Рассказываем в чем тут дело.
Фото — Daan Mooij — Unsplash
В чем проблема
Согласно GDPR, граждане ЕС имеют право запросить копию своих персональных данных, которые хранятся на серверах той или ной компании. Недавно стало известно, что этот механизм можно использовать для сбора ПД другого человека. Один из участников конференции Black Hat провел эксперимент, в ходе которого получил архивы с персональными данными своей невесты от различных компаний. Он отправил соответствующие запросы от её имени в 150 организаций. Что интересно, 24% компаниям было достаточно адреса электронной почты и телефонного номера в качестве удостоверения личности — после их получения они возвращали архив с файлами. Еще около 16% организаций дополнительно запросили фотографии паспорта (или другого документа).
В результате Джеймсу удалось заполучить номер социального страхования и кредитной карты, дату рождения, девичью фамилию и адрес проживания своей «жертвы». Один сервис, который позволяет проверить, «засветился» ли адрес электронной почты в каких-либо утечках (примером сервиса может быть Have i been pwned?), даже прислал список ранее использованных аутентификационных данных. Эта информация может стать причиной взлома, если пользователь так и не сменил пароли или использовал их где-то еще.
Есть и другие примеры, когда данные оказывались в чужих руках после «ошибочной» отправки. Так, три месяца назад один из пользователей Reddit запросил персональную информацию о себе у компании Epic Games. Однако она по ошибке отправила его ПД другому игроку. Похожая история произошла и в прошлом году. Клиент Amazon случайно получил 100-мегабайтный архив с интернет-запросами к Alexa и тысячами WAF-файлов другого пользователя.
Фото — Tom Sodoge — Unsplash
Одной из главных причин возникновения подобных ситуаций эксперты называют неполноту Общего регламента по защите данных. В частности, GDPR называет сроки, в течение которых компания должна ответить за запросы пользователей (в течение месяца), и указывает штрафы — до 20 млн евро или 4% от годовой выручки — за невыполнение этого требования. Однако сами процедуры, которые должны помочь компаниям соответствовать закону (например, удостовериться в отправке данных их владельцу), в нем не конкретизированы. Поэтому организациям приходится самостоятельно (порой, методом проб и ошибок) выстраивать свои рабочие процессы.
Как можно исправить положение
Одно из самых радикальных предложений — отказаться от GDPR или кардинально его переделать. Есть мнение, что в текущем виде закон не работает, так как очень сложный и излишне строгий, а на соответствие всем его требованиям приходится тратить большое количество средств.
Например, в прошлом году разработчики игры Super Monday Night Combat были вынуждены свернуть свой проект. По словам её создателей, бюджет, необходимый для переделки систем под GDPR, превышал бюджет, выделяемый семилетней игре.
«У маленьких и средних бизнесов действительно часто нет технологических и кадровых ресурсов, чтобы разобраться в требованиях регуляторов и сделать необходимые приготовления, — комментирует Сергей Белкин, начальник отдела развития IaaS-провайдера 1cloud.ru. — Здесь на помощь могут прийти крупные вендоры и IaaS-провайдеры, предоставляющие в аренду защищенную ИТ-инфраструктуру. Например, мы в 1cloud.ru размещаем свое оборудование в ЦОД, сертифицированных по стандарту Tier III и помогаем клиентам соответствовать требованиям российского ФЗ-152 «О персональных данных».
Фото — Chromatograph — Unsplash
Есть и противоположная точка зрения, что проблема здесь не в самом законе, а в стремлении компаний выполнить его требования лишь формально. Один из резидентов Hacker News отметил: причина утечек персональных данных кроется в том, что организации не внедряют простейшие механизмы верификации, которые продиктованы здравым смыслом.
Так или иначе, в ближайшее время Евросоюз не собирается отказываться от GDPR, поэтому ситуация, на которую пролили свет во время конференции Black Hat, должна послужить стимулом для компаний уделить больше внимания безопасности ПД.
О чем мы пишем в наших блогах и социальных сетях:«Мат. модель с Уолл-стрит» или попытка оптимизировать затраты на облачную ИТ-инфраструктуру
Кто использует протокол аутентификации SAML 2.0Big Data: большие возможности или большой обман
Персональные данные: особенности публичного облакаПодборка книг для тех, кто уже занимается системным администрированием или планирует начать
Как работает техподдержка 1cloud
Инфраструктура 1cloud в Москве располагается в Dataspace. Это — первый российский ЦОД, прошедший сертификацию Tier lll от Uptime Institute.
Комментариев нет:
Отправить комментарий