Ginawa ang GDPR upang bigyan ang mga mamamayan ng EU ng higit na kontrol sa kanilang personal na data. At sa mga tuntunin ng bilang ng mga reklamo, ang layunin ay "nakamit": sa nakalipas na taon, ang mga Europeo ay nagsimulang mag-ulat ng mga paglabag ng mga kumpanya nang mas madalas, at ang mga kumpanya mismo ay tumanggap at nagsimulang mabilis na isara ang mga kahinaan upang hindi makatanggap ng multa. Ngunit "biglang" lumabas na ang GDPR ay pinaka-nakikita at epektibo pagdating sa alinman sa pag-iwas sa mga pinansiyal na parusa o ang mismong pangangailangan na sumunod dito. At higit pa - na idinisenyo upang wakasan ang mga pagtagas ng personal na data, ang na-update na regulasyon ang nagiging dahilan nila.
Sabihin natin kung ano ang nangyayari dito.
--ΠΡΠΎ - β Unsplash
Ano ang problema
Sa ilalim ng GDPR, ang mga mamamayan ng EU ay may karapatang humiling ng kopya ng kanilang personal na data na nakaimbak sa mga server ng kumpanya. Kamakailan ay nalaman na ang mekanismong ito ay maaaring gamitin upang mangolekta ng PD ng ibang tao. Isa sa mga kalahok sa kumperensya ng Black Hat , kung saan nakatanggap siya ng mga archive na may personal na data ng kanyang fiancee mula sa iba't ibang kumpanya. Nagpadala siya ng mga nauugnay na kahilingan sa ngalan niya sa 150 organisasyon. Kapansin-pansin, 24% ng mga kumpanya ay nangangailangan lamang ng isang email address at isang numero ng telepono bilang patunay ng pagkakakilanlan - pagkatapos matanggap ang mga ito, nagbalik sila ng isang archive na may mga file. Humigit-kumulang 16% ng mga organisasyon ang humiling ng mga larawan ng isang pasaporte (o iba pang dokumento).
Dahil dito, nakuha ni James ang Social Security at mga numero ng credit card, petsa ng kapanganakan, pangalan ng dalaga at tirahan ng kanyang "biktima." Isang serbisyo na nagbibigay-daan sa iyong suriin kung ang isang email address ay na-leak (isang halimbawa ng isang serbisyo ay ), kahit na nagpadala ng isang listahan ng dati nang ginamit na data ng pagpapatunay. Ang impormasyong ito ay maaaring humantong sa pag-hack kung hindi kailanman binago ng user ang mga password o ginamit ang mga ito sa ibang lugar.
May iba pang mga halimbawa kung saan ang data ay napunta sa maling mga kamay pagkatapos na "maling" ipadala. Kaya, tatlong buwan na ang nakalipas isa sa mga gumagamit ng Reddit personal na impormasyon tungkol sa iyong sarili mula sa Epic Games. Gayunpaman, nagkamali siyang ipinadala ang kanyang PD sa ibang manlalaro. Ang isang katulad na kuwento ay nangyari noong nakaraang taon. Kliyente ng Amazon Isang 100-megabyte na archive na may mga kahilingan sa Internet kay Alexa at libu-libong WAF file ng isa pang user.
--ΠΡΠΎ - β Unsplash
Sinasabi ng mga eksperto na ang isa sa mga pangunahing dahilan para sa paglitaw ng mga ganitong sitwasyon ay ang hindi kumpleto ng General Data Protection Regulation. Sa partikular, tinutukoy ng GDPR ang time frame kung saan dapat tumugon ang isang kumpanya sa mga kahilingan ng user (sa loob ng isang buwan) at tinutukoy ang mga multaβhanggang 20 milyong euro o 4% ng taunang kitaβpara sa hindi pagsunod sa kinakailangang ito. Gayunpaman, ang mga aktwal na pamamaraan na dapat tumulong sa mga kumpanya na sumunod sa batas (halimbawa, pagtiyak na ang data ay ipinadala sa may-ari nito) ay hindi tinukoy dito. Samakatuwid, ang mga organisasyon ay kailangang independiyente (minsan sa pamamagitan ng pagsubok at pagkakamali) na bumuo ng kanilang mga proseso sa trabaho.
Paano ko mapapabuti ang sitwasyon?
Ang isa sa mga pinaka-radikal na panukala ay ang pag-abandona sa GDPR o radically remake ito. May isang opinyon na sa kasalukuyan nitong anyo ang batas ay hindi gumagana, dahil ito ay napaka at masyadong mahigpit, at kailangan mong gumastos ng maraming pera upang matugunan ang lahat ng mga kinakailangan nito.
Halimbawa, noong nakaraang taon napilitan ang mga developer ng larong Super Monday Night Combat na kanselahin ang kanilang proyekto. Ayon sa mga tagalikha nito, ang badyet na kinakailangan upang muling idisenyo ang mga system para sa GDPR , na inilaan sa pitong taong gulang na laro.
"Ang mga maliliit at katamtamang laki ng mga negosyo ay kadalasang walang teknolohikal at human resources upang maunawaan ang mga kinakailangan ng mga regulator at gumawa ng mga kinakailangang paghahanda," komento ni Sergey Belkin, pinuno ng departamento ng pag-unlad ng provider ng IaaS . "Dito maaaring sumaklolo ang malalaking vendor at IaaS provider, na nagbibigay ng secure na imprastraktura ng IT para sa upa. Halimbawa, sa 1cloud.ru inilalagay namin ang aming kagamitan sa isang data center, ayon sa pamantayan ng Tier III at tulungan ang mga kliyente na sumunod sa mga kinakailangan ng Russian Federal Law-152 "Sa Personal na Data".
--ΠΡΠΎ - β Unsplash
Mayroon ding kabaligtaran na pananaw, na ang problema dito ay wala sa batas mismo, kundi sa pagnanais ng mga kumpanya na matupad ang mga kinakailangan nito nang pormal lamang. Isa sa mga residente ng Hacker News : ang dahilan ng pagtagas ng personal na data ay nakasalalay sa katotohanan na ang mga organisasyon ang pinakasimpleng mekanismo ng pag-verify, na idinidikta ng sentido komun.
Sa isang paraan o iba pa, hindi aabandunahin ng European Union ang GDPR sa malapit na hinaharap, kaya't ang sitwasyon na naliwanagan sa panahon ng kumperensya ng Black Hat ay dapat magsilbing insentibo para sa mga kumpanya na bigyang-pansin ang seguridad ng personal na data.
Kung ano ang isinusulat namin sa aming mga blog at social network:
1cloud na imprastraktura sa Moscow sa Dataspace. Ito ang unang Russian data center na pumasa sa Tier lll certification mula sa Uptime Institute.
Pinagmulan: www.habr.com