GDPR 的創建是為了讓歐盟公民更好地控制自己的個人資料。 而從投訴數量來看,目標「達到」了:過去一年,歐洲人開始更頻繁地舉報企業違規行為,而企業本身也收到了投訴。 並開始迅速關閉漏洞以免收到罰款。 但「突然」發現,在逃避金融制裁或遵守金融制裁的必要性方面,GDPR 是最明顯且最有效的。 更重要的是——旨在杜絕個人資料外洩的最新法規成為了他們的原因。
讓我們告訴你這裡發生了什麼。
Фото— — 不飛濺
問題是什麼
根據 GDPR,歐盟公民有權索取儲存在公司伺服器上的個人資料的副本。 最近人們知道這種機制可以用來收集另一個人的 PD。 黑帽會議參與者之一 在此期間,他收到了來自多家公司的含有未婚妻個人資料的檔案。 他代表她向150個組織發出了相關請求。 有趣的是,24% 的公司只需要電子郵件地址和電話號碼作為身份證明 - 收到後,他們會返回包含文件的存檔。 大約 16% 的組織還要求提供護照(或其他文件)的照片。
結果,詹姆斯獲得了“受害者”的社會安全號碼和信用卡號碼、出生日期、婚前姓名和居住地址。 一項允許您檢查電子郵件地址是否已洩露的服務(服務的範例是 ),甚至發送了以前使用過的身份驗證資料的清單。 如果使用者從未更改過密碼或在其他地方使用過密碼,則此資訊可能會導致駭客攻擊。
還有其他一些例子,資料在「錯誤」發送後最終落入壞人之手。 三個月前,一位 Reddit 用戶 來自 Epic Games 的有關您的個人資訊。 然而,她錯誤地將他的PD發送給了另一位玩家。 去年也發生過類似的故事。 亞馬遜客戶端 100 MB 的存檔,其中包含對 Alexa 的互聯網請求以及其他用戶的數千個 WAF 檔案。
Фото— — 不飛濺
專家表示,造成此類情況發生的主要原因之一是《一般資料保護規範》的不完善。 特別是,GDPR 規定了公司必須回應用戶請求的時間範圍(一個月內),並規定如果不遵守此要求,將處以最高 20 萬歐元或年收入 4% 的罰款。 然而,其中並未具體說明幫助公司遵守法律的實際程序(例如,確保資料發送給其所有者)。 因此,組織必須獨立(有時透過反覆試驗)來建構其工作流程。
我該如何改善這種情況?
最激進的提議之一是放棄 GDPR 或從根本上重新制定它。 有一種觀點認為,該法律目前的形式不起作用,因為它非常 而且太嚴格,你必須花很多錢才能滿足它的所有要求。
例如,去年《超級星期一之夜格鬥》遊戲的開發商被迫取消了他們的專案。 據其創建者稱,根據 GDPR 重新設計系統所需的預算 ,分配給七歲的比賽。
IaaS 提供商開發部主管謝爾蓋·貝爾金 (Sergey Belkin) 評論道:“中小型企業通常沒有技術和人力資源來了解監管機構的要求並做好必要的準備。” 。 「這是大型供應商和 IaaS 供應商可以提供救援的地方,它們可以提供安全的 IT 基礎設施出租。 例如,在 1cloud.ru,我們將設備放置在資料中心, 根據 Tier III 標準,幫助客戶遵守俄羅斯聯邦法律 152「個人資料」的要求。
Фото— — 不飛濺
也有相反的觀點,認為這裡的問題不在於法律本身,而是公司只希望形式上滿足其要求。 駭客新聞的居民之一 :個人資料外洩的原因在於組織 最簡單的驗證機制,由常識決定。
無論如何,歐盟不會在不久的將來放棄 GDPR,因此黑帽會議期間暴露的情況應該會激勵企業更加關注個人資料的安全。
我們在部落格和社群網路上寫的內容:
1莫斯科的雲端基礎設施 在資料空間中。 這是俄羅斯第一個通過 Uptime Institute Tier lll 認證的資料中心。
來源: www.habr.com