GDPR给安全带来的七大不利影响
微不足道的善意之举都有可能引发始料未及的巨大负面影响。而当这些举动对全世界的个人和公司企业都有影响的时候,这种未预料到的负面效果,有可能是灾难性的。有些专家就很担心,在新的隐私监管规定,尤其是欧盟的《通用数据保护条例》(GDPR)汹涌而来的时代,安全团队履行自己职责的能力会不会受到影响。
某些情况下,GDPR和《加州消费者隐私法案》(CCPA) 等法律,反而让安全团队束手束脚,让本应受到保护的个人信息被黑客轻易偷走。这些监管法案往往缺乏具体实施细节,出于对潜在惩罚的恐惧与不确定,公司企业就会采取一些妨碍安全团队的保守做法。
违反GDPR的代价过于巨大,因而你不得不为那些预料不到的后果考虑,而且因为无法使用Whois数据,无形中也扩大了威胁界面。因为GDPR的存在,可供黑客入侵的威胁界面显著增长,不是增加了一点点,而是翻了个数量级。
隐私控制非常有必要,但也有安全团队因为出于隐私顾虑,无法访问所需数据而拖慢了对攻击的响应。而且讽刺的是,因为坏人也享有隐私权,在隐私法案的保护下便有了藏身之处和逃脱之道。
这很有可能导致未来再曝出几起史上最大隐私泄露案。
有些情况下,是公司企业对安全团队的事件响应方式反应过度了。比如说,GDPR第49条似乎就对履行自己职责的安全团队进行了豁免:
“
出于确保网络和信息安全的目的而进行绝对必要及恰当的个人数据处理,是数据控制者的合法权益。比如保证网络或信息系统在某种程度上能够抵御损及所存储或传输的个人数据的可用性、真实性、完整性及机密性的意外事件或非法及恶意行为,以及确保公共权力机关、计算机应急响应小组(CERT)、计算机安全事件响应团队(CSIRT)、电子通信网络及服务提供商和安全技术及服务提供商通过这些网络和系统提供或访问的相关服务的安全。
那么,GDPR及其他隐私监管规定都给安全团队带来了哪些非预期的困难呢?
1. 访问权要求给了黑客更多的个人数据
没有哪部隐私监管规定能阻止黑客接管个人账户。附上一点点上网费用,就可以获得接管账户所需的信息。然而,绝大部分隐私监管规定都赋予了消费者要求公司企业交出其所有个人可识别信息(PII)的权利。
如果要求这些信息的人真的是本人,那这种规定无疑很棒。问题在于,黑客可以获取到合法用户的足够信息来发起PII请求,获取到更多信息,实施更多侵害。
以往,黑客不过是从用户曾经买过东西的零售商那里弄到某个账户。现在的问题是每家零售商都购买或者收集用户各种各样的信息。一旦进入该账户,黑客就可以请求所有其他的信息,具备移动到其他账户的能力。黑客如今能从零售商那里要到的PII远比用户交给零售商的要多得多。
2. 消失的Whois数据令恶意域名得以存活
因怕违反GDPR规则中有关暴露私有数据的条款,很多互联网域名注册机构正在清除公开Whois数据库中的PII,但不仅仅是欧洲的域名,而是所有域名。这些数据对研究人员识别执行网络钓鱼、勒索软件及其他攻击的恶意域名至关重要。没错,黑客会用虚假PII注册域名;但就算是假数据,研究人员也可以顺藤摸瓜找出攻击者可能在用的其他恶意域名。
曾经,研究人员可以借助Whois数据和其他工具找出恶意网站的源头。明显虚假的Whois数据可以马上暴露出该网站是恶人建立的。仅有的真实信息是注册域名所用的邮箱和电话号码。
当然,黑客会使用一次性电话和某些免费电子邮件服务。但是研究人员很多情况下都能以自动化的方式立即识别出来。即便不知道黑客的真实身份,研究人员也有足够的信息可以查出该邮箱或电话还注册了哪些域名,至少可以将这些域名也标注为恶意。
惰性是人类本性,坏人也不例外,同一个电话号码注册1万个域名的案例也不是没有。每注册一个域名都用一个新的一次性电话是不现实的,时间、金钱、精力成本都不允许。黑客往往会用同一个电话搞定成千上万个恶意URL。于是,只要识别出某个注册邮箱或电话是黑客用来注册恶意域名的,那与该邮箱或电话号码相关的其他几千个域名都可以列入黑名单了。
即便不是真实数据,仅这一个恶意指标,就可以封住上千个可疑域名。而且有自动化工具的帮助,恶意域名封禁工作瞬间就能完成,用户可以享受到即时保护。但现在,Whois数据库用不了了,这种即时发现即时封堵的过程基本上也就没用了。
GDPR让域名注册机构处在了遵从互联网名称与地址分配机构(ICANN)的域名注册规则和最小化欧盟委员会罚款风险的两难选择中。ICANN自然无权处罚没用遵从其规则的注册机构,所以现在Whois数据库基本上算是下线了。如今,研究人员再也看不到与恶意域名关联的电话号码和邮箱地址,看不到注册人的姓名,除了已经识别出来的那一个域名,这同一个黑客所注册的其他成千上万个恶意域名都无法封禁。仅此一项,就有可能导致史上最大型隐私泄露案的发生,与GDPR保护个人隐私的初衷相去甚远。
