微不足道的善意之舉都有可能引發(fā)始料未及的巨大負(fù)面影響。而當(dāng)這些舉動(dòng)對(duì)全世界的個(gè)人和公司企業(yè)都有影響的時(shí)候，這種未預(yù)料到的負(fù)面效果，有可能是災(zāi)難性的。有些專家就很擔(dān)心，在新的隱私監(jiān)管規(guī)定，尤其是歐盟的《通用數(shù)據(jù)保護(hù)條例》(GDPR)洶涌而來的時(shí)代，安全團(tuán)隊(duì)履行自己職責(zé)的能力會(huì)不會(huì)受到影響。

[[249113]]

某些情況下，GDPR和《加州消費(fèi)者隱私法案》(CCPA) 等法律，反而讓安全團(tuán)隊(duì)束手束腳，讓本應(yīng)受到保護(hù)的個(gè)人信息被黑客輕易偷走。這些監(jiān)管法案往往缺乏具體實(shí)施細(xì)節(jié)，出于對(duì)潛在懲罰的恐懼與不確定，公司企業(yè)就會(huì)采取一些妨礙安全團(tuán)隊(duì)的保守做法。

違反GDPR的代價(jià)過于巨大，因而你不得不為那些預(yù)料不到的后果考慮，而且因?yàn)闊o法使用Whois數(shù)據(jù)，無形中也擴(kuò)大了威脅界面。因?yàn)镚DPR的存在，可供黑客入侵的威脅界面顯著增長，不是增加了一點(diǎn)點(diǎn)，而是翻了個(gè)數(shù)量級(jí)。

隱私控制非常有必要，但也有安全團(tuán)隊(duì)因?yàn)槌鲇陔[私顧慮，無法訪問所需數(shù)據(jù)而拖慢了對(duì)攻擊的響應(yīng)。而且諷刺的是，因?yàn)閴娜艘蚕碛须[私權(quán)，在隱私法案的保護(hù)下便有了藏身之處和逃脫之道。

這很有可能導(dǎo)致未來再曝出幾起史上最大隱私泄露案。

有些情況下，是公司企業(yè)對(duì)安全團(tuán)隊(duì)的事件響應(yīng)方式反應(yīng)過度了。比如說，GDPR第49條似乎就對(duì)履行自己職責(zé)的安全團(tuán)隊(duì)進(jìn)行了豁免：

那么，GDPR及其他隱私監(jiān)管規(guī)定都給安全團(tuán)隊(duì)帶來了哪些非預(yù)期的困難呢?

1. 訪問權(quán)要求給了黑客更多的個(gè)人數(shù)據(jù)

沒有哪部隱私監(jiān)管規(guī)定能阻止黑客接管個(gè)人賬戶。附上一點(diǎn)點(diǎn)上網(wǎng)費(fèi)用，就可以獲得接管賬戶所需的信息。然而，絕大部分隱私監(jiān)管規(guī)定都賦予了消費(fèi)者要求公司企業(yè)交出其所有個(gè)人可識(shí)別信息(PII)的權(quán)利。

如果要求這些信息的人真的是本人，那這種規(guī)定無疑很棒。問題在于，黑客可以獲取到合法用戶的足夠信息來發(fā)起PII請(qǐng)求，獲取到更多信息，實(shí)施更多侵害。

以往，黑客不過是從用戶曾經(jīng)買過東西的零售商那里弄到某個(gè)賬戶。現(xiàn)在的問題是每家零售商都購買或者收集用戶各種各樣的信息。一旦進(jìn)入該賬戶，黑客就可以請(qǐng)求所有其他的信息，具備移動(dòng)到其他賬戶的能力。黑客如今能從零售商那里要到的PII遠(yuǎn)比用戶交給零售商的要多得多。

