GDPR был создан, чтобы дать гражданам ЕС больше контроля над своими личными данными.
А по количеству жалоб цель была «достигнута»: за последний год европейцы стали чаще сообщать о нарушениях со стороны компаний, а сами компании получили много заказов ( 1 , 2 ) и начал быстро закрывать уязвимости, чтобы не получить штраф.
Но «внезапно» выяснилось, что GDPR наиболее заметен и эффективен, когда речь идет либо об уклонении от финансовых санкций, либо о самой необходимости его соблюдения.
И даже более того – призванный положить конец утечкам персональных данных, обновленный регламент становится их причиной.
Давайте расскажем вам, что здесь происходит. 
Фото - Даан Муидж — Unsplash
В чем проблема
Согласно GDPR, граждане ЕС имеют право запросить копию своих личных данных, хранящихся на серверах компании.Недавно стало известно, что этот механизм можно использовать для сбора ПД другого человека.
Один из участников конференции Black Hat провел эксперимент , в ходе которого он получил от различных компаний архивы с личными данными своей невесты.
Соответствующие запросы от ее имени он направил в 150 организаций.
Интересно, что 24% компаний в качестве подтверждения личности требовались только адрес электронной почты и номер телефона — получив их, они вернули архив с файлами.
Около 16% организаций дополнительно запросили фотографии паспорта (или другого документа).
В результате Джеймсу удалось получить номера социального страхования и кредитных карт, дату рождения, девичью фамилию и адрес проживания своей «жертвы».Есть и другие примеры, когда данные оказались в чужих руках после «ошибочной» отправки.Один сервис, который позволяет вам проверить, не была ли утечка адреса электронной почты (примером сервиса может служить Меня наказали? ), даже отправил список ранее использованных данных аутентификации.
Эта информация может стать поводом для взлома, если пользователь никогда не менял пароли или не использовал их где-то еще.
Итак, три месяца назад один из пользователей Reddit просил личную информацию о себе от Epic Games. Однако она по ошибке отправила его ПД другому игроку.
Похожая история произошла в прошлом году.
Клиент Amazon Я получил это случайно 100-мегабайтный архив с интернет-запросами к Alexa и тысячами WAF-файлов другого пользователя.
Фото - Том Сододж — Unsplash
Эксперты говорят, что одной из основных причин возникновения подобных ситуаций является неполнота Общего регламента защиты данных.
В частности, GDPR определяет сроки, в течение которых компания должна отвечать на запросы пользователей (в течение месяца), и определяет штрафы — до 20 млн евро или 4% годового дохода — за невыполнение этого требования.
Однако реальные процедуры, которые должны помочь компаниям соблюдать закон (например, обеспечение отправки данных их владельцу), в нем не указаны.
Поэтому организациям приходится самостоятельно (иногда методом проб и ошибок) выстраивать свои рабочие процессы.
Как я могу улучшить ситуацию?
Одно из самых радикальных предложений — отказаться от GDPR или радикально его переделать.Существует мнение, что в нынешнем виде закон не работает, так как он очень трудный и слишком строгий, и чтобы удовлетворить все его требования, приходится тратить много денег.
Например, в прошлом году разработчики игры Super Monday Night Combat были вынуждены отменить свой проект. По мнению его создателей, бюджет необходим на перепроектирование системы под GDPR превышен бюджет , выделенный семилетней игре.
«Малому и среднему бизнесу действительно часто не хватает технологических и человеческих ресурсов, чтобы понять требования регуляторов и провести необходимую подготовку», — комментирует Сергей Белкин, руководитель отдела развития IaaS-провайдера.«Именно здесь на помощь могут прийти крупные вендоры и IaaS-провайдеры, предоставляющие в аренду безопасную ИТ-инфраструктуру.
Например, на 1cloud.ru мы размещаем свое оборудование в дата-центре, проверенный по стандарту Tier III и помогают клиентам соблюдать требования Федерального закона РФ-152 «О персональных данных».
Фото - Хроматограф — Unsplash Существует и противоположная точка зрения, что проблема здесь не в самом законе, а в желании компаний выполнять его требования лишь формально.
Один из резидентов Hacker News отмеченный : причина утечек персональных данных кроется в том, что организации не реализовывать простейшие механизмы проверки, которые продиктованы здравым смыслом.
Так или иначе, Евросоюз не собирается отказываться от GDPR в ближайшее время, поэтому ситуация, пролившая свет в ходе конференции Black Hat, должна послужить стимулом для компаний уделять больше внимания безопасности персональных данных.
О чем мы пишем в наших блогах и социальных сетях:
766 км – новый рекорд дальности для LoRaWAN
Кто использует протокол аутентификации SAML 2.0
Большие данные: большие возможности или большой обман
Персональные данные: особенности публичного облака
Подборка книг для тех, кто уже занимается системным администрированием или планирует начать.
Как работает техническая поддержка 1cloud?
1облачная инфраструктура в Москве располагается в пространстве данных.
Это первый российский дата-центр, прошедший сертификацию Tier lll от Uptime Institute.
Теги: #информационная безопасность #Хранение данных #Разработка сайтов #ИТ-законодательство #персональные данные #GDPR #1cloud
-
Скачать Бесплатно Тему Wp
19 Oct, 24 -
Контроль Над Ситуацией Делает Вас Счастливым
19 Oct, 24 -
Выбор Колокейшн В Новосибирске
19 Oct, 24 -
Как Я Уволил Половину Команды
19 Oct, 24 -
Dvicecast #1 (Ранее Радио-Ю)
19 Oct, 24 -
Выберите Im - Клиент Для Nokia 5800 Xm
19 Oct, 24 -
В Году
19 Oct, 24
