Flux éternel: comment les régulateurs luttent contre la fuite des données personnelles

Le problème des fuites de PD aux utilisateurs des réseaux sociaux et des services Web est de plus en plus discuté dans les médias. Tout le monde a probablement entendu l'histoire avec la société d'analyse Cambridge Analytica, qui a pu obtenir les données personnelles de 87 millions d'utilisateurs de Facebook (y compris les données de Mark Zuckerberg lui-même ).

Cependant, il existe des cas moins connus de fuites de PD, dont l'ampleur du problème n'est pas moindre. Regardons quelques exemples et parlons des mesures que prennent les régulateurs et les sociétés informatiques dans leurs efforts pour prévenir de tels incidents.


/ photo Mike Rickard CC

Situation de fuite de données personnelles

En 2016, le nombre de cas de vol de PD a augmenté de 40% par rapport à l'année précédente. À la fin du printemps 2016, les pirates ont mis en vente 360 millions d'informations d'identification utilisateur pour MySpace. Le même sort a frappé 164 millions d'adresses e-mail et mots de passe du réseau social LinkedIn et 100 millions de comptes utilisateurs de vk.com .

Et les "volumes" de fuites ne font qu'augmenter. Comme InfoWatch, une société de sécurité de l'information, l'a noté au premier semestre 2017, 7,78 milliards d'enregistrements contenant des informations personnelles et de paiement d'utilisateurs de services internationaux ont été compromis . C'est près de huit fois plus qu'au premier semestre 2016 (1,06 milliard), et deux fois plus que pour l'ensemble de l'année 2016 (3 milliards). De plus, les pirates et les employés de l'entreprise (intentionnellement ou non) deviennent responsables des fuites.

Par exemple, les pirates informatiques étaient responsables de la fuite des utilisateurs de PD des utilisateurs de Yahoo plusieurs années auparavant. En 2014, ils ont volé les données personnelles de plus de 500 millions d'utilisateurs du service. Selon l'entreprise, les noms, adresses et numéros de téléphone, ainsi que les dates de naissance, pourraient «fuir». Plus tard, il s'est avéré qu'en 2013, il y a eu un autre cas de piratage, plus grave, lorsque des pirates ont obtenu des informations de plus d'un milliard d'utilisateurs de Yahoo, y compris des mots de passe et des réponses à des questions secrètes.

Et dans le cas de la société d'analyse LocalBlox , qui est devenue connue il y a quelques mois, la "décharge" des données s'est produite en raison de la faute des employés de la société. LocalBlox a collecté des données sur les utilisateurs de plusieurs réseaux sociaux à la fois - Facebook, LinkedIn, Twitter et Zillow. Parmi ces données figuraient: nom et prénom, liens vers des comptes sur les réseaux sociaux, adresse, date de naissance, mail et numéro de téléphone, salaire, intérêts et bien plus encore. L'ensemble des données de 48 millions de personnes (son volume s'élevait à 1,2 téraoctets) que la société a «laissé» dans le stockage ouvert d'Amazon. Il a été découvert par UpGuard , une équipe de cybersécurité.

La situation avec Equifax, qui est appelée la «pire fuite», ne peut être ignorée. En 2017, le nombre de social. les assurances, les cartes de crédit et les permis de conduire détenus par le bureau de crédit sont tombés entre les mains d'intrus. Au total, 143 millions de clients ont été touchés.

Il existe également des cas connus où des courtiers de données ont été impliqués dans des fuites d'utilisateurs. En 2011, la société de marketing Epsilon a été piratée . Ensuite, les e-mails de millions de personnes sont entrés dans le réseau et leurs propriétaires ont été victimes d'une série d'attaques de phishing et de spam. Et en 2015, Experian a été piraté. Les pirates ont "divulgué" des informations personnelles à 15 millions d'utilisateurs.

Afin d'éviter à l'avenir de réduire les dommages causés par de tels incidents, les sociétés de télécommunications américaines ont même décidé de cesser de vendre des géodonnées clients à des courtiers. Nous avons écrit plus à ce sujet dans l'un de nos précédents articles de blog .

