將圍繞數(shù)據(jù)泄露定義的爭(zhēng)論描述為 “白熱化” 未免太過(guò)夸張，畢竟我們尚未看到尸體從窗口飛出般的戲劇化情節(jié)。但隨著《通用數(shù)據(jù)保護(hù)條例》(GDPR) 及其對(duì)數(shù)據(jù)不當(dāng)處理施以重罰時(shí)代的到來(lái)，怎么定義數(shù)據(jù)泄露就是事關(guān)切實(shí)財(cái)務(wù)影響的嚴(yán)肅問(wèn)題了。

[[266753]]

很多廠商表示，媒體和標(biāo)題黨只會(huì)幫倒忙。但凡事件涉及數(shù)據(jù)且聽起來(lái)像個(gè)可博眼球的新聞，大部分媒體就會(huì)給安上個(gè) “數(shù)據(jù)泄露” 的關(guān)鍵詞。所以，在吐槽《條例》締造者居心不良之前，不妨冷靜地回顧下GDPR決議對(duì)這么個(gè)模糊不清的主題設(shè)置諸多規(guī)定的思考過(guò)程。

到底是不是數(shù)據(jù)泄露?

如果生活就是墨守成規(guī)那么簡(jiǎn)單，那這篇文章就沒(méi)必要寫也沒(méi)必要讀了。但生活并不簡(jiǎn)單，理清定義還是有必要的。雖然大多數(shù)網(wǎng)絡(luò)安全組織都傾向于認(rèn)為數(shù)據(jù)泄露涉及未授權(quán)刪除或查閱數(shù)據(jù)的行為，但并沒(méi)有一個(gè)全知全能的 “數(shù)據(jù)泄露警署” 來(lái)推行這一定義。

前文提及的GDPR是與 “數(shù)據(jù)泄露警署” 最為接近的事物了，因?yàn)樗鼡碛袑?duì)違反其數(shù)據(jù)保護(hù)條例的人征收巨額罰金的權(quán)力。由于該新規(guī)定背后的當(dāng)權(quán)者正在揮舞大棒殺雞儆猴，我們不妨來(lái)分析一下他們是怎么定義個(gè)人數(shù)據(jù)泄露的。

GDPR進(jìn)一步闡明：數(shù)據(jù)泄露是一類安全事件，但不是所有的安全事件都是數(shù)據(jù)泄露。這里存在三條決定性的信息安全基本原則，其中任何一條或多條都能構(gòu)成數(shù)據(jù)泄露。

• 違反機(jī)密性 ——未授權(quán)或意外披露個(gè)人數(shù)據(jù)。
• 違反可用性 ——未授權(quán)或意外喪失對(duì)個(gè)人數(shù)據(jù)的訪問(wèn)權(quán)或造成對(duì)個(gè)人數(shù)據(jù)的破壞。
• 違反完整性——對(duì)個(gè)人數(shù)據(jù)的未授權(quán)或意外變更。

情況復(fù)雜多變?？勺屑?xì)審查上述原則背景下的一些具體實(shí)例。

勒索軟件攻擊

認(rèn)為勒索軟件不是什么大事兒的想法簡(jiǎn)直大錯(cuò)特錯(cuò)。這種惱人的惡意軟件在黑客圈中越來(lái)越流行，可對(duì)大大小小的公司企業(yè)造成數(shù)十億美元的損失。

勒索軟件通常是終端用戶點(diǎn)擊了網(wǎng)絡(luò)釣魚郵件中看似合法的惡意鏈接而植入系統(tǒng)的，會(huì)加密受害者的文件，要求受害者支付贖金以換取解密密鑰。

這算是數(shù)據(jù)泄露嗎?雖然系統(tǒng)中不受歡迎的勒索軟件入侵本身只能被看作是安全事件，但GDPR告訴我們：具體事件的細(xì)節(jié)最重要——個(gè)人數(shù)據(jù)被訪問(wèn)的瞬間，就適用不一樣的原則了。盡管數(shù)據(jù)訪問(wèn)權(quán)的遺失可能只是暫時(shí)的，并不能運(yùn)用可用性原則 (假設(shè)你可以從備份計(jì)劃中恢復(fù)出數(shù)據(jù))，但根據(jù)具體情況，機(jī)密性原則中的 “未授權(quán)訪問(wèn)” 部分卻有可能再次適用。

