GDPR створювали, щоб дати громадянам ЄС більший контроль над персональними даними. І з точки зору кількості скарг ціль була «досягнута»: за минулий рік європейці стали частіше повідомляти про порушення з боку компаній, а самі компанії отримали безліч розпоряджень і почали оперативніше закривати вразливості, щоби не отримати штраф. Але «раптово» з'ясувалося, що GDPR найбільш помітний і ефективний, коли мова заходить або про ухилення від фінансових санкцій, або від необхідності дотримуватися його. І навіть більше — покликане покласти край витокам персональних даних, оновлене регулювання стає причиною.
Відповідно до GDPR, громадяни ЄС мають право запросити копію своїх персональних даних, які зберігаються на серверах тієї чи іншої компанії. Нещодавно стало відомо, що цей механізм можна використовувати для збирання ПД іншої людини. Один із учасників конференції Black Hat провів експеримент, Під час якого отримав архіви з персональними даними своєї нареченої від різних компаній. Він надіслав відповідні запити від її імені до 150 організацій. Що цікаво, 24% компаніям було достатньо адреси електронної пошти та телефонного номера як посвідчення особи — після їх отримання вони повертали архів із файлами. Ще близько 16% організацій додатково запросили світлини паспорта (або іншого документа).
У результаті Джеймсу вдалося отримати номер соціального страхування та кредитної картки, дату народження, дівоче прізвище та адресу проживання своєї «жертви». Один сервіс, який дозволяє перевірити, чи «засвітилася» адреса електронної пошти в будь-яких витоках (прикладом сервісу може бути Have i been pwned?), навіть надіслав список раніше використаних аутентифікаційних даних. Ця інформація може стати причиною злому, якщо користувач так і не змінив паролі або використовував їх деінде.
Є й інші приклади, коли дані опинялися в чужих руках після помилкової відправки. Так, три місяці тому один із користувачів Reddit запросив персональну інформацію про себе компанія Epic Games. Однак вона помилково відправила його ПД іншому гравцю. Схожа історія сталася й торік. Клієнт Amazon випадково отримав 100-мегабайтний архів з інтернет-запитами до Alexa та тисячами WAF-файлів іншого користувача.
Однією з головних причин виникнення подібних ситуацій експерти називають неповноту Загального регламенту захисту даних. Зокрема, GDPR називає терміни, протягом яких компанія має відповісти на запити користувачів (протягом місяця), та вказує штрафи – до 20 млн євро або 4% від річного виторгу – за невиконання цієї вимоги. Однак самі процедури, які мають допомогти компаніям відповідати закону (наприклад, переконатися у надсиланні даних їхньому власнику), у ньому не конкретизовано. Тому організаціям доводиться самостійно (іноді, методом спроб і помилок) вибудовувати свої робочі процеси.
Як можна виправити положення
Одна з найрадикальніших пропозицій - відмовитися від GDPR або кардинально її переробити. Є думка, що у поточному вигляді закон не працює, бо дуже складний і надмірно суворий, але в відповідність всім його вимогам доводиться витрачати багато коштів.
Наприклад, минулого року розробники гри Super Monday Night Combat були змушені згорнути свій проект. За словами її творців, бюджет, необхідний для переробки систем під GDPR, перевищував бюджет, що виділяється семирічної гри.
«У маленьких та середніх бізнесів дійсно часто немає технологічних та кадрових ресурсів, щоб розібратися у вимогах регуляторів та зробити необхідні приготування, – коментує Сергій Бєлкін, начальник відділу розвитку IaaS-провайдера 1cloud.ru. — Тут на допомогу можуть прийти великі вендори та IaaS-провайдери, які надають в оренду захищену ІТ-інфраструктуру. Наприклад, ми в 1cloud.ru розміщуємо своє обладнання в ЦОД, сертифікованих за стандартом Tier III та допомагаємо клієнтам відповідати вимогам російського ФЗ-152 «Про персональні дані».
Є й протилежна думка, що проблема тут не в самому законі, а в прагненні компаній виконати його вимоги лише формально. Один із резидентів Hacker News зазначив: причина витоків персональних даних у тому, що організації не впроваджують найпростіші механізми верифікації, які продиктовані здоровим глуздом.
Так чи інакше, найближчим часом Євросоюз не збирається відмовлятися від GDPR, тому ситуація, на яку пролили світло під час конференції Black Hat, має стати стимулом для компаній приділити більше уваги безпеці ПД.
Про що ми пишемо в наших блогах та соціальних мережах: