Flujo eterno: cómo los reguladores luchan contra el drenaje de datos personales

El problema de la filtración de PD a los usuarios de redes sociales y servicios web se discute cada vez más en los medios de comunicación. Probablemente todos escucharon la historia con la compañía analítica Cambridge Analytica, que pudo obtener los datos personales de 87 millones de usuarios de Facebook (incluidos los datos del propio Mark Zuckerberg ).

Sin embargo, hay casos menos conocidos con fugas de EP, cuya escala del problema no es menor. Veamos algunos ejemplos y hablemos sobre las medidas que los reguladores y las compañías de TI están tomando en sus esfuerzos para prevenir tales incidentes.


/ foto Mike Rickard CC

Situación de fuga de datos personales

En 2016, el número de casos de robo de EP aumentó en un 40%, en comparación con el año anterior. A fines de la primavera de 2016, los piratas informáticos pusieron a la venta 360 millones de credenciales de usuario para MySpace. El mismo destino le ocurrió a 164 millones de direcciones de correo electrónico y contraseñas de la red social LinkedIn y 100 millones de cuentas de usuario de vk.com .

Y los "volúmenes" de fugas solo están creciendo. Como señaló InfoWatch, una compañía de seguridad de la información, en el primer semestre de 2017, se comprometieron 7.78 mil millones de registros con información personal y de pago de usuarios de servicios internacionales. Esto es casi ocho veces más que en el primer semestre de 2016 (1.06 mil millones), y el doble que en todo 2016 (3 mil millones). Además, tanto los piratas informáticos como los empleados de la empresa (intencionalmente o no) se hacen responsables de las fugas.

Por ejemplo, los piratas informáticos fueron los culpables de la filtración de usuarios de PD de usuarios de Yahoo varios años antes. En 2014, robaron los datos personales de más de 500 millones de usuarios del servicio. Según la compañía, los nombres, las direcciones y los números de teléfono, así como las fechas de nacimiento, podrían "filtrarse". Más tarde resultó que en 2013 hubo otro caso más grave de piratería, cuando los piratas informáticos obtuvieron información de más de mil millones de usuarios de Yahoo, incluidas contraseñas y respuestas a preguntas secretas.

Y en el caso de la compañía analítica LocalBlox , que se conoció hace un par de meses, la "descarga" de los datos se produjo por culpa de los empleados de la compañía. LocalBlox recopiló datos sobre usuarios de varias redes sociales a la vez: Facebook, LinkedIn, Twitter y Zillow. Entre estos datos se enumeraron: apellido y nombre, enlaces a cuentas en redes sociales, dirección, fecha de nacimiento, correo y número de teléfono, salario, intereses y mucho más. Toda la matriz de datos de 48 millones de personas (su volumen ascendía a 1,2 terabytes) la empresa "dejó" en el almacenamiento abierto de Amazon. Fue descubierto por UpGuard , un equipo de seguridad cibernética.

La situación con Equifax, que se llama la "peor filtración", no puede ser ignorada. En 2017, el número de sociales. El seguro, las tarjetas de crédito y las licencias de conducir en poder del buró de crédito cayeron en manos de intrusos. Un total de 143 millones de clientes se vieron afectados.

También hay casos conocidos en los que los corredores de datos estuvieron involucrados en filtraciones de usuarios. En 2011, la empresa de marketing Epsilon fue pirateada . Luego, los correos electrónicos de millones de personas ingresaron a la red, y sus propietarios cayeron bajo una serie de ataques de phishing y spam. Y en 2015, Experian fue pirateado. Los hackers "filtraron" información personal a 15 millones de usuarios.

Para evitar reducir el daño de tales incidentes en el futuro, las compañías de telecomunicaciones estadounidenses incluso decidieron dejar de vender geodatos de clientes a corredores. Escribimos más sobre esto en uno de nuestros materiales de blog anteriores .

Estándares más estrictos: una solución o una nueva ronda de contradicciones

Muchos expertos y políticos mundiales acordaron que los casos anteriores de fugas y robos demuestran la necesidad de reforzar el control estatal sobre el almacenamiento, la distribución y la protección de los datos de los usuarios. Una de las leyes más famosas aprobadas recientemente es el GDPR.

El GDPR debería dar a los ciudadanos de la UE un mayor control sobre sus datos, que es solicitado por varios servicios en línea. En particular, los usuarios ahora pueden prohibir que las redes sociales distribuyan datos personales sin su conocimiento y requieren la provisión de información sobre cómo se usan.

En caso de violación de los requisitos, las empresas enfrentan multas graves. Pueden alcanzar los 20 millones de euros o el 4% de la facturación anual . Por lo tanto, muchos servicios ya han cambiado sus políticas de privacidad en consecuencia y han introducido nuevas funciones. Por ejemplo, para cumplir con los requisitos de la regulación GDPR, WhatsApp agregó la capacidad de solicitar información de la cuenta: configuraciones, fotos de perfil, nombres de grupos, etc. E Instagram anunció una nueva opción para descargar datos. Hemos preparado material separado sobre otros cambios en las políticas de las compañías de medios.

Los reguladores también establecen el marco de tiempo dentro del cual la empresa debe informar sobre la "pérdida" de datos personales. Según el RGPD, esta "ventana" es 72 horas después de la detección de un "drenaje".


/ foto Descrier CC

En diferentes países e incluso en diferentes estados de América, los reguladores establecen sus propias reglas para informar incidentes. Por ejemplo, en Florida y Colorado, el regulador debe ser notificado dentro de los 30 días de una fuga. Al mismo tiempo, según la investigación, ahora lleva un promedio de 206 días para que las compañías estadounidenses detecten la pérdida de información confidencial. Por lo tanto, como se señaló en la agencia de investigación Ponemon, las empresas tendrán que mejorar su desempeño.

Si una empresa oculta información sobre una fuga o piratería, corre el riesgo de una gran multa. A finales de abril de 2018, la Comisión de Bolsa y Valores de EE. UU. Anunció que Altaba (anteriormente Yahoo) debería pagar una multa por suprimir la fuga de datos personales de 2014. El monto de la multa (por suprimir el alcance del robo, y no por el hecho de su admisión) ascendió a $ 35 millones.

En Rusia, las multas por violaciones en el campo del procesamiento de PD son menores. Sin embargo, la regulación pronto puede seguir los pasos de Occidente. Las autoridades del país planean compañías para asegurar los riesgos de fuga de datos personales. El destino de la iniciativa debería decidirse tan pronto como este mes.

Queda por ver si dichos proyectos gubernamentales serán efectivos a largo plazo y cómo afectarán la vida en línea de los usuarios. Dado que en esta área todavía hay facturas con las que no todo es tan simple. Como es el caso con la reciente reforma del derecho de autor en la UE , que fue rechazada por el Parlamento Europeo esta semana.

---

PD: ¿Qué más estamos escribiendo sobre el primer blog corporativo IaaS:

• PD en la nube: áreas de responsabilidad de clientes y proveedores de la nube
• Cómo manejar la DP en la nube
• Qué considerar PD desde el punto de vista del regulador ruso

Publicaciones de PPS sobre un tema de nuestro blog en Habré:

• Cómo manejar la EP en la Federación de Rusia y no violar la ley
• "Un poco más sobre DP": las compañías de televisión estadounidenses dejarán de vender geodatos de clientes
• La reforma de los derechos de autor de la UE podría cambiar completamente el estado de la web

---

La actividad principal de la empresa IT-GRAD es la provisión de servicios en la nube:

Infraestructura virtual (IaaS) | Alojamiento PCI DSS | Nube FZ-152 | Alquile 1C en la nube

---