GDPR這口鍋，剛剛開始沸騰。它會有多熱?會燙到誰?對于安全，隱私專業(yè)人士和管理人員來說，已經(jīng)發(fā)生的大大小小的GDPR合規(guī)案例提供了豐富的安全與隱私課程。

[[274636]]

安全基礎(chǔ)已經(jīng)開始冒泡

數(shù)據(jù)安全基礎(chǔ)是監(jiān)管機構(gòu)的首要執(zhí)法行動對象，包括罰款，這些監(jiān)管行動發(fā)出了關(guān)于保護整個數(shù)據(jù)供應(yīng)鏈中個人數(shù)據(jù)的期望的明確信息。訪問控制，開放數(shù)據(jù)源和監(jiān)控等問題都適合這個問題。例如，英國，德國，法國和葡萄牙數(shù)據(jù)保護機構(gòu)(DPA)一直積極要求對安全實踐進行具體更改并征收罰款。

• 德國聊天提供商將其平臺向公眾開放，并且需要添加更強大的帳戶管理，加密和訪問控制。
• 一家葡萄牙醫(yī)院的醫(yī)生賬戶數(shù)量是實際醫(yī)生的三倍以上，并允許訪問所有患者檔案。因此，他們需要刪除舊的和重復(fù)的帳戶并實施更嚴格的訪問控制。
• 英國的醫(yī)療實踐允許受訓(xùn)者閱讀同事，朋友和家人的患者記錄兩年。最終，他們需要添加基于角色的訪問權(quán)限。
• 一個突出的目標是優(yōu)步。法國，英國和荷蘭因未能實施2016年違規(guī)行為的基本安全措施而對Uber處以罰款。強制實踐包括用于訪問AWS S3服務(wù)器的IP過濾系統(tǒng)，要求工程師使用2FA連接到GitHub，而不是以純文本格式存儲這些憑據(jù)。

傳遞出的訊息很明確： 無需再懷疑GDPR執(zhí)法行動和罰款是否涉及數(shù)據(jù)安全，答案是肯定的。這些執(zhí)法行動清楚地給出了對不同規(guī)模組織的最低安全實踐的預(yù)期目標，并且未來涉及歐盟以外的企業(yè)的案例中，也將適用。

GDPR合規(guī)可不簡單

有兩個標志性案例表明GDPR即將開鍋：英國航空公司和萬豪國際。英國航空公司(BA)的用戶被引導(dǎo)到一個欺詐網(wǎng)站收集付款和個人信息，Magecart注入腳本的一部分，充當數(shù)字信用卡盜卡器，這是一種已知的攻擊。BA現(xiàn)在面臨的整改包括：實施定期安全審查，代碼分析和惡意軟件檢測技術(shù)和審查，并加密敏感數(shù)據(jù)。最后，他們必須在整個數(shù)據(jù)收集過程中增加額外的控制，從表單到付款提交，包括第三方，以及更積極地監(jiān)控和響應(yīng)外部威脅環(huán)境。

萬豪酒店的情況是值得注意的，因為涉及到一家美國公司，并強調(diào)并購盡職調(diào)查，以評估安全實踐，安全代碼，并確定可能違規(guī)。具體而言，盡管萬豪在2015年調(diào)查了最近收購的喜達屋酒店的小規(guī)模違規(guī)行為，但安全專家和英國監(jiān)管機構(gòu)(ICO)表示，這應(yīng)該促使萬豪進行更深入的調(diào)查，這將使他們能夠找到潛伏在其預(yù)訂中長達三年之久的黑客系統(tǒng)。根據(jù)ICO的說法，“憑借他們擁有的所有資源，他們早在2015年就應(yīng)該能隔絕黑客。”

現(xiàn)在，GDPR對企業(yè)并購的要求是準確的：展示安全措施和沒有違規(guī)行為是不夠的。企業(yè)將需要更多的安全實踐證明和技術(shù)監(jiān)控控制，執(zhí)行廣泛的技術(shù)盡職調(diào)查，包括書面測試和代碼審查。目標組織也應(yīng)準備作出回應(yīng)。

GDPR也賦予歐盟DPA更多執(zhí)法權(quán)力。2019年7月底發(fā)布的歐盟委員會年度報告呼吁通過歐盟內(nèi)外各國監(jiān)管機構(gòu)中共同努力來擴大執(zhí)法活動。歐盟認為，GDPR在全球范圍提升并幫助所有經(jīng)濟體轉(zhuǎn)型——- 隨著越來越多的國家建立現(xiàn)代數(shù)據(jù)保護規(guī)則，全球范圍內(nèi)一致且更強大的數(shù)據(jù)保護標準講不斷擴展。