Masalah kebocoran PD ke pengguna jaringan sosial dan layanan web semakin dibahas di media. Mungkin semua orang mendengar cerita itu dengan perusahaan analitik Cambridge Analytica, yang bisa mendapatkan data pribadi 87 juta pengguna Facebook (termasuk
data Mark Zuckerberg sendiri ).
Namun, ada kasus kebocoran PD yang kurang diketahui, skala masalahnya tidak kurang. Mari kita lihat beberapa contoh dan bicarakan langkah-langkah apa yang diambil oleh regulator dan perusahaan IT dalam upaya mereka untuk mencegah insiden semacam itu.
/ foto Mike Rickard CCSituasi kebocoran data pribadi
Pada tahun 2016, jumlah kasus pencurian PD
meningkat sebesar 40%, dibandingkan dengan tahun sebelumnya. Pada akhir musim semi 2016, peretas
memasang untuk penjualan 360 juta kredensial pengguna untuk MySpace. Nasib yang sama
menimpa 164 juta alamat email dan kata sandi jejaring sosial LinkedIn dan 100 juta
akun pengguna vk.com .
Dan "volume" kebocoran hanya bertambah. Sebagai InfoWatch, sebuah perusahaan keamanan informasi,
mencatat pada paruh pertama 2017, 7,78 miliar catatan dengan informasi pribadi dan pembayaran pengguna layanan internasional
dikompromikan . Ini hampir delapan kali lebih banyak dari pada paruh pertama 2016 (1,06 miliar), dan dua kali lipat untuk keseluruhan 2016 (3 miliar). Selain itu, baik peretas dan karyawan perusahaan (sengaja atau tidak sengaja) menjadi
bertanggung jawab atas kebocoran.
Sebagai contoh,
peretas disalahkan atas kebocoran pengguna PD pengguna Yahoo beberapa tahun sebelumnya. Pada 2014, mereka mencuri data pribadi lebih dari 500 juta pengguna layanan. Menurut perusahaan, nama, alamat dan nomor telepon, serta tanggal lahir, bisa "bocor". Kemudian ternyata pada tahun 2013 ada kasus peretasan yang lebih serius, ketika peretas memperoleh informasi dari lebih dari 1 miliar pengguna Yahoo, termasuk kata sandi dan jawaban atas pertanyaan rahasia.
Dan dalam kasus
perusahaan analitik LocalBlox , yang kemudian dikenal beberapa bulan yang lalu, "pembuangan" data terjadi karena kesalahan karyawan perusahaan. LocalBlox mengumpulkan data tentang pengguna beberapa jejaring sosial sekaligus - Facebook, LinkedIn, Twitter, dan Zillow. Di antara data ini tercantum: nama belakang dan nama depan, tautan ke akun di jejaring sosial, alamat, tanggal lahir, surat dan nomor telepon, gaji, bunga, dan banyak lagi. Seluruh array data 48 juta orang (volumenya sebesar 1,2 terabyte) perusahaan "meninggalkan" di penyimpanan terbuka Amazon. Dia
ditemukan oleh UpGuard ,
tim cybersecurity.
Situasi dengan Equifax,
yang disebut "kebocoran terburuk", tidak dapat diabaikan. Pada 2017, jumlah sosial. asuransi, kartu kredit, dan SIM yang dimiliki oleh biro kredit jatuh ke tangan pengganggu. Sebanyak 143 juta pelanggan terpengaruh.
Ada juga kasus yang diketahui ketika broker data terlibat dalam kebocoran pengguna. Pada 2011, perusahaan pemasaran Epsilon
diretas . Kemudian e-mail jutaan orang masuk ke jaringan, dan pemiliknya jatuh di bawah serangkaian serangan phishing dan spam. Dan pada 2015, Experian diretas. Peretas "membocorkan" informasi pribadi kepada 15 juta pengguna.