2. 消失的Whois數(shù)據(jù)令惡意域名得以存活

因怕違反GDPR規(guī)則中有關(guān)暴露私有數(shù)據(jù)的條款，很多互聯(lián)網(wǎng)域名注冊(cè)機(jī)構(gòu)正在清除公開Whois數(shù)據(jù)庫中的PII，但不僅僅是歐洲的域名，而是所有域名。這些數(shù)據(jù)對(duì)研究人員識(shí)別執(zhí)行網(wǎng)絡(luò)釣魚、勒索軟件及其他攻擊的惡意域名至關(guān)重要。沒錯(cuò)，黑客會(huì)用虛假PII注冊(cè)域名;但就算是假數(shù)據(jù)，研究人員也可以順藤摸瓜找出攻擊者可能在用的其他惡意域名。

曾經(jīng)，研究人員可以借助Whois數(shù)據(jù)和其他工具找出惡意網(wǎng)站的源頭。明顯虛假的Whois數(shù)據(jù)可以馬上暴露出該網(wǎng)站是惡人建立的。僅有的真實(shí)信息是注冊(cè)域名所用的郵箱和電話號(hào)碼。

當(dāng)然，黑客會(huì)使用一次性電話和某些免費(fèi)電子郵件服務(wù)。但是研究人員很多情況下都能以自動(dòng)化的方式立即識(shí)別出來。即便不知道黑客的真實(shí)身份，研究人員也有足夠的信息可以查出該郵箱或電話還注冊(cè)了哪些域名，至少可以將這些域名也標(biāo)注為惡意。

惰性是人類本性，壞人也不例外，同一個(gè)電話號(hào)碼注冊(cè)1萬個(gè)域名的案例也不是沒有。每注冊(cè)一個(gè)域名都用一個(gè)新的一次性電話是不現(xiàn)實(shí)的，時(shí)間、金錢、精力成本都不允許。黑客往往會(huì)用同一個(gè)電話搞定成千上萬個(gè)惡意URL。于是，只要識(shí)別出某個(gè)注冊(cè)郵箱或電話是黑客用來注冊(cè)惡意域名的，那與該郵箱或電話號(hào)碼相關(guān)的其他幾千個(gè)域名都可以列入黑名單了。

即便不是真實(shí)數(shù)據(jù)，僅這一個(gè)惡意指標(biāo)，就可以封住上千個(gè)可疑域名。而且有自動(dòng)化工具的幫助，惡意域名封禁工作瞬間就能完成，用戶可以享受到即時(shí)保護(hù)。但現(xiàn)在，Whois數(shù)據(jù)庫用不了了，這種即時(shí)發(fā)現(xiàn)即時(shí)封堵的過程基本上也就沒用了。

GDPR讓域名注冊(cè)機(jī)構(gòu)處在了遵從互聯(lián)網(wǎng)名稱與地址分配機(jī)構(gòu)(ICANN)的域名注冊(cè)規(guī)則和最小化歐盟委員會(huì)罰款風(fēng)險(xiǎn)的兩難選擇中。ICANN自然無權(quán)處罰沒用遵從其規(guī)則的注冊(cè)機(jī)構(gòu)，所以現(xiàn)在Whois數(shù)據(jù)庫基本上算是下線了。如今，研究人員再也看不到與惡意域名關(guān)聯(lián)的電話號(hào)碼和郵箱地址，看不到注冊(cè)人的姓名，除了已經(jīng)識(shí)別出來的那一個(gè)域名，這同一個(gè)黑客所注冊(cè)的其他成千上萬個(gè)惡意域名都無法封禁。僅此一項(xiàng)，就有可能導(dǎo)致史上最大型隱私泄露案的發(fā)生，與GDPR保護(hù)個(gè)人隱私的初衷相去甚遠(yuǎn)。

歐盟和ICANN其實(shí)可以就Whois數(shù)據(jù)達(dá)成某種可操作的解決方案。歐洲高高在上的監(jiān)管者們得坐下來與ICANN協(xié)商。但我們估計(jì)還得再等上幾個(gè)月，等他們真正認(rèn)識(shí)到問題的嚴(yán)重性，才有可能看到雙方開始磋商。

3. 增加安全團(tuán)隊(duì)工作量

隱私監(jiān)管規(guī)定不僅加重了安全團(tuán)隊(duì)肩上的責(zé)任，也使他們的工作更加難以完成。安全與IT團(tuán)隊(duì)如今是最后一道安全防線，負(fù)責(zé)保證符合數(shù)據(jù)最小化、用途限制、處理安全和全程隱私等要求。

