文章详情

短信预约-IT技能 免费直播动态提醒

请输入下面的图形验证码

提交验证

短信预约提醒成功

GDPR正式生效!合规就一定是安全的吗?

2023-06-04 20:27

关注

  欧盟的数据保护新法 GDPR(General Data Protection Regulation,通用数据保护条例)于近日正式生效。虽然这项条例早在两年前就已正式推出,而且提供了两年的宽限期,但企业普遍行动缓慢,大部分企业在最后一分钟前才急急忙忙地开始大量发送邮件和信息征求用户的明确同意书。这不禁让我们思考这样一个问题: GDPR 合规真的能和安全划等号吗?

GDPR正式生效!合规就一定是安全的吗?

  英国数据保护监管机构信息委员会办公室 (ICO)就 表示,随着 GDPR 的最后期限越来越近,网站遭遇“多次中断”情况。

  布鲁塞尔坚信 GDPR 将成为保护人们网络信息安全的全球标杆,尤其是继 Facebook 数据收集丑闻之后。

  欧盟 Justice Commissioner Vera Jourova 表示,新法将让欧洲人重新控制自己的数据。如今的个人数据安全情况就像是飘荡在水族馆中的裸体。

  违反 GDPR 的公司将面临最高2000万欧元(折合2400万美元)或全球年营收4%的罚款。另一个可参考数据是欧盟的市场足足有5亿人口。

  须获得用户明确同意

  GDPR 的关键规定是,个人必须明确给予使用数据的权限。它还规定了消费者获悉信息处理方以及信息用途的“知情权”。

  人们能够阻拦数据遭出于商业原因的处理,甚至按照“被遗忘权”要求删除自己的数据。按照各国的不同规定,父母将为年龄不到13至16岁不等的少年做出处理数据的决定。

  GDPR 是全球标准吗?

  大型平台如 Facebook、WhatsApp 和 Twitter 似乎都准备好迎接这些新规定,而小公司似乎很犹豫,他们向外界纷纷表达了自己的担忧。

  欧盟官方表示起初 GDPR 本来只针对大公司,因为大公司的业务模式会将重要的个人信息用于广告用途, GDPR 会给小企业预留更多的时间进行适应。很多美国人刚开始批评欧洲对全球经济新引擎制定的法规约束太快太早,而现在他们也看到了 GDPR 存在的必要性。美国的一名大学教授表示,至少在美国,企业已经开始快速采用某些 GDPR 版本。欧盟还表示,日本、韩国、印度和泰国也在讨论是否需要颁布类似的法律。

  虽然 GDPR 合规是安全史上的一个里程碑,但值得提醒的是,合规并不等同于安全。GDPR 中包含的标准提升当然能带来好处,就像 PCI DSS、HIPAA 和其它法规机构提出的安全标准那样。但跳出安全或法规机构这个圈子来看,实现和维护合规从来都不应该是任何安全计划的终极目标。

  合规并不能保证安全

  需要铭记的是,近年来披露的很多数据泄露事件都发生在合规的公司中。这就意味着,例如,PCI 合规无法阻止大量零售商、金融服务机构和网络提供商免遭攻陷,就像2016年大量合规于 HIPAA 的组织机构所遭受的医保数据攻击事件一样。

  合规标准并不全面

  事实上,这种合规企业遭攻击的趋势强化了合规标准应该如何被运营和看待的问题:这些标准能够让人了解安全计划的基石但并不充分。最有效的安全计划认为合规是综合安全战略中相对较小的组件。

  虽然很多合规标准确实提供了有价值的指导,如在数据存储、用户隐私和事件披露领域,但它们并未解决更多更重要领域中的问题。安全意识、业务持续性和渗透测试、员工教育以及技术和策略控制只是其中的几个例子而已。这也是为什么说当评估第三方风险和对潜在厂商实施尽职调查时,有必要查看合规以外的东西的原因。确实,一个企业的安全态势无法全部通过合规信息反映出来,后者只是反映了一小部分而已。

  例如,并非所有的执行数据存储标准的合规机构都强制执行加密机制。HIPPAA 特别建议执行加密,但并未要求对通过电子存储的 PHI 进行加密。不能仅凭某个电子医疗记录系统的厂商合规 HIPAA 就认为它对 PHI 信息进行了加密。GDPR 的情况也一样,虽然它极力鼓励加密用户数据并对未能有效保护用户数据的企业进行处罚,但它并未强制要求加密。这种趋势和其它多个合规机构提出的标准并无二致。

  威胁比合规标准演进得更快

  对手,无论是找到新方法识别 0day 漏洞的对手还是绕过最新反欺诈控制机制的对手,都在不断改变其战术、技术和程序 (TTPs) 及最终威胁。这些快速改变就是为何走在对手前面要求采用动态迭代的安全方法的原因。

  然而,这种方法和合规标准的静态的合规本质及其以合规为中心的安全计划之间存在巨大差异。HIPAA 自2003年颁布《安全规定》依赖并未修订其安全要求,尽管大量数据泄露、勒索攻击自此之后就攻击医疗行业并攻陷了数百万个人的 PHI。尽管 PCI 标准的更新频率更高,但远远无法和威胁局势的演进速度相比。例如,尽管实现 EMV 芯片技术已经帮助减少了支付卡欺诈现象,但其它多种类型的欺诈现象如礼品卡欺诈、身份盗取和税务欺诈等数量已在不断增多。

  尽管合规标准应当但只能是更广泛安全战略的一个组成部分,但实现并维护合规性仍然是增加负担且消耗密集资源的进程。对于很多组织机构而言,严格的最后期限、复杂的实现以及高昂的非合规出发等因素让他们认为采用以合规为中心的安全方法看似是合理而正确的决策。但值得记住的是,虽然很多合规标准确实提供了清晰可见的巨大安全好处,但它们还没有全面或灵活到能作为有效安全计划的唯一焦点的地步。

阅读原文内容投诉

免责声明:

① 本站未注明“稿件来源”的信息均来自网络整理。其文字、图片和音视频稿件的所属权归原作者所有。本站收集整理出于非商业性的教育和科研之目的,并不意味着本站赞同其观点或证实其内容的真实性。仅作为临时的测试数据,供内部测试之用。本站并未授权任何人以任何方式主动获取本站任何信息。

② 本站未注明“稿件来源”的临时测试数据将在测试完成后最终做删除处理。有问题或投稿请发送至: 邮箱/279061341@qq.com QQ/279061341

软考中级精品资料免费领

  • 历年真题答案解析
  • 备考技巧名师总结
  • 高频考点精准押题
  • 2024年上半年信息系统项目管理师第二批次真题及答案解析(完整版)

    难度     813人已做
    查看
  • 【考后总结】2024年5月26日信息系统项目管理师第2批次考情分析

    难度     354人已做
    查看
  • 【考后总结】2024年5月25日信息系统项目管理师第1批次考情分析

    难度     318人已做
    查看
  • 2024年上半年软考高项第一、二批次真题考点汇总(完整版)

    难度     435人已做
    查看
  • 2024年上半年系统架构设计师考试综合知识真题

    难度     224人已做
    查看

相关文章

发现更多好内容

猜你喜欢

AI推送时光机
位置:首页-资讯-后端开发
咦!没有更多了?去看看其它编程学习网 内容吧
首页课程
资料下载
问答资讯