GDPR diciptakan untuk memberi warga negara Uni Eropa kontrol lebih besar atas data pribadi. Dan dalam hal jumlah pengaduan, tujuannya “tercapai”: selama setahun terakhir, orang Eropa mulai melaporkan lebih sering pelanggaran oleh perusahaan, dan perusahaan itu sendiri menerima
banyak instruksi dan mulai dengan cepat menutup kerentanan agar tidak mendapatkan denda. Tetapi "tiba-tiba" ternyata bahwa GDPR paling terlihat dan efektif dalam hal menghindari sanksi keuangan atau kebutuhan untuk mematuhinya. Dan bahkan lebih - dirancang untuk mengakhiri kebocoran data pribadi, regulasi yang diperbarui menjadi penyebabnya.
Kami memberi tahu Anda ada apa.
Foto - Daan Mooij - UnsplashApa masalahnya?
Menurut GDPR, warga negara Uni Eropa memiliki hak untuk meminta salinan data pribadi mereka yang disimpan di server perusahaan. Baru-baru ini diketahui bahwa mekanisme ini dapat digunakan untuk mengumpulkan PD orang lain. Salah satu peserta konferensi Black Hat
melakukan percobaan di mana ia menerima arsip dengan data pribadi pengantin wanita dari berbagai perusahaan. Dia mengirim permintaan yang relevan atas namanya ke 150 organisasi. Menariknya, 24% perusahaan memiliki alamat email dan nomor telepon yang cukup sebagai kartu identitas - setelah menerimanya, mereka mengembalikan arsip dengan file-file tersebut. Sekitar 16% organisasi juga meminta foto paspor (atau dokumen lain).
Akibatnya, James berhasil mendapatkan nomor jaminan sosial dan kartu kredit, tanggal lahir, nama gadis dan alamat tempat tinggal "korban" -nya. Satu layanan yang memungkinkan Anda untuk memeriksa apakah alamat email "menyala" dalam kebocoran (dapatkah saya pwned? Misalnya) bahkan mengirim daftar data otentikasi yang sebelumnya digunakan. Informasi ini dapat menyebabkan peretasan jika pengguna tidak mengubah kata sandi atau menggunakannya di tempat lain.
Ada contoh lain ketika data jatuh ke tangan yang salah setelah pengiriman "salah". Jadi, tiga bulan lalu, salah satu pengguna Reddit
meminta informasi pribadi tentang dirinya dari Epic Games. Namun, dia keliru mengirim PD-nya ke pemain lain. Kisah serupa terjadi tahun lalu. Klien Amazon
secara tidak sengaja menerima arsip 100 megabyte dengan permintaan Internet untuk Alexa dan ribuan file WAF dari pengguna lain.
Foto - Tom Sodoge - UnsplashSalah satu alasan utama terjadinya situasi seperti itu, para ahli menyebut ketidaklengkapan dari Peraturan Perlindungan Data Umum. Secara khusus, GDPR menyebutkan jangka waktu di mana perusahaan harus menanggapi permintaan pengguna (dalam sebulan), dan mengindikasikan denda - hingga 20 juta euro atau 4% dari pendapatan tahunan - karena kegagalan untuk memenuhi persyaratan ini. Namun, prosedur itu sendiri, yang seharusnya membantu perusahaan mematuhi hukum (misalnya, memastikan bahwa data dikirim ke pemiliknya), tidak ditentukan di dalamnya. Oleh karena itu, organisasi harus secara mandiri (kadang-kadang, dengan coba-coba) membangun proses kerja mereka.
Cara memperbaiki situasi
Salah satu proposal paling radikal adalah meninggalkan GDPR atau mengubahnya secara radikal. Diyakini bahwa hukum tidak berfungsi dalam bentuknya saat ini, karena sangat
rumit dan terlalu ketat, dan sejumlah besar uang harus dikeluarkan untuk memenuhi semua persyaratannya.
Sebagai contoh, tahun lalu para pengembang game Super Monday Night Combat terpaksa membatasi proyek mereka. Menurut pembuatnya, anggaran yang diperlukan untuk membuat kembali sistem untuk GDPR
melebihi anggaran yang dialokasikan untuk permainan tujuh tahun.
"Usaha kecil dan menengah benar-benar sering tidak memiliki teknologi dan sumber daya manusia untuk memahami persyaratan regulator dan membuat persiapan yang diperlukan," komentar Sergey Belkin, kepala departemen pengembangan penyedia IaaS 1cloud.ru . - Di sini, vendor besar dan penyedia IaaS yang menyewa infrastruktur TI aman dapat datang untuk menyelamatkan. Misalnya, kami menempatkan peralatan kami di 1cloud.ru di pusat data yang disertifikasi sesuai dengan standar Tier III dan membantu pelanggan memenuhi persyaratan Undang-Undang Federal Rusia-152 “Tentang Data Pribadi”.
Foto - Kromatografi - UnsplashAda sudut pandang yang berlawanan bahwa masalahnya di sini bukan dalam hukum itu sendiri, tetapi dalam keinginan perusahaan untuk memenuhi persyaratannya hanya secara formal. Salah satu penghuni Hacker News
mencatat : alasan kebocoran data pribadi terletak pada kenyataan bahwa organisasi
tidak menerapkan mekanisme verifikasi yang paling sederhana, yang ditentukan oleh akal sehat.
Dengan satu atau lain cara, dalam waktu dekat, Uni Eropa tidak akan meninggalkan GDPR, sehingga situasi yang terungkap selama konferensi Black Hat harus berfungsi sebagai insentif bagi perusahaan untuk lebih memperhatikan keamanan PD.
Apa yang kami tulis di blog dan jejaring sosial kami:
766 km - rekor jangkauan baru untuk LoRaWAN
Siapa yang menggunakan protokol otentikasi SAML 2.0
Big Data: Peluang Besar atau Penipuan Besar
Data Pribadi: Fitur Cloud Publik
Pilihan buku untuk mereka yang sudah terlibat dalam administrasi sistem atau perencanaan untuk memulai
Bagaimana cara kerja dukungan teknis 1cloud
Infrastruktur 1cloud di Moskow
terletak di Dataspace. Ini adalah pusat data Rusia pertama yang telah lulus sertifikasi Tier lll dari Uptime Institute.