GDPR 的创建是为了让欧盟公民更好地控制自己的个人数据。 而从投诉数量来看,目标“达到”了:过去一年,欧洲人开始更频繁地举报企业违规行为,而企业本身也收到了投诉。 并开始迅速关闭漏洞以免收到罚款。 但“突然”发现,在逃避金融制裁或遵守金融制裁的必要性方面,GDPR 是最明显和最有效的。 更重要的是——旨在杜绝个人数据泄露的最新法规成为了他们的原因。
让我们告诉你这里发生了什么。
Фото— — 不飞溅
有什么问题
根据 GDPR,欧盟公民有权索取存储在公司服务器上的个人数据的副本。 最近人们知道这种机制可以用来收集另一个人的 PD。 黑帽会议参与者之一 在此期间,他收到了来自多家公司的含有未婚妻个人数据的档案。 他代表她向150个组织发出了相关请求。 有趣的是,24% 的公司只需要电子邮件地址和电话号码作为身份证明 - 收到后,他们会返回包含文件的存档。 大约 16% 的组织还要求提供护照(或其他文件)的照片。
结果,詹姆斯获得了“受害者”的社会保障号码和信用卡号码、出生日期、婚前姓名和居住地址。 一项允许您检查电子邮件地址是否已泄露的服务(服务的示例是 ),甚至发送了以前使用过的身份验证数据的列表。 如果用户从未更改过密码或在其他地方使用过密码,则此信息可能会导致黑客攻击。
还有其他一些例子,数据在“错误”发送后最终落入坏人之手。 三个月前,一位 Reddit 用户 来自 Epic Games 的有关您的个人信息。 然而,她错误地将他的PD发送给了另一位玩家。 去年也发生过类似的故事。 亚马逊客户端 100 MB 的存档,其中包含对 Alexa 的互联网请求以及其他用户的数千个 WAF 文件。
Фото— — 不飞溅
专家表示,造成此类情况发生的主要原因之一是《通用数据保护条例》的不完善。 特别是,GDPR 规定了公司必须响应用户请求的时间范围(一个月内),并规定如果不遵守此要求,将处以最高 20 万欧元或年收入 4% 的罚款。 然而,其中并未具体说明帮助公司遵守法律的实际程序(例如,确保数据发送给其所有者)。 因此,组织必须独立(有时通过反复试验)构建其工作流程。
我该如何改善这种情况?
最激进的提议之一是放弃 GDPR 或从根本上重新制定它。 有一种观点认为,该法律目前的形式不起作用,因为它非常 而且过于严格,你必须花很多钱才能满足它的所有要求。
例如,去年《超级星期一之夜格斗》游戏的开发商被迫取消了他们的项目。 据其创建者称,根据 GDPR 重新设计系统所需的预算 ,分配给七岁的比赛。
IaaS 提供商开发部主管谢尔盖·贝尔金 (Sergey Belkin) 评论道:“中小型企业通常没有技术和人力资源来了解监管机构的要求并做好必要的准备。” 。 “这是大型供应商和 IaaS 提供商可以提供救援的地方,它们可以提供安全的 IT 基础设施出租。 例如,在 1cloud.ru,我们将设备放置在数据中心, 根据 Tier III 标准,帮助客户遵守俄罗斯联邦法律 152“个人数据”的要求。
Фото— — 不飞溅
也有相反的观点,认为这里的问题不在于法律本身,而在于公司只希望形式上满足其要求。 黑客新闻的居民之一 :个人数据泄露的原因在于组织 最简单的验证机制,由常识决定。
无论如何,欧盟不会在不久的将来放弃 GDPR,因此黑帽会议期间暴露的情况应该会激励企业更加关注个人数据的安全。
我们在博客和社交网络上写的内容:
1莫斯科的云基础设施 在数据空间中。 这是俄罗斯第一个通过 Uptime Institute Tier lll 认证的数据中心。
来源: habr.com