web 2.0

Крупные сливы до GDPR: поможет ли новый регламент защите данных?

25 мая 2018 года в силу вступит регулирующий акт Евросоюза «Общие положения о защите данных» (General Data Protection Regulation, GDPR) и вся Европа перейдет на новые правила обработки персональных данных. Произойдет много изменений, которые затронут и нашу страну: российским компаниям придется нести ответственность за безопасность данных своих…

Сейчас каждый школьник понимает, что дата – это новая нефть, и тот, кто обладает ею, открывает невероятные возможности для развития своего бизнеса. GDPR в этих условиях выступит в роли судьи: поможет в одном месте урегулировать все вопросы, связанные с безопасностью персональных данных.

Компании отреагировали на инициативу по-разному. Некоторым пришлось серьезно ограничить свой бизнес: небольшие европейские стартапы не могут конкурировать с гигантами, например, сервис Unroll.me уже официально объявил, что больше не будет обслуживать ЕС из-за введения GDPR, т.к. это несет слишком много проблем. Другим тщательно готовиться, а особенно — компаниям, обрабатывающим большие массивы пользовательских данных. Некоторые из них даже создали свои небольшие альянсы, например, израильский стартап AppsFlyer в сотрудничестве с дружественными компаниями mParticle, Amplitude и Braze представили собственную инициативу, которую назвали OpenGDPR. Они позиционируют себя как своеобразную Лигу Справедливости, которая будет не просто следить за исполнением условий GDPR, а делиться опытом и лучшими практиками.

О GDPR писали многие СМИ, поэтому найти подробную информацию не так уж и сложно. Мы решили не повторять материалы и сегодня вспомнили крупные сливы (утечки данных), от которых должен уберечь GDPR.

AshleyMadison

Сейчас мало, кто вспомнит эту историю, но лето 2015-го года выдалось во всех смыслах жарким. Один из крупнейших дейтинговых сервисов мира был взломан, и информация о 37 млн. пользователей оказалась незащищенной. С одной стороны – в последние годы подобные инциденты с утечкой данных происходят так часто, что люди уже перестают обращать на это внимание; с другой – AshleyMadison все-таки не самый типичный сервис знакомств. Он позиционировал себя как платформу для супружеской измены. “Life is short. Have an affair”, – эти претенциозные слова были официальным слоганом компании, что в переводе значило “Жизнь коротка. Заведи интрижку”.

Хакеры требовали немедленного закрытия AshleyMadison и еще двух похожих проектов – Cougar Life и Established Men. Они обещали выложить в свободный доступ имена, адреса, номера кредитных карт и сексуальные предпочтения пользователей, если требования не будут выполнены. Закрытия не произошло, данные слили, а сайту пришлось заплатить пострадавшим (чьи браки они разрушили) 11,2 млн долларов.

MyFitnessPal

Известный производитель спортивной одежды Under Armour допустил одну из наиболее масштабных утечек 2018-го года. Компании принадлежит сервис MyFitnessPal, в котором пользователи отслеживают свой режим питания, подсчитывают калории, а с некоторых пор еще могут делиться фотографиями своих успехов: показывать, какая фигура была и каких изменений удалось добиться. Хакеры получили доступ к информации 150 млн. человек, туда входили логины, адреса электронной почты и хэши паролей. Хэш представляет собой цепочку символов, на основе которой формируется пароль, когда пользователь входит в систему. Компания утверждает, что доступа к платежным данным, злоумышленникам получить не удалось.

Under Armour обнаружили проблему только в конце марта, хотя злоумышленники взломали систему еще в феврале. Такие моменты, конечно, не красят компанию: после инцидента акции упали на 4,6%. Некоторые эксперты считают, что эта история не стоит внимания: “О нет, кто-то узнает, сколько калорий я сжег и какой вес у меня был”, – ехидно комментируют новость, но нужно не забывать о масштабе кражи. Даже нашумевший скандал с утечкой на Facebook был не таким крупным и охватил только 50 млн. пользователей.

PlayStation Network

Скандалы с утечкой данных Sony в игровом мире уже никого не удивляют. Один из наиболее громких разразился весной 2011-го года., когда хакеры получили доступ к персональным данным пользователей PlayStation Network и Qriocity. Они точно знали имя, дату рождения, учетную запись игрока и адрес электронной почты. Общая база пользователей компании насчитывала около 77 млн. пользователей, так что проблема носила действительно массовый характер. Официальные представители отказались делиться информацией о том, какая часть людей из числа этих 77 млн. была скомпрометирована.

Большое возмущение вызвал не только сам инцидент, но и поведение Sony. Вместо того, чтобы сразу принять все необходимые меры безопасности и предупредить своих клиентов о случившемся, компания рассказала об утечке данных только спустя неделю после произошедшего. Это, конечно, не добавляет чести Sony, но с другой стороны – бывало и хуже, стоит вспомнить хотя бы историю с утечкой данных Uber в 2016-м году, о которой представители рассказали не то, что через неделю, они снизошли до этого только через год.

Sony в течение месяца восстанавливал доступ к своим инструментам и в качестве компенсации предложил пользователям пакет бесплатных услуг, который включал несколько игр, фильмов и более 100 виртуальных товаров.

Для сравнения, если бы GDPR уже был принят, то ни одной из этих компаний не удалось бы отделаться шумом в прессе и единичными штрафами, им пришлось бы попрощаться с 4% годового оборота, хотя вот AshleyMadison, кажется, потеряли больше.

В Общем положении о защите данных говорится, что бренды должны будут адресовать запросы на доступ, изменение, перенос и стирание информации в течение месяца или получат значительные штрафы за риск безопасности данных. Компании столкнуться с тысячами таких запросов, которые нужно будет обрабатывать в разных системах, что доставит массу неудобств. Поэтому OpenGDPR разработал программный интерфейс приложения, который будет подключаться ко всем системам компаний, гарантируя, что данные брендов обрабатываются в соответствии со всеми требованиями, то есть все эти запросы можно будет выполнить с минимальными усилиями. Пока кажется, что от GDPR появилось очень много проблем, и не совсем понятно, оправданы ли они. Посмотрим, сработает это или нет, а предварительный итог можно будет подвести уже совсем скоро.

Добавить комментарий