GDPR给安全带来的七大不利影响

微不足道的善意之举都有可能引发始料未及的巨大负面影响。而当这些举动对全世界的个人和公司企业都有影响的时候，这种未预料到的负面效果，有可能是灾难性的。有些专家就很担心，在新的隐私监管规定，尤其是欧盟的《通用数据保护条例》(GDPR)汹涌而来的时代，安全团队履行自己职责的能力会不会受到影响。

某些情况下，GDPR和《加州消费者隐私法案》(CCPA) 等法律，反而让安全团队束手束脚，让本应受到保护的个人信息被黑客轻易偷走。这些监管法案往往缺乏具体实施细节，出于对潜在惩罚的恐惧与不确定，公司企业就会采取一些妨碍安全团队的保守做法。

违反GDPR的代价过于巨大，因而你不得不为那些预料不到的后果考虑，而且因为无法使用Whois数据，无形中也扩大了威胁界面。因为GDPR的存在，可供黑客入侵的威胁界面显著增长，不是增加了一点点，而是翻了个数量级。

隐私控制非常有必要，但也有安全团队因为出于隐私顾虑，无法访问所需数据而拖慢了对攻击的响应。而且讽刺的是，因为坏人也享有隐私权，在隐私法案的保护下便有了藏身之处和逃脱之道。

这很有可能导致未来再曝出几起史上最大隐私泄露案。

有些情况下，是公司企业对安全团队的事件响应方式反应过度了。比如说，GDPR第49条似乎就对履行自己职责的安全团队进行了豁免：

那么，GDPR及其他隐私监管规定都给安全团队带来了哪些非预期的困难呢?

1. 访问权要求给了黑客更多的个人数据

没有哪部隐私监管规定能阻止黑客接管个人账户。附上一点点上网费用，就可以获得接管账户所需的信息。然而，绝大部分隐私监管规定都赋予了消费者要求公司企业交出其所有个人可识别信息(PII)的权利。

如果要求这些信息的人真的是本人，那这种规定无疑很棒。问题在于，黑客可以获取到合法用户的足够信息来发起PII请求，获取到更多信息，实施更多侵害。

以往，黑客不过是从用户曾经买过东西的零售商那里弄到某个账户。现在的问题是每家零售商都购买或者收集用户各种各样的信息。一旦进入该账户，黑客就可以请求所有其他的信息，具备移动到其他账户的能力。黑客如今能从零售商那里要到的PII远比用户交给零售商的要多得多。

2. 消失的Whois数据令恶意域名得以存活

因怕违反GDPR规则中有关暴露私有数据的条款，很多互联网域名注册机构正在清除公开Whois数据库中的PII，但不仅仅是欧洲的域名，而是所有域名。这些数据对研究人员识别执行网络钓鱼、勒索软件及其他攻击的恶意域名至关重要。没错，黑客会用虚假PII注册域名;但就算是假数据，研究人员也可以顺藤摸瓜找出攻击者可能在用的其他恶意域名。

曾经，研究人员可以借助Whois数据和其他工具找出恶意网站的源头。明显虚假的Whois数据可以马上暴露出该网站是恶人建立的。仅有的真实信息是注册域名所用的邮箱和电话号码。

当然，黑客会使用一次性电话和某些免费电子邮件服务。但是研究人员很多情况下都能以自动化的方式立即识别出来。即便不知道黑客的真实身份，研究人员也有足够的信息可以查出该邮箱或电话还注册了哪些域名，至少可以将这些域名也标注为恶意。

惰性是人类本性，坏人也不例外，同一个电话号码注册1万个域名的案例也不是没有。每注册一个域名都用一个新的一次性电话是不现实的，时间、金钱、精力成本都不允许。黑客往往会用同一个电话搞定成千上万个恶意URL。于是，只要识别出某个注册邮箱或电话是黑客用来注册恶意域名的，那与该邮箱或电话号码相关的其他几千个域名都可以列入黑名单了。

即便不是真实数据，仅这一个恶意指标，就可以封住上千个可疑域名。而且有自动化工具的帮助，恶意域名封禁工作瞬间就能完成，用户可以享受到即时保护。但现在，Whois数据库用不了了，这种即时发现即时封堵的过程基本上也就没用了。

GDPR让域名注册机构处在了遵从互联网名称与地址分配机构(ICANN)的域名注册规则和最小化欧盟委员会罚款风险的两难选择中。ICANN自然无权处罚没用遵从其规则的注册机构，所以现在Whois数据库基本上算是下线了。如今，研究人员再也看不到与恶意域名关联的电话号码和邮箱地址，看不到注册人的姓名，除了已经识别出来的那一个域名，这同一个黑客所注册的其他成千上万个恶意域名都无法封禁。仅此一项，就有可能导致史上最大型隐私泄露案的发生，与GDPR保护个人隐私的初衷相去甚远。

欧盟和ICANN其实可以就Whois数据达成某种可操作的解决方案。欧洲高高在上的监管者们得坐下来与ICANN协商。但我们估计还得再等上几个月，等他们真正认识到问题的严重性，才有可能看到双方开始磋商。

3. 增加安全团队工作量

隐私监管规定不仅加重了安全团队肩上的责任，，也使他们的工作更加难以完成。安全与IT团队如今是最后一道安全防线，负责保证符合数据最小化、用途限制、处理安全和全程隐私等要求。

企业的安全与IT团队往往长时间工作，疲惫不堪。GDPR出台后，内部安全团队的责任越来越多，把人搞得疲惫不堪，十分焦虑。而被迫面对过多的责任和需遵从的各种“指南”，安全团队也无法恰当处理手头的工作了。

过于详细复杂的数据保护影响评估(DPIA)表，就是安全与IT团队陷入非必要额外工作的明证——这些表格要求的信息量之大已经远远超出了监管者的预期。有公司甚至搞出了包含500多个问题的67页DPIA模板，准备用于执行50多个DPIA。

完成这么一次DPIA所花费的时间显然太多了，这不是监管者所期望的。公司企业需采用既完全符合GDPR要求与指南，又合理而可操作的流程和方法。

对处罚风险的担心促成了安全团队的这种压力。同样的情况在早前监管金融报告的《萨班斯-奥克斯利法案》(Sarbanes-OxleyAct)出台时也发生过。与《萨班斯-奥克斯利法案》类似，不合规的代价过于巨大，而很多事情又是无法确定的，于是只有矫枉过正以追求风险最小化。但就像《萨班斯-奥克斯利法案》施行的过程一样，一旦公司企业知道可以预期些什么，IT与安全团队的压力便会消退。随着公司企业按照新的标准与监管规定调整自身操作，GDPR生效所带来的巨大压力也会渐渐被消化掉。

4. 拖慢事件响应

安全事件发生时，响应人员需快速确定问题，阻止伤害，封锁攻击者，并采取措施确保类似事件不会再度发生。但因为担心违反GDPR，欧洲很多公司的事件响应过程都受到了阻碍。

（编辑：核心网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!