微不足道的善意之舉都有可能引發(fā)始料未及的巨大負面影響。而當這些舉動對全世界的個人和公司企業(yè)都有影響的時候���,這種未預料到的負面效果���,有可能是災難性的�����。有些專家就很擔心�����,在新的隱私監(jiān)管規(guī)定�����,尤其是歐盟的《通用數(shù)據(jù)保護條例》(GDPR)洶涌而來的時代����,安全團隊履行自己職責的能力會不會受到影響。
某些情況下�����,GDPR和《加州消費者隱私法案》(CCPA) 等法律����,反而讓安全團隊束手束腳,讓本應受到保護的個人信息被黑客輕易偷走�����。這些監(jiān)管法案往往缺乏具體實施細節(jié)���,出于對潛在懲罰的恐懼與不確定��,公司企業(yè)就會采取一些妨礙安全團隊的保守做法����。
違反GDPR的代價過于巨大����,因而你不得不為那些預料不到的后果考慮�,而且因為無法使用Whois數(shù)據(jù)�����,無形中也擴大了威脅界面��。因為GDPR的存在����,可供黑客入侵的威脅界面顯著增長���,不是增加了一點點���,而是翻了個數(shù)量級。
隱私控制非常有必要���,但也有安全團隊因為出于隱私顧慮�,無法訪問所需數(shù)據(jù)而拖慢了對攻擊的響應�����。而且諷刺的是�����,因為壞人也享有隱私權(quán),在隱私法案的保護下便有了藏身之處和逃脫之道�。
這很有可能導致未來再曝出幾起史上最大隱私泄露案。
有些情況下����,是公司企業(yè)對安全團隊的事件響應方式反應過度了。比如說�,GDPR第49條似乎就對履行自己職責的安全團隊進行了豁免:
| 出于確保網(wǎng)絡和信息安全的目的而進行絕對必要及恰當?shù)膫€人數(shù)據(jù)處理,是數(shù)據(jù)控制者的合法權(quán)益�����。比如保證網(wǎng)絡或信息系統(tǒng)在某種程度上能夠抵御損及所存儲或傳輸?shù)膫€人數(shù)據(jù)的可用性�、真實性、完整性及機密性的意外事件或非法及惡意行為�����,以及確保公共權(quán)力機關(guān)�����、計算機應急響應小組(CERT)、計算機安全事件響應團隊(CSIRT)��、電子通信網(wǎng)絡及服務提供商和安全技術(shù)及服務提供商通過這些網(wǎng)絡和系統(tǒng)提供或訪問的相關(guān)服務的安全�。 |
那么,GDPR及其他隱私監(jiān)管規(guī)定都給安全團隊帶來了哪些非預期的困難呢?
1. 訪問權(quán)要求給了黑客更多的個人數(shù)據(jù)
沒有哪部隱私監(jiān)管規(guī)定能阻止黑客接管個人賬戶�����。附上一點點上網(wǎng)費用�,就可以獲得接管賬戶所需的信息。然而����,絕大部分隱私監(jiān)管規(guī)定都賦予了消費者要求公司企業(yè)交出其所有個人可識別信息(PII)的權(quán)利。
如果要求這些信息的人真的是本人����,那這種規(guī)定無疑很棒��。問題在于�����,黑客可以獲取到合法用戶的足夠信息來發(fā)起PII請求���,獲取到更多信息��,實施更多侵害���。
以往���,黑客不過是從用戶曾經(jīng)買過東西的零售商那里弄到某個賬戶。現(xiàn)在的問題是每家零售商都購買或者收集用戶各種各樣的信息��。一旦進入該賬戶����,黑客就可以請求所有其他的信息,具備移動到其他賬戶的能力�����。黑客如今能從零售商那里要到的PII遠比用戶交給零售商的要多得多�����。
2. 消失的Whois數(shù)據(jù)令惡意域名得以存活
因怕違反GDPR規(guī)則中有關(guān)暴露私有數(shù)據(jù)的條款��,很多互聯(lián)網(wǎng)域名注冊機構(gòu)正在清除公開Whois數(shù)據(jù)庫中的PII�����,但不僅僅是歐洲的域名,而是所有域名���。這些數(shù)據(jù)對研究人員識別執(zhí)行網(wǎng)絡釣魚����、勒索軟件及其他攻擊的惡意域名至關(guān)重要�����。沒錯��,黑客會用虛假PII注冊域名;但就算是假數(shù)據(jù)����,研究人員也可以順藤摸瓜找出攻擊者可能在用的其他惡意域名。
曾經(jīng)���,研究人員可以借助Whois數(shù)據(jù)和其他工具找出惡意網(wǎng)站的源頭。明顯虛假的Whois數(shù)據(jù)可以馬上暴露出該網(wǎng)站是惡人建立的����。僅有的真實信息是注冊域名所用的郵箱和電話號碼。
