GDPR được tạo ra để cung cấp cho công dân EU nhiều quyền kiểm soát hơn đối với dữ liệu cá nhân của họ. Và xét về số lượng khiếu nại, mục tiêu đã “đạt được”: trong năm qua, người châu Âu bắt đầu báo cáo các hành vi vi phạm của các công ty thường xuyên hơn và bản thân các công ty cũng nhận được và bắt đầu nhanh chóng đóng các lỗ hổng để không bị phạt. Nhưng “đột nhiên” hóa ra GDPR rõ ràng và hiệu quả nhất khi nói đến việc trốn tránh các biện pháp trừng phạt tài chính hoặc nhu cầu tuân thủ nó. Và hơn thế nữa - được thiết kế để chấm dứt tình trạng rò rỉ dữ liệu cá nhân, quy định cập nhật trở thành nguyên nhân của chúng.
Hãy cho bạn biết những gì đang xảy ra ở đây.
Фото - - Bỏ qua
Vấn đề là gì
Theo GDPR, công dân EU có quyền yêu cầu bản sao dữ liệu cá nhân của họ được lưu trữ trên máy chủ của công ty. Gần đây người ta biết rằng cơ chế này có thể được sử dụng để thu thập PD của người khác. Một trong những người tham gia hội nghị Mũ Đen , trong thời gian đó anh ta đã nhận được kho lưu trữ dữ liệu cá nhân của vị hôn thê của mình từ nhiều công ty khác nhau. Anh ấy đã thay mặt cô ấy gửi các yêu cầu liên quan tới 150 tổ chức. Điều thú vị là 24% công ty chỉ cần địa chỉ email và số điện thoại làm bằng chứng nhận dạng - sau khi nhận được chúng, họ đã trả lại một kho lưu trữ chứa các tệp. Khoảng 16% tổ chức yêu cầu thêm ảnh hộ chiếu (hoặc tài liệu khác).
Kết quả là James đã có thể lấy được số An sinh xã hội và số thẻ tín dụng, ngày sinh, tên thời con gái và địa chỉ cư trú của “nạn nhân” của anh ta. Một dịch vụ cho phép bạn kiểm tra xem địa chỉ email có bị rò rỉ hay không (ví dụ về dịch vụ là ), thậm chí còn gửi danh sách dữ liệu xác thực đã sử dụng trước đó. Thông tin này có thể dẫn đến việc bị hack nếu người dùng không bao giờ thay đổi mật khẩu hoặc sử dụng chúng ở nơi khác.
Có những ví dụ khác về việc dữ liệu rơi vào tay kẻ xấu sau khi được gửi “nhầm”. Vì vậy, ba tháng trước, một trong những người dùng Reddit thông tin cá nhân về bản thân bạn từ Epic Games. Tuy nhiên, cô đã gửi nhầm PD của anh cho người chơi khác. Một câu chuyện tương tự đã xảy ra vào năm ngoái. Khách hàng Amazon Kho lưu trữ 100 megabyte với các yêu cầu Internet tới Alexa và hàng nghìn tệp WAF của người dùng khác.
Фото - - Bỏ qua
Các chuyên gia cho rằng một trong những nguyên nhân chính dẫn đến những tình huống như vậy xảy ra là do Quy định chung về bảo vệ dữ liệu chưa đầy đủ. Đặc biệt, GDPR chỉ định khung thời gian trong đó công ty phải đáp ứng yêu cầu của người dùng (trong vòng một tháng) và chỉ định mức phạt—lên tới 20 triệu euro hoặc 4% doanh thu hàng năm—nếu không tuân thủ yêu cầu này. Tuy nhiên, các thủ tục thực tế giúp các công ty tuân thủ luật pháp (ví dụ: đảm bảo rằng dữ liệu được gửi đến chủ sở hữu của nó) lại không được nêu rõ trong đó. Do đó, các tổ chức phải xây dựng quy trình làm việc của mình một cách độc lập (đôi khi thông qua thử và sai).
Làm thế nào tôi có thể cải thiện tình hình?
Một trong những đề xuất cấp tiến nhất là từ bỏ GDPR hoặc làm lại nó một cách triệt để. Có ý kiến cho rằng ở dạng hiện tại, luật này không có tác dụng vì nó rất và quá khắt khe, bạn phải tốn rất nhiều tiền mới đáp ứng được mọi yêu cầu của nó.
Ví dụ, năm ngoái các nhà phát triển trò chơi Super Monday Night Combat đã buộc phải hủy bỏ dự án của họ. Theo những người tạo ra nó, ngân sách cần thiết để thiết kế lại hệ thống cho GDPR , được phân bổ cho trò chơi bảy tuổi.
Sergey Belkin, người đứng đầu bộ phận phát triển của nhà cung cấp IaaS, nhận xét: “Các doanh nghiệp vừa và nhỏ thực sự thường không có đủ nguồn nhân lực và công nghệ để hiểu yêu cầu của cơ quan quản lý và thực hiện các bước chuẩn bị cần thiết”. . “Đây là nơi các nhà cung cấp lớn và nhà cung cấp IaaS có thể đến giải cứu, cung cấp cơ sở hạ tầng CNTT an toàn cho thuê. Ví dụ: tại 1cloud.ru, chúng tôi đặt thiết bị của mình vào trung tâm dữ liệu, theo tiêu chuẩn Cấp III và giúp khách hàng tuân thủ các yêu cầu của Luật Liên bang Nga-152 “Về dữ liệu cá nhân”.
Фото - - Bỏ qua
Cũng có quan điểm ngược lại, cho rằng vấn đề ở đây không nằm ở bản thân luật mà nằm ở mong muốn của các công ty chỉ thực hiện các yêu cầu của mình một cách hình thức. Một trong những cư dân của Hacker News : nguyên nhân rò rỉ dữ liệu cá nhân nằm ở chỗ các tổ chức các cơ chế xác minh đơn giản nhất, được quy định theo lẽ thường.
Bằng cách này hay cách khác, Liên minh Châu Âu sẽ không từ bỏ GDPR trong tương lai gần, vì vậy tình huống được làm sáng tỏ trong hội nghị Mũ Đen sẽ là động lực để các công ty chú ý hơn đến tính bảo mật của dữ liệu cá nhân.
Những gì chúng tôi viết trên blog và mạng xã hội của mình:
Cơ sở hạ tầng 1cloud ở Moscow trong Không gian dữ liệu. Đây là trung tâm dữ liệu đầu tiên của Nga đạt chứng nhận Tier lll từ Uptime Institute.
Nguồn: www.habr.com