Нас это тоже коснётся. GDPR: новый регламент защиты данных
25 мая 2018 года в силу вступил регулирующий акт Евросоюза «Общие положения о защите данных» (General Data Protection Regulation, GDPR), и вся Европа перешла на новые правила обработки персональных данных. Зачем?
Произойдёт много изменений, которые затронут и нашу страну: российским компаниям придётся нести ответственность за безопасность данных своих клиентов из ЕС в соответствии с GDPR. Если не успеет подготовиться — долой с пляжа.
В 2018 году каждый школьник понимает, что информация — это новая нефть, и тот, кто обладает ею, открывает невероятные возможности для развития своего бизнеса. GDPR в этих условиях выступит в роли судьи: поможет в одном месте урегулировать все вопросы, связанные с безопасностью персональных данных.
Компании отреагировали на инициативу по-разному. Некоторым пришлось серьёзно ограничить свой бизнес: небольшие европейские стартапы не могут конкурировать с гигантами. Например, сервис Unroll.me уже официально объявил, что больше не будет обслуживать ЕС из-за введения GDPR, так как это несёт слишком много проблем.
Эффективная и выгодная реклама с сервисом от МегаФона
Широкий выбор рекламных каналов, более 100 параметров по интересам, подробная аналитика и другие возможности уже ждут в Личном кабинете. А еще кешбэк 100% за запуск рекламы в первый месяц и еще 10% — каждый месяц.
Другим нужно тщательно готовиться, а особенно — компаниям, обрабатывающим большие массивы пользовательских данных. Некоторые из них создали свои небольшие альянсы: AppsFlyer в сотрудничестве с дружественными компаниями mParticle, Amplitude и Braze представили инициативу OpenGDPR. Они позиционируют себя как своеобразную Лигу Справедливости, которая будет не просто следить за исполнением условий GDPR, а делиться опытом и лучшими практиками.
О GDPR писали многие СМИ, поэтому найти подробную информацию не так уж и сложно. Мы решили не повторять материалы и сегодня вспомним крупные сливы (утечки данных), от которых должен уберечь GDPR.
AshleyMadison
Сейчас мало кто вспомнит эту историю, но лето 2015 года выдалось во всех смыслах жарким. Один из крупнейших дейтинговых сервисов мира был взломан, и информация о 37 млн пользователей оказалась незащищённой.
С одной стороны — в последние годы подобные инциденты с утечкой данных происходят так часто, что люди уже перестают обращать на это внимание; с другой, AshleyMadison — всё-таки не самый типичный сервис знакомств. Он позиционировал себя как платформу для супружеской измены. «Жизнь коротка. Заведи интрижку», — официальный слоган сервиса.
Хакеры требовали немедленного закрытия AshleyMadison и ещё двух похожих проектов — Cougar Life и Established Men. Они обещали выложить в свободный доступ имена, адреса, номера кредитных карт и сексуальные предпочтения пользователей, если требования не будут выполнены. Закрытия не произошло, данные слили, а сайту пришлось заплатить пострадавшим (чьи браки они разрушили) 11,2 млн долларов.
MyFitnessPal
Спортивный бренд Under Armour допустил одну из наиболее масштабных утечек данных 2018 года. Компании принадлежит сервис MyFitnessPal, в котором пользователи отслеживают свой режим питания, подсчитывают калории, а с некоторых пор ещё могут делиться фотографиями своих успехов: показывать, какая фигура была и каких изменений удалось добиться.
Хакеры получили доступ к информации 150 млн человек, туда входили логины, адреса электронной почты и хеши паролей. Хеш представляет собой цепочку символов, на основе которой формируется пароль, когда пользователь входит в систему. Компания утверждает, что доступа к платёжным данным злоумышленникам получить не удалось.
Under Armour обнаружили проблему только в конце марта, хотя злоумышленники взломали систему ещё в феврале. Такие моменты, конечно, не красят компанию: после инцидента акции упали на 4,6%.
Некоторые эксперты считают, что эта история не стоит внимания: «О нет, кто-то узнает, сколько калорий я сжёг и какой вес у меня был», — ехидно комментируют новость. Но нужно не забывать о масштабе кражи. Даже нашумевший скандал с утечкой на Facebook был не таким охватным и затронул только 50 млн пользователей.
PlayStation Network
Скандалы с утечкой данных Sony в игровом мире уже никого не удивляют. Один из наиболее громких разразился весной 2011 года, когда хакеры получили доступ к персональным данным пользователей PlayStation Network и Qriocity.
Они точно знали имя, дату рождения, учётную запись игрока и адрес электронной почты. Общая база пользователей компании насчитывала около 77 млн пользователей, так что проблема носила действительно массовый характер. Официальные представители отказались делиться информацией о том, какая часть людей из числа этих 77 млн была скомпрометирована.
Большое возмущение вызвал не только сам инцидент, но и поведение Sony. Вместо того чтобы сразу принять все необходимые меры безопасности и предупредить своих клиентов о случившемся, компания рассказала об утечке данных только спустя неделю после произошедшего. Это, конечно, не добавляет чести Sony, но, с другой стороны, бывало и хуже — стоит вспомнить хотя бы историю с утечкой данных Uber в 2016 году, о которой представители рассказали не то что через неделю, они снизошли до этого только через год.
Sony в течение месяца восстанавливала доступ к своим инструментам и в качестве компенсации предложила пользователям пакет бесплатных услуг, который включал несколько игр, фильмов и более 100 виртуальных товаров.
Будь уже GDPR
Для сравнения, если бы GDPR уже был принят, то ни одной из этих компаний не удалось бы отделаться шумом в прессе и единичными штрафами, им пришлось бы попрощаться с 4% годового оборота, хотя вот AshleyMadison, кажется, потеряли больше.
В Общем положении о защите данных говорится, что бренды должны будут адресовать запросы на доступ, изменение, перенос и удаление информации в течение месяца или получат значительные штрафы за риск безопасности данных.
Компании столкнутся с тысячами таких запросов, требующих обработки в разных системах, что доставит массу неудобств. Поэтому OpenGDPR разработал программный интерфейс приложения, который будет подключаться ко всем системам компаний, гарантируя, что данные брендов обрабатываются в соответствии со всеми требованиями. То есть все эти запросы можно будет выполнить с минимальными усилиями.
Пока кажется, что от GDPR появилось очень много проблем, и не совсем понятно, оправданы ли они. Посмотрим, сработает нововведение или нет, а предварительный итог можно будет подвести уже совсем скоро.
Читайте также: Изменения рынка и технологий, которые повлияют на ваш бизнес в этом году
Мнение редакции может не совпадать с мнением автора. Ваши статьи присылайте нам на 42@cossa.ru. А наши требования к ним — вот тут.