企業(yè)的安全與IT團(tuán)隊(duì)往往長時(shí)間工作，疲憊不堪。GDPR出臺(tái)后，內(nèi)部安全團(tuán)隊(duì)的責(zé)任越來越多，把人搞得疲憊不堪，十分焦慮。而被迫面對(duì)過多的責(zé)任和需遵從的各種“指南”，安全團(tuán)隊(duì)也無法恰當(dāng)處理手頭的工作了。

過于詳細(xì)復(fù)雜的數(shù)據(jù)保護(hù)影響評(píng)估(DPIA)表，就是安全與IT團(tuán)隊(duì)陷入非必要額外工作的明證——這些表格要求的信息量之大已經(jīng)遠(yuǎn)遠(yuǎn)超出了監(jiān)管者的預(yù)期。有公司甚至搞出了包含500多個(gè)問題的67頁DPIA模板，準(zhǔn)備用于執(zhí)行50多個(gè)DPIA。

完成這么一次DPIA所花費(fèi)的時(shí)間顯然太多了，這不是監(jiān)管者所期望的。公司企業(yè)需采用既完全符合GDPR要求與指南，又合理而可操作的流程和方法。

對(duì)處罰風(fēng)險(xiǎn)的擔(dān)心促成了安全團(tuán)隊(duì)的這種壓力。同樣的情況在早前監(jiān)管金融報(bào)告的《薩班斯-奧克斯利法案》(Sarbanes-OxleyAct)出臺(tái)時(shí)也發(fā)生過。與《薩班斯-奧克斯利法案》類似，不合規(guī)的代價(jià)過于巨大，而很多事情又是無法確定的，于是只有矯枉過正以追求風(fēng)險(xiǎn)最小化。但就像《薩班斯-奧克斯利法案》施行的過程一樣，一旦公司企業(yè)知道可以預(yù)期些什么，IT與安全團(tuán)隊(duì)的壓力便會(huì)消退。隨著公司企業(yè)按照新的標(biāo)準(zhǔn)與監(jiān)管規(guī)定調(diào)整自身操作，GDPR生效所帶來的巨大壓力也會(huì)漸漸被消化掉。

4. 拖慢事件響應(yīng)

安全事件發(fā)生時(shí)，響應(yīng)人員需快速確定問題，阻止傷害，封鎖攻擊者，并采取措施確保類似事件不會(huì)再度發(fā)生。但因?yàn)閾?dān)心違反GDPR，歐洲很多公司的事件響應(yīng)過程都受到了阻礙。

舉個(gè)例子，遭遇黑客入侵的公司須盡快部署終端防護(hù)以清除攻擊者并防止攻擊再次發(fā)生。但部署動(dòng)作得全面展開，盡快完成，否則攻擊者就會(huì)知道公司的打算，然后隱藏到無法檢測(cè)的其他地方。

大型企業(yè)可能會(huì)有成千上萬臺(tái)終端需要在短時(shí)間內(nèi)部署新的防護(hù)工具。問題在于，歐洲的隱私監(jiān)管規(guī)定下公司企業(yè)不能那么做，因?yàn)檫@些工具要收集終端狀態(tài)信息，而這些信息中可能就會(huì)包含有PII。防護(hù)工具的任務(wù)就是阻止私有信息泄露，但得通過查看機(jī)器上的文件和服務(wù)才可以確保信息安全，而這其中就可能含有某些可以被推導(dǎo)出來的PII。

目前在歐洲，尤其是德國，公司企業(yè)需征求到工人委員會(huì)的批準(zhǔn)才可以部署這些工具，而審批過程往往耗時(shí)30-90天之久。

如果圍繞GDPR合規(guī)還有針對(duì)正在進(jìn)行的調(diào)查的相關(guān)政策可以允許安全團(tuán)隊(duì)快速響應(yīng)，或許情況會(huì)好一些。公司企業(yè)和政府機(jī)構(gòu)都需要一定程度上的自由來執(zhí)行某些必要的步驟以限制損失進(jìn)一步擴(kuò)大和恢復(fù)正常運(yùn)轉(zhuǎn)。