當然,黑客會使用一次性電話和某些免費電子郵件服務����。但是研究人員很多情況下都能以自動化的方式立即識別出來。即便不知道黑客的真實身份��,研究人員也有足夠的信息可以查出該郵箱或電話還注冊了哪些域名���,至少可以將這些域名也標注為惡意�����。
惰性是人類本性��,壞人也不例外���,同一個電話號碼注冊1萬個域名的案例也不是沒有。每注冊一個域名都用一個新的一次性電話是不現(xiàn)實的��,時間�、金錢、精力成本都不允許�����。黑客往往會用同一個電話搞定成千上萬個惡意URL。于是�����,只要識別出某個注冊郵箱或電話是黑客用來注冊惡意域名的�����,那與該郵箱或電話號碼相關(guān)的其他幾千個域名都可以列入黑名單了�。
即便不是真實數(shù)據(jù),僅這一個惡意指標��,就可以封住上千個可疑域名�����。而且有自動化工具的幫助����,惡意域名封禁工作瞬間就能完成,用戶可以享受到即時保護����。但現(xiàn)在����,Whois數(shù)據(jù)庫用不了了�����,這種即時發(fā)現(xiàn)即時封堵的過程基本上也就沒用了�。
GDPR讓域名注冊機構(gòu)處在了遵從互聯(lián)網(wǎng)名稱與地址分配機構(gòu)(ICANN)的域名注冊規(guī)則和最小化歐盟委員會罰款風險的兩難選擇中��。ICANN自然無權(quán)處罰沒用遵從其規(guī)則的注冊機構(gòu)���,所以現(xiàn)在Whois數(shù)據(jù)庫基本上算是下線了��。如今��,研究人員再也看不到與惡意域名關(guān)聯(lián)的電話號碼和郵箱地址��,看不到注冊人的姓名���,除了已經(jīng)識別出來的那一個域名,這同一個黑客所注冊的其他成千上萬個惡意域名都無法封禁���。僅此一項����,就有可能導致史上最大型隱私泄露案的發(fā)生,與GDPR保護個人隱私的初衷相去甚遠����。
歐盟和ICANN其實可以就Whois數(shù)據(jù)達成某種可操作的解決方案。歐洲高高在上的監(jiān)管者們得坐下來與ICANN協(xié)商��。但我們估計還得再等上幾個月���,等他們真正認識到問題的嚴重性���,才有可能看到雙方開始磋商。
3. 增加安全團隊工作量
隱私監(jiān)管規(guī)定不僅加重了安全團隊肩上的責任��,也使他們的工作更加難以完成�����。安全與IT團隊如今是最后一道安全防線���,負責保證符合數(shù)據(jù)最小化�����、用途限制���、處理安全和全程隱私等要求����。
企業(yè)的安全與IT團隊往往長時間工作���,疲憊不堪。GDPR出臺后��,內(nèi)部安全團隊的責任越來越多����,把人搞得疲憊不堪,十分焦慮���。而被迫面對過多的責任和需遵從的各種“指南”���,安全團隊也無法恰當處理手頭的工作了。
過于詳細復雜的數(shù)據(jù)保護影響評估(DPIA)表�����,就是安全與IT團隊陷入非必要額外工作的明證——這些表格要求的信息量之大已經(jīng)遠遠超出了監(jiān)管者的預期���。有公司甚至搞出了包含500多個問題的67頁DPIA模板��,準備用于執(zhí)行50多個DPIA��。
完成這么一次DPIA所花費的時間顯然太多了�����,這不是監(jiān)管者所期望的����。公司企業(yè)需采用既完全符合GDPR要求與指南,又合理而可操作的流程和方法��。
對處罰風險的擔心促成了安全團隊的這種壓力����。同樣的情況在早前監(jiān)管金融報告的《薩班斯-奧克斯利法案》(Sarbanes-OxleyAct)出臺時也發(fā)生過。與《薩班斯-奧克斯利法案》類似�,不合規(guī)的代價過于巨大,而很多事情又是無法確定的�����,于是只有矯枉過正以追求風險最小化。但就像《薩班斯-奧克斯利法案》施行的過程一樣����,一旦公司企業(yè)知道可以預期些什么,IT與安全團隊的壓力便會消退�。隨著公司企業(yè)按照新的標準與監(jiān)管規(guī)定調(diào)整自身操作,GDPR生效所帶來的巨大壓力也會漸漸被消化掉���。
4. 拖慢事件響應
安全事件發(fā)生時,響應人員需快速確定問題��,阻止傷害���,封鎖攻擊者����,并采取措施確保類似事件不會再度發(fā)生�����。但因為擔心違反GDPR�����,歐洲很多公司的事件響應過程都受到了阻礙。
