอกสารสำคัญพร้อมข้อมูลส่วนบุคคลของคู่หมั้นของเขาจากบริษัทต่างๆ เขาส่งคำขอที่เกี่ยวข้องในนามของเธอไปยังองค์กร 150 แห่ง ที่น่าสนใจคือ 24% ของบริษัทต้องการเพียงที่อยู่อีเมลและหมายเลขโทรศัพท์เพื่อเป็นหลักฐานระบุตัวตน หลังจากได้รับแล้ว พวกเขาจึงส่งคืนไฟล์เก็บถาวรพร้อมไฟล์ต่างๆ ประมาณ 16% ขององค์กรขอรูปถ่ายหนังสือเดินทาง (หรือเอกสารอื่น ๆ) เพิ่มเติม

เป็นผลให้เจมส์ได้รับหมายเลขประกันสังคมและบัตรเครดิต วันเกิด นามสกุลเดิม และที่อยู่อาศัยของ “เหยื่อ” ของเขา บริการหนึ่งที่ช่วยให้คุณตรวจสอบว่าที่อยู่อีเมลรั่วไหลหรือไม่ (ตัวอย่างบริการอาจเป็น ฉันโดนหลอกหรือเปล่า?) แม้กระทั่งส่งรายการข้อมูลการตรวจสอบสิทธิ์ที่ใช้ก่อนหน้านี้ด้วย ข้อมูลนี้อาจนำไปสู่การแฮ็กหากผู้ใช้ไม่เคยเปลี่ยนรหัสผ่านหรือใช้ที่อื่น

มีตัวอย่างอื่นๆ ที่ข้อมูลไปอยู่ในมือผิดหลังจากถูกส่ง "ผิดพลาด" เมื่อสามเดือนที่แล้ว หนึ่งในผู้ใช้ Reddit ร้องขอ ข้อมูลส่วนบุคคลเกี่ยวกับตัวคุณจาก Epic Games อย่างไรก็ตาม เธอส่ง PD ของเขาไปให้ผู้เล่นคนอื่นโดยไม่ได้ตั้งใจ เรื่องราวที่คล้ายกันนี้เกิดขึ้นเมื่อปีที่แล้ว ลูกค้าอเมซอน ฉันได้รับมันโดยบังเอิญ ไฟล์เก็บถาวรขนาด 100 เมกะไบต์พร้อมคำขออินเทอร์เน็ตไปยัง Alexa และไฟล์ WAF นับพันไฟล์ของผู้ใช้รายอื่น

GDPR ทำให้ข้อมูลส่วนบุคคลรั่วไหลได้อย่างไร
ภาพถ่าย — ทอม โซโดจ — อันสแปลช

ผู้เชี่ยวชาญกล่าวว่าสาเหตุหลักประการหนึ่งที่ทำให้เกิดสถานการณ์ดังกล่าวคือความไม่สมบูรณ์ของกฎระเบียบคุ้มครองข้อมูลทั่วไป โดยเฉพาะอย่างยิ่ง GDPR ระบุกรอบเวลาที่บริษัทจะต้องตอบสนองต่อคำขอของผู้ใช้ (ภายในหนึ่งเดือน) และระบุค่าปรับ สูงสุด 20 ล้านยูโรหรือ 4% ของรายได้ต่อปี หากไม่ปฏิบัติตามข้อกำหนดนี้ อย่างไรก็ตาม ไม่มีการระบุขั้นตอนจริงที่ควรช่วยให้บริษัทปฏิบัติตามกฎหมาย (เช่น การตรวจสอบให้แน่ใจว่าข้อมูลถูกส่งไปยังเจ้าของ) ดังนั้นองค์กรจึงต้องสร้างกระบวนการทำงานอย่างอิสระ (บางครั้งก็ผ่านการลองผิดลองถูก)

ฉันจะปรับปรุงสถานการณ์ได้อย่างไร?