對(duì)所有此類事件，我們必須仔細(xì)審閱定義的精確措辭。員工點(diǎn)擊網(wǎng)絡(luò)釣魚電子郵件鏈接釋放出勒索軟件算不算違反機(jī)密性原則?這可能屬于 “意外訪問(wèn)” 條款的管轄范圍，但也有可能不是。

開放S3存儲(chǔ)桶之殤

亞馬遜的云存儲(chǔ)服務(wù)近些年讓這家公司更加聲名大噪。但問(wèn)題是，錯(cuò)誤配置的安全設(shè)置引發(fā)了數(shù)據(jù)泄露事件的盛行——拜未受保護(hù)的開放存儲(chǔ)桶所賜?；蛘?，這些事件僅僅是安全事件?

運(yùn)用GDPR的三條安全原則一審便知。

偶然撞上一個(gè)開放S3存儲(chǔ)桶某種程度上相當(dāng)于隨機(jī)訪問(wèn)一個(gè)網(wǎng)站，而該站點(diǎn)擁有者毫無(wú)安全措施地將網(wǎng)站暴露在公網(wǎng)上時(shí)并未預(yù)期會(huì)有人訪問(wèn)這個(gè)網(wǎng)站。很明顯，近期的S3數(shù)據(jù)泄露中，比如威瑞森、LocalBlox和GoDaddy遭遇的那些，并沒(méi)有哪家苦主想要暴露這數(shù)百萬(wàn)條個(gè)人數(shù)據(jù)集。

但如果是安全研究人員偶然遇到了開放存儲(chǔ)桶，順手查看一番的情況呢?他們會(huì)被就地歸類為正在制造數(shù)據(jù)泄露事件的黑客嗎?讓我們回到機(jī)密性原則上來(lái)。必須承認(rèn)，因?yàn)樵摯鎯?chǔ)桶就這么敞開在網(wǎng)上，這位友好的鄰家研究員的確有權(quán)查看。若以該原則認(rèn)定此類行為有罪，那只要看過(guò)不屬于自己的東西難道就是罪犯嗎?別人家沒(méi)關(guān)窗簾被你看到室內(nèi)陳設(shè)也算犯罪嗎?

至于意外披露或訪問(wèn)的情況，那就跟機(jī)密性原則有關(guān)了。按常理推測(cè)，GoDaddy是不會(huì)想要自己的商業(yè)秘密和基礎(chǔ)設(shè)施信息暴露在公網(wǎng)上的，于是，意外披露的情況存在。技術(shù)專家將S3存儲(chǔ)桶問(wèn)題的涌現(xiàn)歸罪于糟糕的產(chǎn)品設(shè)計(jì)，稱普通人太難搞懂并應(yīng)用正確的安全設(shè)置了。

亞馬遜可以從理論意義上爭(zhēng)辯稱，GoDaddy存儲(chǔ)桶可被訪問(wèn)的事實(shí)并不構(gòu)成數(shù)據(jù)泄露，因?yàn)槌窃摯鎯?chǔ)桶被拷貝或移動(dòng)到外部，否則是沒(méi)有發(fā)生任何損害的。然而，GDPR監(jiān)管機(jī)構(gòu)會(huì)回應(yīng)稱，GoDaddy將自身商業(yè)秘密交托給該亞馬遜服務(wù)時(shí)并未預(yù)期該信息能在網(wǎng)上公開訪問(wèn)。

“我只是復(fù)制而已”

上一節(jié)內(nèi)容引出了另一個(gè)問(wèn)題：如果你只是復(fù)制了系統(tǒng)中的信息算數(shù)據(jù)泄露嗎?截至目前，機(jī)密性原則可謂嚴(yán)酷監(jiān)工的概念應(yīng)該建立起來(lái)了，尤其是在其甚至連意外披露或訪問(wèn)都禁止的措辭方面。