舉個例子��,遭遇黑客入侵的公司須盡快部署終端防護以清除攻擊者并防止攻擊再次發(fā)生���。但部署動作得全面展開����,盡快完成����,否則攻擊者就會知道公司的打算,然后隱藏到無法檢測的其他地方�。
大型企業(yè)可能會有成千上萬臺終端需要在短時間內(nèi)部署新的防護工具。問題在于�����,歐洲的隱私監(jiān)管規(guī)定下公司企業(yè)不能那么做���,因為這些工具要收集終端狀態(tài)信息��,而這些信息中可能就會包含有PII�����。防護工具的任務就是阻止私有信息泄露�,但得通過查看機器上的文件和服務才可以確保信息安全,而這其中就可能含有某些可以被推導出來的PII�。
目前在歐洲,尤其是德國�,公司企業(yè)需征求到工人委員會的批準才可以部署這些工具,而審批過程往往耗時30-90天之久��。
如果圍繞GDPR合規(guī)還有針對正在進行的調(diào)查的相關(guān)政策可以允許安全團隊快速響應��,或許情況會好一些����。公司企業(yè)和政府機構(gòu)都需要一定程度上的自由來執(zhí)行某些必要的步驟以限制損失進一步擴大和恢復正常運轉(zhuǎn)��。
5. 嚴格保護PII的國家成為網(wǎng)絡罪犯的避風港
不要以為自己的公司不在歐洲就可以無視上述風險��。對PII保護的嚴格解釋正成為網(wǎng)絡罪犯暴行的避風港�。
不妨從網(wǎng)絡罪犯的角度考慮PII保護問題。命令與控制(C&C)服務器要設(shè)置在哪兒?網(wǎng)絡犯罪操作的基礎(chǔ)設(shè)施要放在哪個國家?PII保護的司法解釋最嚴的德國無疑是個好地方�。將網(wǎng)絡犯罪行動中心放在德國,即便受害公司抓到了網(wǎng)絡犯罪的蹤跡也無法立即阻斷罪犯���。
這就好像劫匪搶銀行����,警察當場抓住劫匪在保險庫里搬金磚,但他們只是走進保險庫�,禮貌地跟劫匪握手,說:“你好�,很高興見到你,但別告訴我你的姓名�����,我會在30-60天后再來逮捕你并了解你的相關(guān)信息��?�!泵鎸@種求之不得的情況�,劫匪會怎么做呢?他們當然是把銀行洗劫一空,再從容地抹去所有犯罪痕跡揚長而去�����。
6. 網(wǎng)絡罪犯利用GDPR罰款恐嚇勒索公司企業(yè)
多名專家認為��,黑客很有可能威脅稱將公開自己的入侵讓公司承受GDPR的巨額罰金�����。甚至都不用真的發(fā)生數(shù)據(jù)泄露,網(wǎng)絡罪犯只要發(fā)現(xiàn)可以證明公司不合規(guī)的漏洞����,就能以曝光為由勒索公司支付封口費。黑客可能會向公司指出���,支付封口費比應付歐盟數(shù)據(jù)保護調(diào)查及其罰款與負面宣傳要經(jīng)濟得多�����。
有勒索軟件之類其他形式的勒索成功案例在前����,靠GDPR勒索對網(wǎng)絡罪犯而言很具有吸引力�����。公司企業(yè)應為此做好應對準備���。
7. 阻礙內(nèi)部人威脅調(diào)查
在員工計算機或移動設(shè)備上檢測到可疑活動時,你得確定該活動是員工自主執(zhí)行的還是第三方黑了員工賬戶或設(shè)備執(zhí)行的��。因為顧慮到GDPR�����,有些公司,尤其是歐洲的公司�����,讓調(diào)查更加難以展開了�����。
內(nèi)部人威脅調(diào)查需要獲取員工的PII���,通常都需要查看各種各樣的東西:電子郵件賬戶���、工卡刷卡記錄等等。此類數(shù)據(jù)能即時反映出員工是否參與了網(wǎng)絡安全事件���。如今��,這些數(shù)據(jù)全都屬于公司未必有權(quán)調(diào)閱的PII范疇�����。
歐洲一家電信公司就發(fā)生過類似的案例��。第三方安全供應商發(fā)現(xiàn)了內(nèi)部人威脅的證據(jù)并向該電信公司出示了這些證據(jù)���。但因為該公司工會采信GDPR的隱私保護條款�,該公司無法進一步調(diào)查�,即便這些數(shù)據(jù)就存儲在公司的計算機上。
【本文是專欄作者“”李少鵬“”的原創(chuàng)文章���,轉(zhuǎn)載請通過安全牛(微信公眾號id:gooann-sectv)獲取授權(quán)】
網(wǎng)站名稱:GDPR給安全帶來的七大不利影響
URL網(wǎng)址:
http://uogjgqi.cn/article/cdgiijd.html