ข้อเสนอที่รุนแรงที่สุดประการหนึ่งคือการละทิ้ง GDPR หรือสร้างใหม่อย่างรุนแรง มีความเห็นว่าในรูปแบบปัจจุบันกฎหมายใช้ไม่ได้ผลเนื่องจากมีอยู่มาก ซับซ้อน และเข้มงวดเกินไป และคุณต้องใช้เงินจำนวนมากเพื่อให้เป็นไปตามข้อกำหนดทั้งหมด

ตัวอย่างเช่น ปีที่แล้วผู้พัฒนาเกม Super Monday Night Combat ถูกบังคับให้ยกเลิกโปรเจ็กต์ของตน ตามที่ผู้สร้างระบุ งบประมาณที่จำเป็นในการออกแบบระบบใหม่สำหรับ GDPR เกินงบประมาณจัดสรรให้กับเกมอายุเจ็ดขวบ

“ธุรกิจขนาดเล็กและขนาดกลางมักไม่มีทรัพยากรทางเทคโนโลยีและมนุษย์ที่จะเข้าใจข้อกำหนดของหน่วยงานกำกับดูแล และเตรียมการที่จำเป็น” Sergey Belkin หัวหน้าแผนกพัฒนาของผู้ให้บริการ IaaS ให้ความเห็น 1cloud.ru. “นี่คือจุดที่ผู้จำหน่ายรายใหญ่และผู้ให้บริการ IaaS สามารถเข้ามาช่วยเหลือได้ โดยจัดหาโครงสร้างพื้นฐานด้านไอทีที่ปลอดภัยให้เช่า ตัวอย่างเช่น ที่ 1cloud.ru เราวางอุปกรณ์ของเราไว้ในศูนย์ข้อมูล ได้รับการรับรอง ตามมาตรฐานระดับ III และช่วยให้ลูกค้าปฏิบัติตามข้อกำหนดของกฎหมายสหพันธรัฐรัสเซีย-152 “เกี่ยวกับข้อมูลส่วนบุคคล”

GDPR ทำให้ข้อมูลส่วนบุคคลรั่วไหลได้อย่างไร
ภาพถ่าย — chromatograph — อันสแปลช

นอกจากนี้ยังมีมุมมองที่ตรงกันข้ามคือปัญหาไม่ได้อยู่ที่ตัวกฎหมาย แต่เป็นความปรารถนาของบริษัทต่างๆ ที่จะปฏิบัติตามข้อกำหนดอย่างเป็นทางการเท่านั้น หนึ่งในผู้อยู่อาศัยของ Hacker News เขาตั้งข้อสังเกต: สาเหตุของการรั่วไหลของข้อมูลส่วนบุคคลอยู่ที่องค์กรต่างๆ อย่าใช้ กลไกการตรวจสอบที่ง่ายที่สุดซึ่งกำหนดโดยสามัญสำนึก

ไม่ทางใดก็ทางหนึ่งสหภาพยุโรปจะไม่ละทิ้ง GDPR ในอนาคตอันใกล้นี้ ดังนั้นสถานการณ์ที่เกิดขึ้นในระหว่างการประชุม Black Hat น่าจะเป็นแรงจูงใจให้บริษัทต่างๆ ให้ความสำคัญกับความปลอดภัยของข้อมูลส่วนบุคคลมากขึ้น

สิ่งที่เราเขียนเกี่ยวกับบล็อกและโซเชียลเน็ตเวิร์กของเรา:

GDPR ทำให้ข้อมูลส่วนบุคคลรั่วไหลได้อย่างไร 766 กม. - สถิติใหม่ของ LoRaWAN
GDPR ทำให้ข้อมูลส่วนบุคคลรั่วไหลได้อย่างไร ใครใช้โปรโตคอลการตรวจสอบสิทธิ์ SAML 2.0

GDPR ทำให้ข้อมูลส่วนบุคคลรั่วไหลได้อย่างไร Big Data: โอกาสอันยิ่งใหญ่หรือการหลอกลวงครั้งใหญ่
GDPR ทำให้ข้อมูลส่วนบุคคลรั่วไหลได้อย่างไร ข้อมูลส่วนบุคคล: คุณลักษณะของระบบคลาวด์สาธารณะ

GDPR ทำให้ข้อมูลส่วนบุคคลรั่วไหลได้อย่างไร หนังสือคัดสรรสำหรับผู้ที่มีส่วนเกี่ยวข้องกับการบริหารระบบอยู่แล้วหรือกำลังวางแผนเริ่มต้น
GDPR ทำให้ข้อมูลส่วนบุคคลรั่วไหลได้อย่างไร การสนับสนุนทางเทคนิคของ 1cloud ทำงานอย่างไร?

GDPR ทำให้ข้อมูลส่วนบุคคลรั่วไหลได้อย่างไร
โครงสร้างพื้นฐานคลาวด์อันดับ 1 ในมอสโก ตั้งอยู่ ในดาต้าสเปซ นี่เป็นศูนย์ข้อมูลแห่งแรกของรัสเซียที่ผ่านการรับรอง Tier lll จาก Uptime Institute

ที่มา: will.com

เพิ่มความคิดเห็น