微不足道的善意之舉都有可能引發(fā)始料未及的巨大負(fù)面影響。而當(dāng)這些舉動對全世界的個人和公司企業(yè)都有影響的時候，這種未預(yù)料到的負(fù)面效果，有可能是災(zāi)難性的。有些專家就很擔(dān)心，在新的隱私監(jiān)管規(guī)定，尤其是歐盟的《通用數(shù)據(jù)保護(hù)條例》(GDPR)洶涌而來的時代，安全團(tuán)隊履行自己職責(zé)的能力會不會受到影響。

[[249113]]

某些情況下，GDPR和《加州消費(fèi)者隱私法案》(CCPA) 等法律，反而讓安全團(tuán)隊束手束腳，讓本應(yīng)受到保護(hù)的個人信息被黑客輕易偷走。這些監(jiān)管法案往往缺乏具體實施細(xì)節(jié)，出于對潛在懲罰的恐懼與不確定，公司企業(yè)就會采取一些妨礙安全團(tuán)隊的保守做法。

違反GDPR的代價過于巨大，因而你不得不為那些預(yù)料不到的后果考慮，而且因為無法使用Whois數(shù)據(jù)，無形中也擴(kuò)大了威脅界面。因為GDPR的存在，可供黑客入侵的威脅界面顯著增長，不是增加了一點(diǎn)點(diǎn)，而是翻了個數(shù)量級。

隱私控制非常有必要，但也有安全團(tuán)隊因為出于隱私顧慮，無法訪問所需數(shù)據(jù)而拖慢了對攻擊的響應(yīng)。而且諷刺的是，因為壞人也享有隱私權(quán)，在隱私法案的保護(hù)下便有了藏身之處和逃脫之道。

這很有可能導(dǎo)致未來再曝出幾起史上最大隱私泄露案。

有些情況下，是公司企業(yè)對安全團(tuán)隊的事件響應(yīng)方式反應(yīng)過度了。比如說，GDPR第49條似乎就對履行自己職責(zé)的安全團(tuán)隊進(jìn)行了豁免：

那么，GDPR及其他隱私監(jiān)管規(guī)定都給安全團(tuán)隊帶來了哪些非預(yù)期的困難呢?

1. 訪問權(quán)要求給了黑客更多的個人數(shù)據(jù)

沒有哪部隱私監(jiān)管規(guī)定能阻止黑客接管個人賬戶。附上一點(diǎn)點(diǎn)上網(wǎng)費(fèi)用，就可以獲得接管賬戶所需的信息。然而，絕大部分隱私監(jiān)管規(guī)定都賦予了消費(fèi)者要求公司企業(yè)交出其所有個人可識別信息(PII)的權(quán)利。

如果要求這些信息的人真的是本人，那這種規(guī)定無疑很棒。問題在于，黑客可以獲取到合法用戶的足夠信息來發(fā)起PII請求，獲取到更多信息，實施更多侵害。

以往，黑客不過是從用戶曾經(jīng)買過東西的零售商那里弄到某個賬戶?，F(xiàn)在的問題是每家零售商都購買或者收集用戶各種各樣的信息。一旦進(jìn)入該賬戶，黑客就可以請求所有其他的信息，具備移動到其他賬戶的能力。黑客如今能從零售商那里要到的PII遠(yuǎn)比用戶交給零售商的要多得多。

2. 消失的Whois數(shù)據(jù)令惡意域名得以存活

因怕違反GDPR規(guī)則中有關(guān)暴露私有數(shù)據(jù)的條款，很多互聯(lián)網(wǎng)域名注冊機(jī)構(gòu)正在清除公開Whois數(shù)據(jù)庫中的PII，但不僅僅是歐洲的域名，而是所有域名。這些數(shù)據(jù)對研究人員識別執(zhí)行網(wǎng)絡(luò)釣魚、勒索軟件及其他攻擊的惡意域名至關(guān)重要。沒錯，黑客會用虛假PII注冊域名;但就算是假數(shù)據(jù)，研究人員也可以順藤摸瓜找出攻擊者可能在用的其他惡意域名。

曾經(jīng)，研究人員可以借助Whois數(shù)據(jù)和其他工具找出惡意網(wǎng)站的源頭。明顯虛假的Whois數(shù)據(jù)可以馬上暴露出該網(wǎng)站是惡人建立的。僅有的真實信息是注冊域名所用的郵箱和電話號碼。

當(dāng)然，黑客會使用一次性電話和某些免費(fèi)電子郵件服務(wù)。但是研究人員很多情況下都能以自動化的方式立即識別出來。即便不知道黑客的真實身份，研究人員也有足夠的信息可以查出該郵箱或電話還注冊了哪些域名，至少可以將這些域名也標(biāo)注為惡意。