Des normes plus strictes - une solution ou un nouveau cycle de contradictions

De nombreux experts et politiciens mondiaux ont convenu que les cas de fuites et de vols passés démontraient la nécessité de resserrer le contrôle de l'État sur le stockage, la distribution et la protection des données des utilisateurs. L'une des lois les plus célèbres adoptées récemment est le RGPD.

Le RGPD devrait donner aux citoyens de l'UE plus de contrôle sur leurs données, ce qui est demandé par divers services en ligne. En particulier, les utilisateurs peuvent désormais interdire aux réseaux sociaux de diffuser des données personnelles à leur insu et exiger la fourniture d'informations sur leur utilisation.

En cas de violation des exigences, les entreprises encourent de lourdes amendes. Ils peuvent atteindre 20 millions d'euros soit 4% du chiffre d'affaires annuel . Par conséquent, de nombreux services ont déjà modifié leurs politiques de confidentialité en conséquence et introduit de nouvelles fonctionnalités. Par exemple, pour répondre aux exigences de la réglementation GDPR, WhatsApp a ajouté la possibilité de demander des informations de compte - ce sont les paramètres, les photos de profil, les noms de groupe, etc. Et Instagram a annoncé une nouvelle option pour télécharger les données. Nous avons préparé des documents séparés sur d'autres changements dans les politiques des sociétés de médias.

Les régulateurs fixent également le délai dans lequel l'entreprise doit signaler la "perte" de données personnelles. Selon le RGPD, cette «fenêtre» est de 72 heures après la détection d'un «drain».


/ photo Descrier CC

Dans différents pays et même dans différents États d'Amérique, les régulateurs établissent leurs propres règles pour signaler les incidents. Par exemple, en Floride et au Colorado, le régulateur doit être informé dans les 30 jours d'une fuite. Dans le même temps, selon les recherches, il faut désormais en moyenne 206 jours aux entreprises américaines pour détecter la perte d'informations confidentielles. Par conséquent, comme indiqué dans l'agence de recherche Ponemon, les entreprises devront améliorer leurs performances.

Si une entreprise cache des informations sur une fuite ou un piratage, elle risque une grosse amende. Fin avril 2018, la Securities and Exchange Commission des États-Unis a annoncé qu'Altaba (anciennement Yahoo) devrait payer une amende pour avoir supprimé la fuite de données personnelles de 2014. Le montant de l'amende (pour supprimer l'étendue du vol, et non pour le fait de son admission) s'élevait à 35 millions de dollars.

En Russie, les amendes pour violations dans le domaine du traitement des PD sont moindres. Cependant, la réglementation pourrait bientôt suivre les traces de l'Occident. Les autorités du pays envisagent des entreprises pour assurer les risques de fuite de données personnelles. Le sort de l'initiative devrait être décidé dès ce mois-ci.

Il reste à voir si ces projets gouvernementaux seront efficaces à long terme et comment ils affecteront la vie en ligne des utilisateurs. Dans ce domaine, il existe encore des projets de loi avec lesquels tout n'est pas aussi simple. Comme c'est le cas avec la récente réforme du droit d'auteur dans l'UE , qui a été rejetée par le Parlement européen cette semaine.

---

PS Qu'est-ce que nous écrivons d'autre sur le premier blog IaaS d'entreprise:

• PD dans le cloud: domaines de responsabilité des clients et des fournisseurs de cloud
• Comment gérer la PD dans le cloud
• Ce qu'il faut considérer PD du point de vue du régulateur russe

PPS Posts sur un sujet de notre blog sur Habré:

• Comment gérer la MP dans la Fédération de Russie et ne pas enfreindre la loi
• "Un peu plus sur PD": les sociétés de télévision américaines cesseront de vendre les géodonnées de leurs clients
• La réforme du droit d'auteur de l'UE pourrait changer complètement le statut du Web

---

L'activité principale de la société IT-GRAD est la fourniture de services cloud:

Infrastructure virtuelle (IaaS) | Hébergement PCI DSS | Cloud FZ-152 | Louer 1C dans le cloud

---