GDPR正式生效!合規就一定是安全的嗎?

IT168GB發表於2018-05-29

  歐盟的資料保護新法 GDPR(General Data Protection Regulation,通用資料保護條例)於近日正式生效。雖然這項條例早在兩年前就已正式推出,而且提供了兩年的寬限期,但企業普遍行動緩慢,大部分企業在最後一分鐘前才急急忙忙地開始大量傳送郵件和資訊徵求使用者的明確同意書。這不禁讓我們思考這樣一個問題: GDPR 合規真的能和安全劃等號嗎?

  英國資料保護監管機構資訊委員會辦公室 (ICO)就 表示,隨著 GDPR 的最後期限越來越近,網站遭遇“多次中斷”情況。

  布魯塞爾堅信 GDPR 將成為保護人們網路資訊保安的全球標杆,尤其是繼 Facebook 資料收集醜聞之後。

  歐盟 Justice Commissioner Vera Jourova 表示,新法將讓歐洲人重新控制自己的資料。如今的個人資料安全情況就像是飄蕩在水族館中的裸體。

  違反 GDPR 的公司將面臨最高2000萬歐元(摺合2400萬美元)或全球年營收4%的罰款。另一個可參考資料是歐盟的市場足足有5億人口。

  須獲得使用者明確同意

  GDPR 的關鍵規定是,個人必須明確給予使用資料的許可權。它還規定了消費者獲悉資訊處理方以及資訊用途的“知情權”。

  人們能夠阻攔資料遭出於商業原因的處理,甚至按照“被遺忘權”要求刪除自己的資料。按照各國的不同規定,父母將為年齡不到13至16歲不等的少年做出處理資料的決定。

  GDPR 是全球標準嗎?

  大型平臺如 Facebook、WhatsApp 和 Twitter 似乎都準備好迎接這些新規定,而小公司似乎很猶豫,他們向外界紛紛表達了自己的擔憂。

  歐盟官方表示起初 GDPR 本來只針對大公司,因為大公司的業務模式會將重要的個人資訊用於廣告用途, GDPR 會給小企業預留更多的時間進行適應。很多美國人剛開始批評歐洲對全球經濟新引擎制定的法規約束太快太早,而現在他們也看到了 GDPR 存在的必要性。美國的一名大學教授表示,至少在美國,企業已經開始快速採用某些 GDPR 版本。歐盟還表示,日本、韓國、印度和泰國也在討論是否需要頒佈類似的法律。

  雖然 GDPR 合規是安全史上的一個里程碑,但值得提醒的是,合規並不等同於安全。GDPR 中包含的標準提升當然能帶來好處,就像 PCI DSS、HIPAA 和其它法規機構提出的安全標準那樣。但跳出安全或法規機構這個圈子來看,實現和維護合規從來都不應該是任何安全計劃的終極目標。

  合規並不能保證安全

  需要銘記的是,近年來披露的很多資料洩露事件都發生在合規的公司中。這就意味著,例如,PCI 合規無法阻止大量零售商、金融服務機構和網路提供商免遭攻陷,就像2016年大量合規於 HIPAA 的組織機構所遭受的醫保資料攻擊事件一樣。

  合規標準並不全面

  事實上,這種合規企業遭攻擊的趨勢強化了合規標準應該如何被運營和看待的問題:這些標準能夠讓人瞭解安全計劃的基石但並不充分。最有效的安全計劃認為合規是綜合安全戰略中相對較小的元件。

  雖然很多合規標準確實提供了有價值的指導,如在資料儲存、使用者隱私和事件披露領域,但它們並未解決更多更重要領域中的問題。安全意識、業務持續性和滲透測試、員工教育以及技術和策略控制只是其中的幾個例子而已。這也是為什麼說當評估第三方風險和對潛在廠商實施盡職調查時,有必要檢視合規以外的東西的原因。確實,一個企業的安全態勢無法全部透過合規資訊反映出來,後者只是反映了一小部分而已。

  例如,並非所有的執行資料儲存標準的合規機構都強制執行加密機制。HIPPAA 特別建議執行加密,但並未要求對透過電子儲存的 PHI 進行加密。不能僅憑某個電子醫療記錄系統的廠商合規 HIPAA 就認為它對 PHI 資訊進行了加密。GDPR 的情況也一樣,雖然它極力鼓勵加密使用者資料並對未能有效保護使用者資料的企業進行處罰,但它並未強制要求加密。這種趨勢和其它多個合規機構提出的標準並無二致。

  威脅比合規標準演進得更快

  對手,無論是找到新方法識別 0day 漏洞的對手還是繞過最新反欺詐控制機制的對手,都在不斷改變其戰術、技術和程式 (TTPs) 及最終威脅。這些快速改變就是為何走在對手前面要求採用動態迭代的安全方法的原因。

  然而,這種方法和合規標準的靜態的合規本質及其以合規為中心的安全計劃之間存在巨大差異。HIPAA 自2003年頒佈《安全規定》依賴並未修訂其安全要求,儘管大量資料洩露、勒索攻擊自此之後就攻擊醫療行業並攻陷了數百萬個人的 PHI。儘管 PCI 標準的更新頻率更高,但遠遠無法和威脅局勢的演進速度相比。例如,儘管實現 EMV 晶片技術已經幫助減少了支付卡欺詐現象,但其它多種型別的欺詐現象如禮品卡欺詐、身份盜取和稅務欺詐等數量已在不斷增多。

  儘管合規標準應當但只能是更廣泛安全戰略的一個組成部分,但實現並維護合規性仍然是增加負擔且消耗密集資源的程式。對於很多組織機構而言,嚴格的最後期限、複雜的實現以及高昂的非合規出發等因素讓他們認為採用以合規為中心的安全方法看似是合理而正確的決策。但值得記住的是,雖然很多合規標準確實提供了清晰可見的巨大安全好處,但它們還沒有全面或靈活到能作為有效安全計劃的唯一焦點的地步。

來自 “ ITPUB部落格 ” ,連結:http://blog.itpub.net/31510736/viewspace-2155284/,如需轉載,請註明出處,否則將追究法律責任。

相關文章