惰性是人類本性，壞人也不例外，同一個電話號碼注冊1萬個域名的案例也不是沒有。每注冊一個域名都用一個新的一次性電話是不現(xiàn)實的，時間、金錢、精力成本都不允許。黑客往往會用同一個電話搞定成千上萬個惡意URL。于是，只要識別出某個注冊郵箱或電話是黑客用來注冊惡意域名的，那與該郵箱或電話號碼相關(guān)的其他幾千個域名都可以列入黑名單了。

即便不是真實數(shù)據(jù)，僅這一個惡意指標(biāo)，就可以封住上千個可疑域名。而且有自動化工具的幫助，惡意域名封禁工作瞬間就能完成，用戶可以享受到即時保護(hù)。但現(xiàn)在，Whois數(shù)據(jù)庫用不了了，這種即時發(fā)現(xiàn)即時封堵的過程基本上也就沒用了。

GDPR讓域名注冊機(jī)構(gòu)處在了遵從互聯(lián)網(wǎng)名稱與地址分配機(jī)構(gòu)(ICANN)的域名注冊規(guī)則和最小化歐盟委員會罰款風(fēng)險的兩難選擇中。ICANN自然無權(quán)處罰沒用遵從其規(guī)則的注冊機(jī)構(gòu)，所以現(xiàn)在Whois數(shù)據(jù)庫基本上算是下線了。如今，研究人員再也看不到與惡意域名關(guān)聯(lián)的電話號碼和郵箱地址，看不到注冊人的姓名，除了已經(jīng)識別出來的那一個域名，這同一個黑客所注冊的其他成千上萬個惡意域名都無法封禁。僅此一項，就有可能導(dǎo)致史上最大型隱私泄露案的發(fā)生，與GDPR保護(hù)個人隱私的初衷相去甚遠(yuǎn)。

歐盟和ICANN其實可以就Whois數(shù)據(jù)達(dá)成某種可操作的解決方案。歐洲高高在上的監(jiān)管者們得坐下來與ICANN協(xié)商。但我們估計還得再等上幾個月，等他們真正認(rèn)識到問題的嚴(yán)重性，才有可能看到雙方開始磋商。

3. 增加安全團(tuán)隊工作量

隱私監(jiān)管規(guī)定不僅加重了安全團(tuán)隊肩上的責(zé)任，也使他們的工作更加難以完成。安全與IT團(tuán)隊如今是最后一道安全防線，負(fù)責(zé)保證符合數(shù)據(jù)最小化、用途限制、處理安全和全程隱私等要求。

企業(yè)的安全與IT團(tuán)隊往往長時間工作，疲憊不堪。GDPR出臺后，內(nèi)部安全團(tuán)隊的責(zé)任越來越多，把人搞得疲憊不堪，十分焦慮。而被迫面對過多的責(zé)任和需遵從的各種“指南”，安全團(tuán)隊也無法恰當(dāng)處理手頭的工作了。

過于詳細(xì)復(fù)雜的數(shù)據(jù)保護(hù)影響評估(DPIA)表，就是安全與IT團(tuán)隊陷入非必要額外工作的明證——這些表格要求的信息量之大已經(jīng)遠(yuǎn)遠(yuǎn)超出了監(jiān)管者的預(yù)期。有公司甚至搞出了包含500多個問題的67頁DPIA模板，準(zhǔn)備用于執(zhí)行50多個DPIA。

完成這么一次DPIA所花費(fèi)的時間顯然太多了，這不是監(jiān)管者所期望的。公司企業(yè)需采用既完全符合GDPR要求與指南，又合理而可操作的流程和方法。

對處罰風(fēng)險的擔(dān)心促成了安全團(tuán)隊的這種壓力。同樣的情況在早前監(jiān)管金融報告的《薩班斯-奧克斯利法案》(Sarbanes-OxleyAct)出臺時也發(fā)生過。與《薩班斯-奧克斯利法案》類似，不合規(guī)的代價過于巨大，而很多事情又是無法確定的，于是只有矯枉過正以追求風(fēng)險最小化。但就像《薩班斯-奧克斯利法案》施行的過程一樣，一旦公司企業(yè)知道可以預(yù)期些什么，IT與安全團(tuán)隊的壓力便會消退。隨著公司企業(yè)按照新的標(biāo)準(zhǔn)與監(jiān)管規(guī)定調(diào)整自身操作，GDPR生效所帶來的巨大壓力也會漸漸被消化掉。

4. 拖慢事件響應(yīng)

安全事件發(fā)生時，響應(yīng)人員需快速確定問題，阻止傷害，封鎖攻擊者，并采取措施確保類似事件不會再度發(fā)生。但因為擔(dān)心違反GDPR，歐洲很多公司的事件響應(yīng)過程都受到了阻礙。

舉個例子，遭遇黑客入侵的公司須盡快部署終端防護(hù)以清除攻擊者并防止攻擊再次發(fā)生。但部署動作得全面展開，盡快完成，否則攻擊者就會知道公司的打算，然后隱藏到無法檢測的其他地方。

