El GDPR fue creado para dar a los ciudadanos de la UE más control sobre los datos personales. Y en términos de la cantidad de quejas, el objetivo se "logró": durante el año pasado, los europeos comenzaron a informar con mayor frecuencia las violaciones por parte de las empresas, y las propias empresas recibieron
muchas instrucciones y comenzaron a cerrar rápidamente las vulnerabilidades para no recibir una multa. Pero "de repente" resultó que el GDPR es más visible y efectivo cuando se trata de evadir las sanciones financieras o de la necesidad de cumplirlo. Y aún más: diseñado para poner fin a las filtraciones de datos personales, la regulación actualizada se convierte en su causa.
Te contamos cuál es el problema.
Fotos - Daan Mooij - UnsplashCual es el problema
Según el GDPR, los ciudadanos de la UE tienen derecho a solicitar una copia de sus datos personales que se almacenan en los servidores de una empresa. Recientemente se supo que este mecanismo se puede utilizar para recolectar la EP de otra persona. Uno de los participantes de la conferencia Black Hat
realizó un experimento en el que recibió archivos con los datos personales de su novia de varias compañías. Envió solicitudes relevantes en su nombre a 150 organizaciones. Curiosamente, el 24% de las empresas tenían suficiente dirección de correo electrónico y número de teléfono como tarjeta de identidad; después de recibirlos, devolvieron el archivo con los archivos. Alrededor del 16% de las organizaciones solicitaron además fotos de un pasaporte (u otro documento).
Como resultado, James logró obtener un número de seguro social y una tarjeta de crédito, fecha de nacimiento, apellido de soltera y dirección de residencia de su "víctima". Un servicio que le permite verificar si la dirección de correo electrónico está "iluminada" en cualquier fuga (¿puedo haberlo pwned? Por ejemplo) incluso envió una lista de datos de autenticación utilizados anteriormente. Esta información puede causar piratería si el usuario no ha cambiado las contraseñas o las ha usado en otro lugar.
Hay otros ejemplos cuando los datos cayeron en las manos equivocadas después de un envío "erróneo". Entonces, hace tres meses, uno de los usuarios de Reddit
solicitó información personal sobre él de Epic Games. Sin embargo, ella envió su PD por error a otro jugador. Una historia similar sucedió el año pasado. Un cliente de Amazon
recibió accidentalmente un archivo de 100 megabytes con solicitudes de Internet a Alexa y miles de archivos WAF de otro usuario.
Fotos - Tom Sodoge - UnsplashUna de las principales razones para la ocurrencia de tales situaciones, los expertos llaman lo incompleto del Reglamento General de Protección de Datos. En particular, el RGPD nombra los plazos durante los cuales la empresa debe responder a las solicitudes de los usuarios (dentro de un mes) e indica multas, hasta 20 millones de euros o el 4% de los ingresos anuales, por incumplimiento de este requisito. Sin embargo, los procedimientos en sí, que deberían ayudar a las empresas a cumplir con la ley (por ejemplo, asegurarse de que los datos se envíen a su propietario), no se especifican en ella. Por lo tanto, las organizaciones tienen que construir de manera independiente (a veces, por prueba y error) sus procesos de trabajo.
Cómo arreglar la situación.
Una de las propuestas más radicales es abandonar el GDPR o alterarlo radicalmente. Se cree que la ley no funciona en su forma actual, ya que es muy
compleja y demasiado estricta, y se debe gastar una gran cantidad de dinero para cumplir con todos sus requisitos.
Por ejemplo, el año pasado los desarrolladores del juego Super Monday Night Combat se vieron obligados a reducir su proyecto. Según sus creadores, el presupuesto necesario para rehacer los sistemas para GDPR
excedió el presupuesto asignado al juego de siete años.
"Las pequeñas y medianas empresas a menudo no tienen los recursos tecnológicos y humanos para comprender los requisitos de los reguladores y hacer los preparativos necesarios", comentó Sergey Belkin, jefe del departamento de desarrollo del proveedor de IaaS 1cloud.ru . - Aquí, los grandes proveedores y proveedores de IaaS que alquilan infraestructura de TI segura pueden acudir al rescate. Por ejemplo, colocamos nuestro equipo en 1cloud.ru en centros de datos certificados de acuerdo con el estándar Tier III y ayudamos a los clientes a cumplir con los requisitos de la Ley Federal de Rusia-152 "Sobre datos personales".
Fotos - Cromatógrafo - UnsplashHay un punto de vista opuesto de que el problema aquí no está en la ley en sí, sino en el deseo de las empresas de cumplir sus requisitos solo formalmente. Uno de los residentes de Hacker News
señaló : la razón de la filtración de datos personales radica en el hecho de que las organizaciones
no implementan los mecanismos de verificación más simples, que son dictados por el sentido común.
De una forma u otra, en el futuro cercano, la UE no va a abandonar el RGPD, por lo que la situación que se arrojó a la luz durante la conferencia Black Hat debería servir como un incentivo para que las empresas presten más atención a la seguridad de la EP.
Sobre qué escribimos en nuestros blogs y redes sociales:
766 km - un nuevo récord de alcance para LoRaWAN
Quién usa el protocolo de autenticación SAML 2.0
Big Data: gran oportunidad o gran engaño
Datos personales: características de la nube pública
Una selección de libros para aquellos que ya participan en la administración del sistema o planean comenzar
¿Cómo funciona el soporte técnico de 1cloud?
La infraestructura de 1cloud en Moscú
se encuentra en Dataspace. Este es el primer centro de datos ruso que ha pasado la certificación Tier III del Uptime Institute.