5. 嚴(yán)格保護(hù)PII的國家成為網(wǎng)絡(luò)罪犯的避風(fēng)港

不要以為自己的公司不在歐洲就可以無視上述風(fēng)險(xiǎn)。對(duì)PII保護(hù)的嚴(yán)格解釋正成為網(wǎng)絡(luò)罪犯暴行的避風(fēng)港。

不妨從網(wǎng)絡(luò)罪犯的角度考慮PII保護(hù)問題。命令與控制(C&C)服務(wù)器要設(shè)置在哪兒?網(wǎng)絡(luò)犯罪操作的基礎(chǔ)設(shè)施要放在哪個(gè)國家?PII保護(hù)的司法解釋最嚴(yán)的德國無疑是個(gè)好地方。將網(wǎng)絡(luò)犯罪行動(dòng)中心放在德國，即便受害公司抓到了網(wǎng)絡(luò)犯罪的蹤跡也無法立即阻斷罪犯。

這就好像劫匪搶銀行，警察當(dāng)場(chǎng)抓住劫匪在保險(xiǎn)庫里搬金磚，但他們只是走進(jìn)保險(xiǎn)庫，禮貌地跟劫匪握手，說：“你好，很高興見到你，但別告訴我你的姓名，我會(huì)在30-60天后再來逮捕你并了解你的相關(guān)信息。”面對(duì)這種求之不得的情況，劫匪會(huì)怎么做呢?他們當(dāng)然是把銀行洗劫一空，再從容地抹去所有犯罪痕跡揚(yáng)長而去。

6. 網(wǎng)絡(luò)罪犯利用GDPR罰款恐嚇勒索公司企業(yè)

多名專家認(rèn)為，黑客很有可能威脅稱將公開自己的入侵讓公司承受GDPR的巨額罰金。甚至都不用真的發(fā)生數(shù)據(jù)泄露，網(wǎng)絡(luò)罪犯只要發(fā)現(xiàn)可以證明公司不合規(guī)的漏洞，就能以曝光為由勒索公司支付封口費(fèi)。黑客可能會(huì)向公司指出，支付封口費(fèi)比應(yīng)付歐盟數(shù)據(jù)保護(hù)調(diào)查及其罰款與負(fù)面宣傳要經(jīng)濟(jì)得多。

有勒索軟件之類其他形式的勒索成功案例在前，靠GDPR勒索對(duì)網(wǎng)絡(luò)罪犯而言很具有吸引力。公司企業(yè)應(yīng)為此做好應(yīng)對(duì)準(zhǔn)備。

7. 阻礙內(nèi)部人威脅調(diào)查

在員工計(jì)算機(jī)或移動(dòng)設(shè)備上檢測(cè)到可疑活動(dòng)時(shí)，你得確定該活動(dòng)是員工自主執(zhí)行的還是第三方黑了員工賬戶或設(shè)備執(zhí)行的。因?yàn)轭檻]到GDPR，有些公司，尤其是歐洲的公司，讓調(diào)查更加難以展開了。

內(nèi)部人威脅調(diào)查需要獲取員工的PII，通常都需要查看各種各樣的東西：電子郵件賬戶、工卡刷卡記錄等等。此類數(shù)據(jù)能即時(shí)反映出員工是否參與了網(wǎng)絡(luò)安全事件。如今，這些數(shù)據(jù)全都屬于公司未必有權(quán)調(diào)閱的PII范疇。

歐洲一家電信公司就發(fā)生過類似的案例。第三方安全供應(yīng)商發(fā)現(xiàn)了內(nèi)部人威脅的證據(jù)并向該電信公司出示了這些證據(jù)。但因?yàn)樵摴竟?huì)采信GDPR的隱私保護(hù)條款，該公司無法進(jìn)一步調(diào)查，即便這些數(shù)據(jù)就存儲(chǔ)在公司的計(jì)算機(jī)上。

【本文是51CTO專欄作者“”李少鵬“”的原創(chuàng)文章，轉(zhuǎn)載請(qǐng)通過安全牛（微信公眾號(hào)id:gooann-sectv）獲取授權(quán)】

戳這里，看該作者更多好文