這種情況下，很難申辯你只是復(fù)制了受保護(hù)數(shù)據(jù)而沒(méi)有訪問(wèn) (查看) 其內(nèi)容，因此——違規(guī)罪名成立!但真的成立嗎?未必。很明顯，這種對(duì)GDPR標(biāo)準(zhǔn)的應(yīng)用給律師、法庭和GDPR本身留下了很大的解釋空間。

收集數(shù)據(jù)的各種方式

有時(shí)候你可能就在收集GDPR規(guī)定的個(gè)人數(shù)據(jù)而不自知：

• 有沒(méi)有電子郵件訂閱表單?通過(guò)這條途徑收集的任何信息(姓名、郵箱地址等等)都算。
• 評(píng)論區(qū)呢?如果訪客可以留下包含自身郵箱地址、網(wǎng)站URL、姓名等內(nèi)容的評(píng)論，數(shù)據(jù)收集判定成立。
• 對(duì)虛擬主機(jī)有多信任?除非運(yùn)營(yíng)的是完全自給自足的服務(wù)器，否則就有很大概率往托管主機(jī)提供商那兒存儲(chǔ)GDPR轄下的文件——即便你并不認(rèn)為自己在通過(guò)作為托管主機(jī)標(biāo)準(zhǔn)流程的日志文件收集包含網(wǎng)站訪客IP地址的數(shù)據(jù)。

上述問(wèn)題很多在線云托管及云存儲(chǔ)提供商都很難回答。亞馬遜、谷歌和微軟等公司可能發(fā)現(xiàn)自己違反了GDPR要求，但他們體量足夠大，能夠挺過(guò)經(jīng)濟(jì)處罰。小型服務(wù)提供商就未必了。

比如廣受位于猶他州鹽湖城的加拿大及美國(guó)中小企業(yè)推崇的虛擬主機(jī)提供商Bluehost。他們闡述了虛擬主機(jī)、客戶和客戶網(wǎng)站之間的復(fù)雜關(guān)系。雖然Bluehost在遵循嚴(yán)格的《隱私政策》收集、處理和存儲(chǔ)客戶數(shù)據(jù)方面毫無(wú)疑問(wèn)符合GDPR規(guī)定，但其《數(shù)據(jù)處理協(xié)議》(涵蓋通過(guò)客戶網(wǎng)站上傳服務(wù)器的數(shù)據(jù)) 卻沒(méi)那么確定了。托管服務(wù)提供商將GDPR終端用戶要求簡(jiǎn)單轉(zhuǎn)嫁給網(wǎng)站擁有者的行為并不鮮見。

對(duì)SaaS公司而言情況更加詭譎。SaaS公司仰賴第三方托管以維持業(yè)務(wù)運(yùn)營(yíng)。如果某SaaS應(yīng)用要使用不符合GDPR規(guī)定的托管服務(wù)會(huì)出現(xiàn)什么狀況?最近的一篇《福布斯》文章中，Varonis創(chuàng)始人 Yaki Faitelson 描述了此類案例的復(fù)雜性：

結(jié)論

網(wǎng)站擁有者應(yīng)重視對(duì)GDPR的解讀，重點(diǎn)搞清構(gòu)成數(shù)據(jù)泄露的要素有哪些，以及如何向客戶通報(bào)數(shù)據(jù)泄露事件。注意72小時(shí)窗口期，因?yàn)檫@是必須通報(bào)數(shù)據(jù)泄露的時(shí)間底線。

涉及SaaS公司GDPR合規(guī)復(fù)雜性的《福布斯》文章：

https://www.forbes.com/sites/forbestechcouncil/2019/04/05/gdprs-territorial-scope-holds-new-surprises-for-u-s-service-firms/

【本文是51CTO專欄作者“李少鵬”的原創(chuàng)文章，轉(zhuǎn)載請(qǐng)通過(guò)安全牛（微信公眾號(hào)id:gooann-sectv）獲取授權(quán)】

戳這里，看該作者更多好文