Die DSGVO wurde geschaffen, um den EU-Bürgern mehr Kontrolle über personenbezogene Daten zu geben. In Bezug auf die Anzahl der Beschwerden wurde das Ziel „erreicht“: Im vergangenen Jahr meldeten die Europäer häufiger Verstöße von Unternehmen, und die Unternehmen selbst erhielten
viele Anweisungen und begannen, Schwachstellen schnell zu schließen, um keine Geldstrafe zu erhalten. Aber "plötzlich" stellte sich heraus, dass die DSGVO am sichtbarsten und effektivsten ist, wenn es darum geht, finanziellen Sanktionen zu entgehen oder sie genau einzuhalten. Und noch mehr - um den Verlust personenbezogener Daten zu verhindern, wird eine aktualisierte Regulierung zu ihrer Ursache.
Wir sagen Ihnen, was los ist.
Fotos - Daan Mooij - UnsplashWas ist das Problem
Nach Angaben der DSGVO haben EU-Bürger das Recht, eine Kopie ihrer personenbezogenen Daten anzufordern, die auf den Servern eines Unternehmens gespeichert sind. Kürzlich wurde bekannt, dass dieser Mechanismus verwendet werden kann, um die PD einer anderen Person zu sammeln. Einer der Teilnehmer der Black Hat-Konferenz
führte ein Experiment durch, bei dem er Archive mit den persönlichen Daten seiner Braut von verschiedenen Unternehmen erhielt. Er sandte relevante Anfragen in ihrem Namen an 150 Organisationen. Interessanterweise hatten 24% der Unternehmen genügend E-Mail-Adresse und Telefonnummer als Ausweis - nach Erhalt gaben sie das Archiv mit den Dateien zurück. Etwa 16% der Organisationen forderten zusätzlich Fotos eines Passes (oder eines anderen Dokuments) an.
Infolgedessen gelang es James, eine Sozialversicherungsnummer und eine Kreditkarte, ein Geburtsdatum, einen Mädchennamen und eine Wohnadresse seines „Opfers“ zu erhalten. Ein Dienst, mit dem Sie überprüfen können, ob die E-Mail-Adresse bei Lecks "aufleuchtet" (kann ich pwned haben? Zum Beispiel), hat sogar eine Liste der zuvor verwendeten Authentifizierungsdaten gesendet. Diese Informationen können zu Hacking führen, wenn der Benutzer die Kennwörter nicht geändert oder anderweitig verwendet hat.
Es gibt andere Beispiele, bei denen die Daten nach einem „fehlerhaften“ Senden in die falschen Hände geraten sind. Vor drei Monaten forderte einer der Reddit-Benutzer bei Epic Games persönliche Informationen über sich an. Sie schickte seine PD jedoch fälschlicherweise an einen anderen Spieler. Eine ähnliche Geschichte ist letztes Jahr passiert. Ein Amazon-Client hat
versehentlich ein 100-Megabyte-Archiv mit Internetanfragen an Alexa und Tausenden von WAF-Dateien von einem anderen Benutzer erhalten.
Fotos - Tom Sodoge - UnsplashAls einen der Hauptgründe für das Auftreten solcher Situationen bezeichnen Experten die Unvollständigkeit der Allgemeinen Datenschutzverordnung. Insbesondere nennt die DSGVO die Zeiträume, in denen das Unternehmen auf Benutzeranfragen reagieren muss (innerhalb eines Monats), und gibt Geldstrafen - bis zu 20 Millionen Euro oder 4% des Jahresumsatzes - für die Nichteinhaltung dieser Anforderung an. Die Verfahren selbst, die Unternehmen bei der Einhaltung des Gesetzes unterstützen sollen (z. B. sicherstellen, dass Daten an ihren Eigentümer gesendet werden), sind darin nicht festgelegt. Daher müssen Organisationen ihre Arbeitsprozesse unabhängig (manchmal durch Ausprobieren) aufbauen.
So beheben Sie die Situation
Einer der radikalsten Vorschläge ist, die DSGVO aufzugeben oder radikal zu ändern. Es wird angenommen, dass das Gesetz in seiner jetzigen Form nicht funktioniert, da es sehr
komplex und zu streng ist und viel Geld für die Erfüllung aller seiner Anforderungen ausgegeben werden muss.
Zum Beispiel mussten die Entwickler des Super Monday Night Combat-Spiels letztes Jahr ihr Projekt kürzen. Laut den Machern
überstieg das Budget , das für die Neugestaltung von Systemen für die DSGVO benötigt wurde,
das Budget für das siebenjährige Spiel.
„Kleine und mittlere Unternehmen verfügen häufig nicht über die technologischen und personellen Ressourcen, um die Anforderungen der Regulierungsbehörden zu verstehen und die erforderlichen Vorbereitungen zu treffen“, kommentierte Sergey Belkin, Leiter der Entwicklungsabteilung des IaaS-Anbieters 1cloud.ru . - Hier können große Anbieter und IaaS-Anbieter, die eine sichere IT-Infrastruktur mieten, Abhilfe schaffen. Zum Beispiel platzieren wir unsere Geräte in 1cloud.ru in Rechenzentren, die nach dem Tier III-Standard zertifiziert sind, und helfen Kunden, die Anforderungen des russischen Bundesgesetzes 152 „Über personenbezogene Daten“ zu erfüllen.
Fotos - Chromatograph - UnsplashEs gibt einen entgegengesetzten Standpunkt, dass das Problem hier nicht im Gesetz selbst liegt, sondern im Wunsch der Unternehmen, ihre Anforderungen nur formal zu erfüllen. Einer der Bewohner von Hacker News
bemerkte : Der Grund für den Verlust personenbezogener Daten liegt in der Tatsache, dass Organisationen
nicht die einfachsten Überprüfungsmechanismen
implementieren , die vom gesunden Menschenverstand diktiert werden.
Auf die eine oder andere Weise wird die EU in naher Zukunft die DSGVO nicht aufgeben, daher sollte die Situation, die während der Black Hat-Konferenz beleuchtet wurde, als Anreiz für Unternehmen dienen, der Sicherheit der Parkinson-Krankheit mehr Aufmerksamkeit zu schenken.
Worüber wir in unseren Blogs und sozialen Netzwerken schreiben:
766 km - ein neuer Reichweitenrekord für LoRaWAN
Wer verwendet das SAML 2.0-Authentifizierungsprotokoll?
Big Data: Große Chance oder große Täuschung
Persönliche Daten: Funktionen der öffentlichen Cloud
Eine Auswahl von Büchern für diejenigen, die bereits mit der Systemadministration beschäftigt sind oder planen zu beginnen
Wie funktioniert der technische Support von 1cloud?
Die 1cloud-Infrastruktur in Moskau
befindet sich in Dataspace. Dies ist das erste russische Rechenzentrum, das die Tier III-Zertifizierung des Uptime Institute erhalten hat.