大型企業(yè)可能會有成千上萬臺終端需要在短時間內(nèi)部署新的防護(hù)工具。問題在于，歐洲的隱私監(jiān)管規(guī)定下公司企業(yè)不能那么做，因為這些工具要收集終端狀態(tài)信息，而這些信息中可能就會包含有PII。防護(hù)工具的任務(wù)就是阻止私有信息泄露，但得通過查看機(jī)器上的文件和服務(wù)才可以確保信息安全，而這其中就可能含有某些可以被推導(dǎo)出來的PII。

目前在歐洲，尤其是德國，公司企業(yè)需征求到工人委員會的批準(zhǔn)才可以部署這些工具，而審批過程往往耗時30-90天之久。

如果圍繞GDPR合規(guī)還有針對正在進(jìn)行的調(diào)查的相關(guān)政策可以允許安全團(tuán)隊快速響應(yīng)，或許情況會好一些。公司企業(yè)和政府機(jī)構(gòu)都需要一定程度上的自由來執(zhí)行某些必要的步驟以限制損失進(jìn)一步擴(kuò)大和恢復(fù)正常運(yùn)轉(zhuǎn)。

5. 嚴(yán)格保護(hù)PII的國家成為網(wǎng)絡(luò)罪犯的避風(fēng)港

不要以為自己的公司不在歐洲就可以無視上述風(fēng)險。對PII保護(hù)的嚴(yán)格解釋正成為網(wǎng)絡(luò)罪犯暴行的避風(fēng)港。

不妨從網(wǎng)絡(luò)罪犯的角度考慮PII保護(hù)問題。命令與控制(C&C)服務(wù)器要設(shè)置在哪兒?網(wǎng)絡(luò)犯罪操作的基礎(chǔ)設(shè)施要放在哪個國家?PII保護(hù)的司法解釋最嚴(yán)的德國無疑是個好地方。將網(wǎng)絡(luò)犯罪行動中心放在德國，即便受害公司抓到了網(wǎng)絡(luò)犯罪的蹤跡也無法立即阻斷罪犯。

這就好像劫匪搶銀行，警察當(dāng)場抓住劫匪在保險庫里搬金磚，但他們只是走進(jìn)保險庫，禮貌地跟劫匪握手，說：“你好，很高興見到你，但別告訴我你的姓名，我會在30-60天后再來逮捕你并了解你的相關(guān)信息。”面對這種求之不得的情況，劫匪會怎么做呢?他們當(dāng)然是把銀行洗劫一空，再從容地抹去所有犯罪痕跡揚(yáng)長而去。

6. 網(wǎng)絡(luò)罪犯利用GDPR罰款恐嚇勒索公司企業(yè)

多名專家認(rèn)為，黑客很有可能威脅稱將公開自己的入侵讓公司承受GDPR的巨額罰金。甚至都不用真的發(fā)生數(shù)據(jù)泄露，網(wǎng)絡(luò)罪犯只要發(fā)現(xiàn)可以證明公司不合規(guī)的漏洞，就能以曝光為由勒索公司支付封口費(fèi)。黑客可能會向公司指出，支付封口費(fèi)比應(yīng)付歐盟數(shù)據(jù)保護(hù)調(diào)查及其罰款與負(fù)面宣傳要經(jīng)濟(jì)得多。

有勒索軟件之類其他形式的勒索成功案例在前，靠GDPR勒索對網(wǎng)絡(luò)罪犯而言很具有吸引力。公司企業(yè)應(yīng)為此做好應(yīng)對準(zhǔn)備。

7. 阻礙內(nèi)部人威脅調(diào)查

在員工計算機(jī)或移動設(shè)備上檢測到可疑活動時，你得確定該活動是員工自主執(zhí)行的還是第三方黑了員工賬戶或設(shè)備執(zhí)行的。因為顧慮到GDPR，有些公司，尤其是歐洲的公司，讓調(diào)查更加難以展開了。

內(nèi)部人威脅調(diào)查需要獲取員工的PII，通常都需要查看各種各樣的東西：電子郵件賬戶、工卡刷卡記錄等等。此類數(shù)據(jù)能即時反映出員工是否參與了網(wǎng)絡(luò)安全事件。如今，這些數(shù)據(jù)全都屬于公司未必有權(quán)調(diào)閱的PII范疇。

歐洲一家電信公司就發(fā)生過類似的案例。第三方安全供應(yīng)商發(fā)現(xiàn)了內(nèi)部人威脅的證據(jù)并向該電信公司出示了這些證據(jù)。但因為該公司工會采信GDPR的隱私保護(hù)條款，該公司無法進(jìn)一步調(diào)查，即便這些數(shù)據(jù)就存儲在公司的計算機(jī)上。

【本文是51CTO專欄作者“”李少鵬“”的原創(chuàng)文章，轉(zhuǎn)載請通過安全牛（微信公眾號id:gooann-sectv）獲取授權(quán)】

戳這里，看該作者更多好文