GDPR створювали, щоб дати громадянам ЄС більше контролю над персональними даними. І з точки зору кількості скарг мета була «досягнута»: за минулий рік європейці стали частіше повідомляти про порушення з боку компаній, а самі компанії отримали безліч приписів і почали оперативніше закривати уразливості, щоб не отримати штраф. Але «раптово» з’ясувалося, що GDPR найбільш помітний і ефективний, коли мова заходить або про ухилення від фінансових санкцій, або від самої необхідності дотримуватися його. І навіть більше – покликане покласти край витоку персональних даних, оновлене регулювання стає їх причиною.
Згідно GDPR, громадяни ЄС мають право запросити копію своїх персональних даних, які зберігаються на серверах тієї або іншої компанії. Нещодавно стало відомо, що цей механізм можна використовувати для збору ПД іншої людини. Один з учасників конференції Black Hat провів експеримент, в ході якого отримав архіви з персональними даними своєї нареченої від різних компаній. Він відправив відповідні запити від її імені в 150 організацій. Що цікаво, 24% компаніям було досить адреси електронної пошти та номеру телефону в якості посвідчення особи – після їх отримання вони повертали архів з файлами. Ще близько 16% організацій додатково запросили фотографії паспорту (або іншого документу).
В результаті, Джеймсу вдалося роздобути номер соціального страхування і кредитної карти, дату народження, дівоче прізвище та адресу проживання своєї «жертви». Один сервіс, який дозволяє перевірити, чи «засвітилася» адреса електронної пошти в будь-яких витоках (прикладом сервісу може бути Have i been pwned?), навіть надіслав список раніше використаних аутентифікаційних даних. Ця інформація може стати причиною злому, якщо користувач так і не змінив паролі або використовував їх десь ще.
Є й інші приклади, коли дані виявлялися в чужих руках після «помилкової» відправки. Так, три місяці тому один з користувачів Reddit запросив персональну інформацію про себе у компанії Epic Games. Однак вона помилково відправила його ПД іншому гравцеві. Схожа історія сталася і в минулому році. Клієнт Amazon випадково отримав 100-мегабайтний архів з інтернет-запитами до Alexa і тисячами WAF-файлів іншого користувача.
Однією з головних причин виникнення подібних ситуацій експерти називають неповноту Загального регламенту щодо захисту даних. Зокрема, GDPR називає терміни, протягом яких компанія повинна відповісти на запити користувачів (протягом місяця), і вказує штрафи – до 20 млн євро або 4% від річної виручки – за невиконання цієї вимоги. Однак самі процедури, які повинні допомогти компаніям відповідати закону (наприклад, упевнитися у відправці даних їх власнику), в ньому не конкретизовані. Тому організаціям доводиться самостійно (часом, методом проб і помилок) вибудовувати свої робочі процеси.
Як можна виправити становище
Одне з найбільш радикальних пропозицій – відмовитися від GDPR або кардинально його переробити. Є думка, що в поточному вигляді закон не працює, так як дуже складний і надмірно суровий, а на відповідність усім його вимогам доводиться витрачати велику кількість коштів.
Наприклад, в минулому році розробники гри Super Monday Night Combat були змушені згорнути свій проект. За словами її творців, бюджет, необхідний для переробки систем під GDPR, перевищував бюджет, що виділяється семирічній грі.
Один з резидентів Hacker News вважає, що проблема тут не в самому законі, а в прагненні компаній виконати його вимоги лише формально. Він зазначив: причина витоків персональних даних криється в тому, що організації не впроваджують найпростіші механізми верифікації, які продиктовані здоровим глуздом.
Так чи інакше, найближчим часом Євросоюз не збирається відмовлятися від GDPR, тому ситуація, на яку пролили світло під час конференції Black Hat, повинна послужити стимулом для компаній приділити більше уваги безпеці ПД.
Джерело: habr.com
