GDPR Evropa Ittifoqi fuqarolariga shaxsiy ma'lumotlarini ko'proq nazorat qilish uchun yaratilgan. Shikoyatlar soni bo'yicha esa maqsadga "erishildi": o'tgan yil davomida evropaliklar kompaniyalar tomonidan huquqbuzarliklar haqida tez-tez xabar berishni boshladilar va kompaniyalarning o'zlari buni qabul qilishdi. va jarima olmaslik uchun zaifliklarni tezda yopishni boshladi. Ammo "to'satdan" ma'lum bo'ldiki, GDPR moliyaviy sanktsiyalardan qochish yoki unga rioya qilish zarurati haqida gap ketganda eng ko'zga ko'ringan va samarali hisoblanadi. Va bundan ham ko'proq - shaxsiy ma'lumotlarning sizib chiqishiga chek qo'yish uchun mo'ljallangan, yangilangan tartibga solish ularning sababiga aylanadi.
Keling, bu erda nima bo'layotganini aytib beraylik.
Foto - - Splash
Muammo nimada
GDPRga ko'ra, Evropa Ittifoqi fuqarolari kompaniya serverlarida saqlangan shaxsiy ma'lumotlarining nusxasini talab qilish huquqiga ega. Yaqinda ma'lum bo'ldiki, bu mexanizm boshqa odamning PDni yig'ish uchun ishlatilishi mumkin. Qora shapka konferentsiyasi ishtirokchilaridan biri , uning davomida u turli kompaniyalardan kelinining shaxsiy ma'lumotlari bilan arxivlarni oldi. Uning nomidan 150 ta tashkilotga tegishli so‘rovlar yuborgan. Qizig'i shundaki, kompaniyalarning 24 foiziga shaxsni tasdiqlovchi hujjat sifatida faqat elektron pochta manzili va telefon raqami kerak bo'lgan - ularni olgandan so'ng ular fayllar bilan arxivni qaytarib berishgan. Tashkilotlarning taxminan 16 foizi qo'shimcha ravishda pasport (yoki boshqa hujjat) fotosuratlarini so'rashgan.
Natijada, Jeyms ijtimoiy sug'urta va kredit karta raqamlari, tug'ilgan sanasi, qizlik familiyasi va "jabrlanuvchi" ning yashash manzilini olishga muvaffaq bo'ldi. Elektron pochta manzili sizib chiqqanligini tekshirishga imkon beruvchi bitta xizmat (xizmat misoli ), hatto ilgari ishlatilgan autentifikatsiya ma'lumotlari ro'yxatini yubordi. Agar foydalanuvchi hech qachon parollarni o'zgartirmagan yoki ularni boshqa joyda ishlatmagan bo'lsa, bu ma'lumotlar xakerlik hujumiga olib kelishi mumkin.
Ma'lumotlar "xato" yuborilganidan keyin noto'g'ri qo'llarga tushgan boshqa misollar ham mavjud. Shunday qilib, uch oy oldin Reddit foydalanuvchilaridan biri Epic Games'dan o'zingiz haqingizda shaxsiy ma'lumotlar. Biroq, u noto'g'ri PDni boshqa o'yinchiga yubordi. Shunga o'xshash voqea o'tgan yili sodir bo'lgan edi. Amazon mijozi Alexa-ga Internet so'rovlari va boshqa foydalanuvchining minglab WAF fayllari bilan 100 megabaytlik arxiv.
Foto - - Splash
Mutaxassislarning ta’kidlashicha, bunday holatlarning yuzaga kelishining asosiy sabablaridan biri ma’lumotlarni himoya qilish bo‘yicha umumiy nizomning to‘liq emasligidir. Xususan, GDPR kompaniya foydalanuvchilarning so'rovlariga javob berishi kerak bo'lgan muddatni (bir oy ichida) belgilaydi va ushbu talabni bajarmaganlik uchun 20 million evro yoki yillik daromadning 4 foizigacha jarimalarni belgilaydi. Biroq, kompaniyalarga qonunga rioya qilishga yordam beradigan haqiqiy protseduralar (masalan, ma'lumotlar uning egasiga yuborilishiga ishonch hosil qilish) unda ko'rsatilmagan. Shu sababli, tashkilotlar o'z ish jarayonlarini mustaqil ravishda (ba'zan sinov va xato orqali) qurishlari kerak.
Vaziyatni qanday yaxshilashim mumkin?
Eng radikal takliflardan biri bu GDPRdan voz kechish yoki uni tubdan o'zgartirishdir. Hozirgi shaklda qonun ishlamaydi, degan fikr bor, chunki u juda va haddan tashqari qattiq va uning barcha talablariga javob berish uchun ko'p pul sarflashingiz kerak.
Misol uchun, o'tgan yili Super Monday Night Combat o'yinini ishlab chiquvchilar o'z loyihasini bekor qilishga majbur bo'lishdi. Yaratuvchilarning fikriga ko'ra, byudjet GDPR uchun tizimlarni qayta ishlab chiqish uchun talab qilinadi , etti yoshli o'yinga ajratilgan.
IaaS provayderining rivojlanish bo'limi boshlig'i Sergey Belkin: "Kichik va o'rta biznes ko'pincha tartibga soluvchilarning talablarini tushunish va zarur tayyorgarlik ko'rish uchun texnologik va inson resurslariga ega emas", deydi Sergey Belkin. . “Bu yerda yirik sotuvchilar va IaaS provayderlari yordamga kelishi mumkin, ijara uchun xavfsiz IT infratuzilmasini taqdim etadi. Masalan, 1cloud.ru saytida biz uskunamizni ma'lumotlar markaziga joylashtiramiz, Tier III standartiga muvofiq va mijozlarga "Shaxsiy ma'lumotlar to'g'risida" gi 152-sonli Rossiya Federal qonuni talablariga rioya qilishda yordam berish.
Foto - - Splash
Qarama-qarshi nuqtai nazar ham mavjud, bu erda muammo qonunning o'zida emas, balki kompaniyalarning o'z talablarini faqat rasmiy ravishda bajarish istagida. Hacker News rezidentlaridan biri : shaxsiy ma'lumotlarning sizib chiqishining sababi tashkilotlarda sog'lom fikr tomonidan belgilanadigan eng oddiy tekshirish mexanizmlari.
Qanday bo'lmasin, Evropa Ittifoqi yaqin kelajakda GDPRdan voz kechmoqchi emas, shuning uchun Black Hat konferentsiyasida yoritilgan vaziyat kompaniyalar uchun shaxsiy ma'lumotlar xavfsizligiga ko'proq e'tibor berishga turtki bo'lishi kerak.
Bloglarimiz va ijtimoiy tarmoqlarimizda nimalar haqida yozamiz:
Moskvada 1bulut infratuzilmasi Dataspace ichida. Bu Uptime Institute tomonidan Tier lll sertifikatidan o'tgan birinchi rus ma'lumotlar markazidir.
Manba: www.habr.com