Главная » Хабрахабр » Security Week 19: великий и ужасный GDPR

Security Week 19: великий и ужасный GDPR

Представьте себе на минуту идеальный мир, в котором все ваши данные хранятся в облачной системе, в зашифрованном виде, и доступ к этому хранилищу имеете только вы. «Учетная запись» используется для синхронизации данных на домашнем ПК, смартфоне и планшете. Для доступа к файлам, сообщениям мессенджера и почтовой переписке требуется дополнительное согласие владельца. Еще более строго ограничивается доступ к вашим данным со стороны третьих лиц и компаний. Одной большой красной кнопкой можно отключить доступ сразу всем сторонним сервисам. Социальные сети теперь обязаны каждый раз запрашивать ваше разрешение на использование данных для таргетирования рекламных объявлений. Законодательно закреплен и поддержан технологиями режим инкогнито, когда компаниям прямо запрещено отслеживать вашу активность — для любых целей. Стоимость персональных данных растет и становится публичной: желающим свободно делиться своими данными предлагают солидные компенсации. За персональное хранилище данных тоже приходится платить, но гораздо меньше.

«День GDPR» по идее должен был пройти незаметно для большинства: это же законодательство, юридические тонкости и прочее. Ничего из вышеперечисленного НЕ произошло 25 мая, когда официально вступили в силу нормы европейского регламента о защите данных (General Data Protection Regulation). Результат могли наблюдать все пользователи Интернета в своих почтовых ящиках. Но сказалась как сложность новых принципов защиты персональных данных, так и традиционное человеческое раздолбайство. Массово рассылая обереги от гнева европейских бюрократов, становятся ли компании ответственнее при обработке персональных данных? Обычно происходило это с комментарием: «Никогда бы не подумал, сколько компаний владеют информацией обо мне». Пока скорее нет, чем да, но есть и позитивные примеры.

Что может пойти не так?

Да все что угодно! Разработчик плагина для блокировки рекламы в вебе Ghostery успешно расстрелял себе обе ноги, отправив сообщение о GDPR 500 пользователям, причем адрес каждого из них был открытым текстом записан в поле To.
Напомню, основным принципом GDPR является не столько ответственная обработка персональных данных, сколько ответственное их хранение, причем особо оговаривается, что данные НЕ должны лежать в открытом виде. Или рассылаться всем клиентам.
Большая часть корпоративных сообщений по поводу GDPR действительно больше похожа на прикрытие, так сказать, юридических тылов, нежели на попытки чуть более активно следовать духу закона. Предположу, что наибольшие проблемы новое законодательство принесло малому и среднему бизнесу, так или иначе подпадающему под действие европейских правил. Например, сервис klout прекратил работу, видимо, решив, что проще так, чем пытаться привести всю инфраструктуру в соответствие с новым законодательством. Сайт газеты Los Angeles Times всем посетителям из Европы показывает вот такую заглушку:

Американское National Public Radio европейцев не отфутболивает, но показывает полностью текстовую версию сайта, лишенную всякого рекламного кода и вызывающую даже приятные ностальгические чувства. По аналогичным причинам временно закрыт для Европы сервис Instapaper.

Газета USA Today сделала для жителей Европы отдельную версию сайта, где главная страница с идентичным контентом занимает в 10 раз меньше места! Честнее всего поступило издание Politico, демонстрирующее полный список компаний, собирающих информацию о посетителях сайта, с возможностью отключить каждого провайдера или всех скопом. В списке компаний, профилирующих пользователя для показа рекламы, — несколько десятков вендоров.

А что насчет крупных компаний? С одной стороны, такие монстры, как Google и Facebook, имеют функциональность, отвечающую требованиям GDPR, уже довольно давно: в обоих случаях вы можете выгрузить абсолютно всю информацию, которую крупный интернет-сервис про вас «знает». С другой, нельзя сказать, что методы сбора и обработки информации стали намного прозрачнее. В первый же день работы GDPR австрийский борец за приватность Макс Шремс подал пусть и символические, но многомиллиардные иски к Facebook (в отношении Whatsapp и Instagram) и Google (по части Android). Основная претензия: сетевые гиганты вынуждают пользователей принимать все условия обработки информации скопом: или соглашайся, или лишишься доступа к сервису. Теоретически GDPR как раз должен предоставлять право более детального выбора.

Насколько эффективным будет законодательство, сможет ли оно остановить этот «мир дикого Запада» в отношении пользовательских данных и привести рынок информации к цивилизованному виду? В общем, 25 мая тема GDPR не закончилась, а, скорее, только началась. Посмотрим. Что насчет спамеров, фишеров и прочих киберпреступников, не связанных никаким законодательством? В техническом мире хотелось бы, конечно, увидеть техническое же решение проблемы. Практика применения закона, инциденты с наказанием невиновных и награждением непричастных это покажут. Законодательство с более жесткими требованиями приватности в этом контексте точно не помешает. Но увы, пока крупнейшие игроки на рынке IT скорее НЕ заинтересованы в строгом соблюдении прав пользователей, просто потому что это дешевле и выгоднее.

Дорогая редакция вообще рекомендует относиться к любым мнениям со здоровым скептицизмом. Disclaimer: Мнения, изложенные в этом дайджесте, могут не всегда совпадать с официальной позицией «Лаборатории Касперского».


Оставить комментарий

Ваш email нигде не будет показан
Обязательные для заполнения поля помечены *

*

x

Ещё Hi-Tech Интересное!

[Из песочницы] .Net Бинарная сериализация без ссылки на сборку с исходным типом или как договориться с BinaryFormatter

В данной статье я поделюсь опытом бинарной сериализации типов между сборками, без ссылок друг на друга. Как оказалось, встречаются реальные и «законные» случаи, когда нужно десериализовать данные не имея сыслки на сборку где они объявлены. В статье я расскажу о ...

[Из песочницы] Написание простого процессора и окружения для него

В этой статье я расскажу какие шаги нужно пройти для создания простого процессора и окружения для него. Здравствуйте! Важны такие параметры как: Для начала нужно определиться с тем, каким будет процессор. Архитектуры процессоров можно разделить по размеру инструкций на 2 ...