O GDPR foi criado para dar aos cidadãos da UE mais controle sobre dados pessoais. E em termos de número de reclamações, o objetivo foi "atingido": no ano passado, os europeus começaram a denunciar com mais frequência as violações das empresas, e as próprias empresas receberam
muitas instruções e começaram a fechar rapidamente as vulnerabilidades para não serem multadas. Mas "de repente", descobriu-se que o RGPD é mais perceptível e eficaz quando se trata de evitar sanções financeiras ou da própria necessidade de cumpri-las. E ainda mais - projetada para acabar com vazamentos de dados pessoais, a regulamentação atualizada se torna sua causa.
Nós dizemos qual é o problema.
Fotos - Daan Mooij - UnsplashQual é o problema
Segundo o RGPD, os cidadãos da UE têm o direito de solicitar uma cópia de seus dados pessoais que são armazenados nos servidores de uma empresa. Recentemente, tornou-se conhecido que esse mecanismo pode ser usado para coletar DP de outra pessoa. Um dos participantes da conferência Black Hat
conduziu um experimento em que ele recebeu arquivos com dados pessoais de sua noiva de várias empresas. Ele enviou solicitações relevantes em seu nome a 150 organizações. Curiosamente, 24% das empresas tinham endereço de e-mail e número de telefone suficientes como carteira de identidade - depois de recebê-los, eles devolveram o arquivo com os arquivos. Cerca de 16% das organizações solicitaram adicionalmente fotos de um passaporte (ou outro documento).
Como resultado, James conseguiu um número de segurança social e cartão de crédito, data de nascimento, nome de solteira e endereço de residência de sua “vítima”. Um serviço que permite que você verifique se o endereço de e-mail está "iluminado" em algum vazamento (posso ter instalado? Por exemplo) até enviou uma lista de dados de autenticação usados anteriormente. Essas informações podem causar hackers se o usuário não alterou as senhas ou as usou em outro lugar.
Existem outros exemplos em que os dados caíram nas mãos erradas após um envio "incorreto". Então, três meses atrás, um dos usuários do Reddit
solicitou informações pessoais sobre a Epic Games. No entanto, ela erroneamente enviou seu PD para outro jogador. Uma história semelhante aconteceu no ano passado. Um cliente Amazon
acidentalmente recebeu um arquivo de 100 megabytes com solicitações da Internet para Alexa e milhares de arquivos WAF de outro usuário.
Fotos - Tom Sodoge - UnsplashUma das principais razões para a ocorrência de tais situações, os especialistas chamam a incompletude do Regulamento Geral de Proteção de Dados. Em particular, o GDPR indica os prazos durante os quais a empresa deve responder às solicitações dos usuários (dentro de um mês) e indica multas - até 20 milhões de euros ou 4% da receita anual - por não cumprimento deste requisito. No entanto, os procedimentos em si, que devem ajudar as empresas a cumprir a lei (por exemplo, garantir que os dados sejam enviados ao proprietário), não são especificados nela. Portanto, as organizações precisam independentemente (às vezes por tentativa e erro) construir seus processos de trabalho.
Como consertar a situação
Uma das propostas mais radicais é abandonar o RGPD ou alterá-lo radicalmente. Acredita-se que a lei não funcione em sua forma atual, pois é muito
complexa e muito rigorosa, e uma grande quantia de dinheiro deve ser gasta no atendimento de todos os seus requisitos.
Por exemplo, no ano passado, os desenvolvedores do jogo Super Monday Night Combat foram forçados a reduzir seu projeto. Segundo seus criadores, o orçamento necessário para refazer os sistemas para o GDPR
excedeu o orçamento alocado para o jogo de sete anos.
"As empresas de pequeno e médio porte geralmente não têm recursos tecnológicos e humanos para entender os requisitos dos reguladores e fazer os preparativos necessários", comenta Sergey Belkin, chefe de desenvolvimento do provedor de IaaS 1cloud.ru . - Aqui, grandes fornecedores e provedores de IaaS que alugam infraestrutura de TI segura podem ajudar. Por exemplo, colocamos nossos equipamentos no 1cloud.ru em data centers certificados de acordo com o padrão de Nível III e ajudamos os clientes a atender aos requisitos da Lei Federal Russa-152 "Sobre Dados Pessoais".
Fotos - Cromatógrafo - UnsplashHá um ponto de vista oposto de que o problema aqui não está na própria lei, mas no desejo das empresas de cumprir formalmente seus requisitos. Um dos moradores do Hacker News
observou : o motivo do vazamento de dados pessoais está no fato de as organizações
não implementarem os mecanismos mais simples de verificação, ditados pelo senso comum.
De uma forma ou de outra, em um futuro próximo, a UE não abandonará o GDPR; portanto, a situação que foi iluminada durante a conferência Black Hat deve servir como um incentivo para as empresas prestarem mais atenção à segurança da DP.
Sobre o que escrevemos em nossos blogs e redes sociais:
766 km - um novo recorde de alcance para o LoRaWAN
Quem usa o protocolo de autenticação SAML 2.0
Big Data: grande oportunidade ou grande engano
Dados pessoais: recursos da nuvem pública
Uma seleção de livros para aqueles que já estão envolvidos na administração do sistema ou planejam iniciar
Como o suporte técnico do 1cloud funciona
A infraestrutura 1cloud em Moscou
está localizada no Dataspace. Este é o primeiro data center russo que passou na certificação Tier lll do Uptime Institute.