Untuk menghindari mengurangi kerusakan dari insiden seperti itu di masa depan, perusahaan telekomunikasi AS bahkan memutuskan untuk berhenti menjual pelanggan geodata ke broker. Kami menulis lebih banyak tentang ini di salah satu
materi blog kami yang
lalu .
Standar yang lebih ketat - solusi atau babak baru kontradiksi
Banyak pakar dan politisi dunia
sepakat bahwa kasus kebocoran dan pencurian di masa lalu menunjukkan perlunya memperketat kendali negara atas penyimpanan, distribusi, dan perlindungan data pengguna. Salah satu hukum paling terkenal yang diadopsi baru-baru ini adalah GDPR.
GDPR harus memberi warga negara Uni Eropa kontrol lebih besar atas data mereka, yang diminta oleh berbagai layanan online. Khususnya, pengguna sekarang dapat melarang jejaring sosial dari mendistribusikan data pribadi tanpa sepengetahuan mereka dan memerlukan penyediaan informasi tentang bagaimana mereka digunakan.
Dalam kasus pelanggaran persyaratan, perusahaan menghadapi denda yang serius. Mereka dapat mencapai
20 juta euro atau 4% dari omset tahunan . Oleh karena itu, banyak layanan telah mengubah kebijakan privasi mereka dan memperkenalkan fitur baru. Misalnya, untuk memenuhi persyaratan peraturan GDPR, WhatsApp menambahkan kemampuan untuk meminta informasi akun - ini adalah pengaturan, foto profil, nama grup, dll. Dan Instagram mengumumkan opsi baru untuk mengunduh data.
Kami telah menyiapkan materi terpisah tentang perubahan lain dalam kebijakan perusahaan media.
Regulator juga menetapkan kerangka waktu di mana perusahaan
harus melaporkan "kehilangan" data pribadi. Menurut GDPR, "jendela" ini adalah 72 jam setelah pendeteksian "saluran pembuangan".
/ foto Descrier CCDi berbagai negara dan bahkan di berbagai negara bagian Amerika, regulator menetapkan
aturan sendiri untuk melaporkan insiden. Misalnya, di Florida dan Colorado, regulator harus diberi
tahu dalam waktu 30 hari dari kebocoran. Pada saat yang sama, menurut penelitian, sekarang dibutuhkan rata-rata
206 hari bagi perusahaan-perusahaan Amerika untuk mendeteksi hilangnya informasi rahasia. Karena itu, sebagaimana dicatat dalam lembaga penelitian Ponemon, perusahaan harus meningkatkan kinerjanya.
Jika perusahaan menyembunyikan informasi tentang kebocoran atau peretasan, itu berisiko terkena denda besar. Pada akhir April 2018, Komisi Sekuritas dan Bursa AS mengumumkan bahwa Altaba (sebelumnya Yahoo)
harus membayar denda karena menekan kebocoran data pribadi 2014. Ukuran denda (untuk menekan tingkat pencurian, dan bukan karena fakta penerimaannya)
berjumlah $ 35 juta.
Di Rusia, denda untuk pelanggaran di bidang pemrosesan PD kurang. Namun, peraturan mungkin segera mengikuti jejak Barat. Otoritas negara sedang
merencanakan perusahaan untuk memastikan risiko kebocoran data pribadi. Nasib inisiatif harus diputuskan sedini bulan ini.
Apakah proyek pemerintah seperti itu akan efektif dalam jangka panjang, dan bagaimana mereka akan mempengaruhi kehidupan pengguna online, masih harus dilihat. Karena di daerah ini masih ada tagihan yang tidak semuanya sederhana. Seperti halnya dengan
reformasi hak cipta baru
- baru ini
di UE , yang
ditolak oleh Parlemen Eropa minggu ini.
PS Apa lagi yang kami tulis tentang Blog IaaS Perusahaan Pertama:
PPS Posting pada subjek dari blog kami di Habré:
Aktivitas utama perusahaan IT-GRAD adalah penyediaan layanan cloud:
Infrastruktur Virtual (IaaS) | Hosting PCI DSS | Cloud FZ-152 | Sewa 1C di awan