Le RGPD a été créé pour donner aux citoyens de l'UE plus de contrôle sur les données personnelles. Et en termes de nombre de plaintes, l'objectif était «atteint»: au cours de l'année écoulée, les Européens ont commencé à signaler plus souvent des violations par les entreprises, et les entreprises elles-mêmes ont reçu de
nombreuses instructions et ont commencé à fermer rapidement les vulnérabilités afin de ne pas obtenir d'amende. Mais «soudainement», il s'est avéré que le RGPD est le plus visible et le plus efficace lorsqu'il s'agit d'éluder les sanctions financières ou de la nécessité même de s'y conformer. Et encore plus - conçu pour mettre un terme aux fuites de données personnelles, une réglementation mise à jour devient leur cause.
Nous vous disons quel est le problème.
Photos - Daan Mooij - UnsplashQuel est le problème
Selon le RGPD, les citoyens de l'UE ont le droit de demander une copie de leurs données personnelles stockées sur les serveurs d'une entreprise. Récemment, il est devenu connu que ce mécanisme peut être utilisé pour collecter la MP d'une autre personne. L'un des participants à la conférence Black Hat a
mené une expérience au cours de laquelle il a reçu des archives avec les données personnelles de sa mariée de diverses sociétés. Il a envoyé des demandes pertinentes en son nom à 150 organisations. Fait intéressant, 24% des entreprises avaient suffisamment d'adresse e-mail et de numéro de téléphone comme carte d'identité - après les avoir reçues, elles ont retourné l'archive avec les fichiers. Environ 16% des organisations ont également demandé des photos d'un passeport (ou d'un autre document).
En conséquence, James a réussi à obtenir un numéro de sécurité sociale et une carte de crédit, la date de naissance, le nom de jeune fille et l'adresse de résidence de sa «victime». Un service qui vous permet de vérifier si l'adresse e-mail est "allumée" en cas de fuite (puis-je avoir pwned? Par exemple) a même envoyé une liste des données d'authentification précédemment utilisées. Ces informations peuvent provoquer un piratage si l'utilisateur n'a pas modifié ses mots de passe ou les a utilisés ailleurs.
Il existe d'autres exemples où les données sont tombées entre de mauvaises mains après un envoi «erroné». Donc, il y a trois mois, l'un des utilisateurs de Reddit a
demandé des informations personnelles sur lui à Epic Games. Cependant, elle a envoyé par erreur son PD à un autre joueur. Une histoire similaire s'est produite l'année dernière. Un client Amazon a
accidentellement reçu une archive de 100 mégaoctets avec des demandes Internet à Alexa et des milliers de fichiers WAF d'un autre utilisateur.
Photos - Tom Sodoge - UnsplashL'une des principales raisons de l'apparition de telles situations, les experts appellent l'incomplétude du règlement général sur la protection des données. En particulier, le RGPD nomme les délais pendant lesquels l'entreprise doit répondre aux demandes des utilisateurs (dans un délai d'un mois) et indique des amendes - jusqu'à 20 millions d'euros ou 4% du chiffre d'affaires annuel - pour non-respect de cette exigence. Cependant, les procédures elles-mêmes, qui devraient aider les entreprises à se conformer à la loi (par exemple, s'assurer que les données sont transmises à leur propriétaire), n'y sont pas spécifiées. Par conséquent, les organisations doivent indépendamment (parfois, par essais et erreurs) construire leurs processus de travail.
Comment régler la situation
L'une des propositions les plus radicales est d'abandonner le RGPD ou de le modifier radicalement. On pense que la loi ne fonctionne pas sous sa forme actuelle, car elle est très
complexe et trop stricte, et il faut dépenser beaucoup d'argent pour répondre à toutes ses exigences.
Par exemple, l'année dernière, les développeurs du jeu Super Monday Night Combat ont été contraints de réduire leur projet. Selon ses créateurs, le budget nécessaire pour refaire les systèmes RGPD a
dépassé le budget alloué au jeu de sept ans.
«Les petites et moyennes entreprises n'ont souvent pas les ressources technologiques et humaines pour comprendre les exigences des régulateurs et faire les préparatifs nécessaires», a commenté Sergey Belkin, chef du département de développement du fournisseur IaaS 1cloud.ru . - Ici, les grands fournisseurs et fournisseurs IaaS qui louent une infrastructure informatique sécurisée peuvent venir à la rescousse. Par exemple, nous plaçons notre équipement dans 1cloud.ru dans des centres de données certifiés selon la norme Tier III et aidons les clients à répondre aux exigences de la loi fédérale russe-152 «sur les données personnelles».
Photos - Chromatographe - UnsplashIl y a un point de vue opposé selon lequel le problème n'est pas ici dans la loi elle-même, mais dans le désir des entreprises de remplir ses exigences seulement formellement. L'un des résidents de Hacker News a
noté : la raison de la fuite de données personnelles réside dans le fait que les organisations
ne mettent pas en œuvre les mécanismes de vérification
les plus simples, dictés par le bon sens.
D'une manière ou d'une autre, dans un avenir proche, l'UE n'abandonnera pas le RGPD, de sorte que la situation qui a été mise en lumière lors de la conférence Black Hat devrait inciter les entreprises à accorder plus d'attention à la sécurité de la MP.
Ce que nous écrivons sur nos blogs et réseaux sociaux:
766 km - un nouveau record d'autonomie pour LoRaWAN
Qui utilise le protocole d'authentification SAML 2.0
Big Data: grande opportunité ou grande tromperie
Données personnelles: fonctionnalités de cloud public
Une sélection de livres pour ceux qui sont déjà engagés dans l'administration du système ou envisagent de commencer
Comment fonctionne le support technique 1cloud
L'infrastructure 1cloud à Moscou
est située à Dataspace. Il s'agit du premier centre de données russe à avoir obtenu la certification Tier III de l'Uptime Institute.