GDPR, AB vatandaşlarına kişisel verileri üzerinde daha fazla kontrol sağlamak için oluşturuldu. Şikayetlerin sayısı açısından da hedefe "ulaşıldı": Geçtiğimiz yıl Avrupalılar şirketler tarafından yapılan ihlalleri daha sık bildirmeye başladı ve şirketlerin kendileri de bildirimde bulundu. ve ceza almamak için güvenlik açıklarını hızla kapatmaya başladı. Ancak "birdenbire", GDPR'nin mali yaptırımlardan kaçınma veya ona uyma ihtiyacı söz konusu olduğunda en görünür ve etkili olduğu ortaya çıktı. Ve daha da fazlası, kişisel veri sızıntılarına son vermek için tasarlanan güncellenmiş düzenleme, bunların nedeni haline geliyor.
Burada neler olduğunu anlatalım.
Fotoğraf - — Sıçramayı kaldır
Sorun nedir
GDPR uyarınca AB vatandaşları, bir şirketin sunucularında saklanan kişisel verilerinin bir kopyasını talep etme hakkına sahiptir. Son zamanlarda bu mekanizmanın başka bir kişinin PD'sini toplamak için kullanılabileceği biliniyordu. Black Hat konferansına katılanlardan biri Bu sırada nişanlısının kişisel verilerinin bulunduğu arşivleri çeşitli şirketlerden aldı. Kendisi adına 150 kuruluşa ilgili talepleri gönderdi. İlginç bir şekilde, şirketlerin %24'ünün kimlik kanıtı olarak yalnızca bir e-posta adresine ve telefon numarasına ihtiyacı vardı; bunları aldıktan sonra dosyaların bulunduğu arşivi iade ettiler. Kuruluşların yaklaşık %16'sı ayrıca pasaportun (veya başka bir belgenin) fotoğraflarını talep etti.
Sonuç olarak James, "kurbanının" Sosyal Güvenlik ve kredi kartı numaralarını, doğum tarihini, kızlık soyadını ve ikamet adresini elde edebildi. Bir e-posta adresinin sızdırılıp sızdırılmadığını kontrol etmenize olanak tanıyan bir hizmet (hizmet örneği ), daha önce kullanılan kimlik doğrulama verilerinin bir listesini bile gönderdi. Bu bilgiler, kullanıcının şifreleri hiç değiştirmemesi veya başka bir yerde kullanmaması durumunda bilgisayar korsanlığına yol açabilir.
Verilerin "yanlışlıkla" gönderildikten sonra yanlış ellere geçtiği başka örnekler de vardır. Üç ay önce Reddit kullanıcılarından biri Epic Games'ten kendinizle ilgili kişisel bilgiler. Ancak yanlışlıkla PD'sini başka bir oyuncuya gönderdi. Geçen yıl da benzer bir hikaye yaşanmıştı. Amazon İstemcisi Alexa'ya yapılan İnternet isteklerini ve başka bir kullanıcının binlerce WAF dosyasını içeren 100 megabaytlık bir arşiv.
Fotoğraf - — Sıçramayı kaldır
Uzmanlar, bu tür durumların ortaya çıkmasının temel nedenlerinden birinin Genel Veri Koruma Yönetmeliği'nin eksikliği olduğunu söylüyor. GDPR, özellikle bir şirketin kullanıcı taleplerine yanıt vermesi gereken zaman dilimini (bir ay içinde) belirtir ve bu gerekliliğe uymama durumunda 20 milyon avroya veya yıllık gelirin %4'üne kadar para cezalarını belirler. Ancak şirketlerin yasaya uymasına yardımcı olacak fiili prosedürler (örneğin, verinin sahibine gönderilmesinin sağlanması) burada belirtilmemiştir. Bu nedenle kuruluşların iş süreçlerini bağımsız olarak (bazen deneme yanılma yoluyla) oluşturmaları gerekir.
Durumu nasıl iyileştirebilirim?
En radikal tekliflerden biri GDPR'den vazgeçmek veya onu radikal bir şekilde yeniden düzenlemek. Mevcut haliyle yasanın işe yaramadığı yönünde bir görüş var, çünkü çok ve aşırı katıdır ve tüm gereksinimlerini karşılamak için çok para harcamanız gerekir.
Örneğin geçen yıl Super Monday Night Combat oyununun geliştiricileri projelerini iptal etmek zorunda kaldı. Yaratıcılarına göre, GDPR için sistemleri yeniden tasarlamak için gereken bütçe , yedi yıllık oyuna tahsis edildi.
IaaS sağlayıcısının geliştirme departmanı başkanı Sergey Belkin, "Küçük ve orta ölçekli işletmeler, düzenleyici kurumların gereksinimlerini anlayacak ve gerekli hazırlıkları yapacak teknolojik ve insan kaynaklarına çoğu zaman sahip değil" diyor. . “Burası büyük satıcıların ve IaaS sağlayıcılarının, kiralık güvenli BT altyapısı sağlayarak kurtarmaya gelebileceği yerdir. Örneğin, 1cloud.ru'da ekipmanımızı bir veri merkezine yerleştiriyoruz, Tier III standardına göre ve müşterilerin Rusya Federal Kanunu-152 “Kişisel Verilere İlişkin” gerekliliklerine uymalarına yardımcı oluyoruz.
Fotoğraf - — Sıçramayı kaldır
Bunun tam tersi bir bakış açısı da var; buradaki sorun kanunun kendisinde değil, şirketlerin kanunun gerekliliklerini sadece resmi olarak yerine getirme isteğinde. Hacker News sakinlerinden biri : kişisel veri sızıntılarının nedeni kuruluşların sağduyu tarafından dikte edilen en basit doğrulama mekanizmaları.
Öyle ya da böyle, Avrupa Birliği yakın gelecekte GDPR'den vazgeçmeyecek; dolayısıyla Black Hat konferansında ortaya çıkan durum, şirketlerin kişisel verilerin güvenliğine daha fazla dikkat etmesi konusunda bir teşvik görevi görmelidir.
Bloglarımızda ve sosyal ağlarımızda ne hakkında yazıyoruz:
Moskova'da 1bulut altyapısı Veri Alanında. Bu, Uptime Institute'un Tier III sertifikasını geçen ilk Rus veri merkezidir.
Kaynak: habr.com