欧盟和ICANN其实可以就Whois数据达成某种可操作的解决方案。欧洲高高在上的监管者们得坐下来与ICANN协商。但我们估计还得再等上几个月,等他们真正认识到问题的严重性,才有可能看到双方开始磋商。
3. 增加安全团队工作量
隐私监管规定不仅加重了安全团队肩上的责任,也使他们的工作更加难以完成。安全与IT团队如今是最后一道安全防线,负责保证符合数据最小化、用途限制、处理安全和全程隐私等要求。
企业的安全与IT团队往往长时间工作,疲惫不堪。GDPR出台后,内部安全团队的责任越来越多,把人搞得疲惫不堪,十分焦虑。而被迫面对过多的责任和需遵从的各种“指南”,安全团队也无法恰当处理手头的工作了。
过于详细复杂的数据保护影响评估(DPIA)表,就是安全与IT团队陷入非必要额外工作的明证——这些表格要求的信息量之大已经远远超出了监管者的预期。有公司甚至搞出了包含500多个问题的67页DPIA模板,准备用于执行50多个DPIA。
完成这么一次DPIA所花费的时间显然太多了,这不是监管者所期望的。公司企业需采用既完全符合GDPR要求与指南,又合理而可操作的流程和方法。
对处罚风险的担心促成了安全团队的这种压力。同样的情况在早前监管金融报告的《萨班斯-奥克斯利法案》(Sarbanes-OxleyAct)出台时也发生过。与《萨班斯-奥克斯利法案》类似,不合规的代价过于巨大,而很多事情又是无法确定的,于是只有矫枉过正以追求风险最小化。但就像《萨班斯-奥克斯利法案》施行的过程一样,一旦公司企业知道可以预期些什么,IT与安全团队的压力便会消退。随着公司企业按照新的标准与监管规定调整自身操作,GDPR生效所带来的巨大压力也会渐渐被消化掉。
4. 拖慢事件响应
安全事件发生时,响应人员需快速确定问题,阻止伤害,封锁攻击者,并采取措施确保类似事件不会再度发生。但因为担心违反GDPR,欧洲很多公司的事件响应过程都受到了阻碍。
举个例子,遭遇黑客入侵的公司须尽快部署终端防护以清除攻击者并防止攻击再次发生。但部署动作得全面展开,尽快完成,否则攻击者就会知道公司的打算,然后隐藏到无法检测的其他地方。
大型企业可能会有成千上万台终端需要在短时间内部署新的防护工具。问题在于,欧洲的隐私监管规定下公司企业不能那么做,因为这些工具要收集终端状态信息,而这些信息中可能就会包含有PII。防护工具的任务就是阻止私有信息泄露,但得通过查看机器上的文件和服务才可以确保信息安全,而这其中就可能含有某些可以被推导出来的PII。
目前在欧洲,尤其是德国,公司企业需征求到工人委员会的批准才可以部署这些工具,而审批过程往往耗时30-90天之久。
如果围绕GDPR合规还有针对正在进行的调查的相关政策可以允许安全团队快速响应,或许情况会好一些。公司企业和政府机构都需要一定程度上的自由来执行某些必要的步骤以限制损失进一步扩大和恢复正常运转。
5. 严格保护PII的国家成为网络罪犯的避风港
不要以为自己的公司不在欧洲就可以无视上述风险。对PII保护的严格解释正成为网络罪犯暴行的避风港。
不妨从网络罪犯的角度考虑PII保护问题。命令与控制(C&C)服务器要设置在哪儿?网络犯罪操作的基础设施要放在哪个国家?PII保护的司法解释最严的德国无疑是个好地方。将网络犯罪行动中心放在德国,即便受害公司抓到了网络犯罪的踪迹也无法立即阻断罪犯。
这就好像劫匪抢银行,警察当场抓住劫匪在保险库里搬金砖,但他们只是走进保险库,礼貌地跟劫匪握手,说:“你好,很高兴见到你,但别告诉我你的姓名,我会在30-60天后再来逮捕你并了解你的相关信息。”面对这种求之不得的情况,劫匪会怎么做呢?他们当然是把银行洗劫一空,再从容地抹去所有犯罪痕迹扬长而去。
6. 网络罪犯利用GDPR罚款恐吓勒索公司企业
多名专家认为,黑客很有可能威胁称将公开自己的入侵让公司承受GDPR的巨额罚金。甚至都不用真的发生数据泄露,网络罪犯只要发现可以证明公司不合规的漏洞,就能以曝光为由勒索公司支付封口费。黑客可能会向公司指出,支付封口费比应付欧盟数据保护调查及其罚款与负面宣传要经济得多。
有勒索软件之类其他形式的勒索成功案例在前,靠GDPR勒索对网络罪犯而言很具有吸引力。公司企业应为此做好应对准备。
7. 阻碍内部人威胁调查
在员工计算机或移动设备上检测到可疑活动时,你得确定该活动是员工自主执行的还是第三方黑了员工账户或设备执行的。因为顾虑到GDPR,有些公司,尤其是欧洲的公司,让调查更加难以展开了。
内部人威胁调查需要获取员工的PII,通常都需要查看各种各样的东西:电子邮件账户、工卡刷卡记录等等。此类数据能即时反映出员工是否参与了网络安全事件。如今,这些数据全都属于公司未必有权调阅的PII范畴。
欧洲一家电信公司就发生过类似的案例。第三方安全供应商发现了内部人威胁的证据并向该电信公司出示了这些证据。但因为该公司工会采信GDPR的隐私保护条款,该公司无法进一步调查,即便这些数据就存储在公司的计算机上。
相关阅读