欧盟的数据保护新法 GDPR(General Data Protection Regulation,通用数据保护条例)于近日正式生效。虽然这项条例早在两年前就已正式推出,而且提供了两年的宽限期,但企业普遍行动缓慢,大部分企业在最后一分钟前才急急忙忙地开始大量发送邮件和信息征求用户的明确同意书。这不禁让我们思考这样一个问题: GDPR 合规真的能和安全划等号吗?
英国数据保护监管机构信息委员会办公室 (ICO)就 表示,随着 GDPR 的最后期限越来越近,网站遭遇“多次中断”情况。
布鲁塞尔坚信 GDPR 将成为保护人们网络信息安全的全球标杆,尤其是继 Facebook 数据收集丑闻之后。
欧盟 Justice Commissioner Vera Jourova 表示,新法将让欧洲人重新控制自己的数据。如今的个人数据安全情况就像是飘荡在水族馆中的裸体。
违反 GDPR 的公司将面临最高2000万欧元(折合2400万美元)或全球年营收4%的罚款。另一个可参考数据是欧盟的市场足足有5亿人口。
须获得用户明确同意
GDPR 的关键规定是,个人必须明确给予使用数据的权限。它还规定了消费者获悉信息处理方以及信息用途的“知情权”。
人们能够阻拦数据遭出于商业原因的处理,甚至按照“被遗忘权”要求删除自己的数据。按照各国的不同规定,父母将为年龄不到13至16岁不等的少年做出处理数据的决定。
GDPR 是全球标准吗?
大型平台如 Facebook、WhatsApp 和 Twitter 似乎都准备好迎接这些新规定,而小公司似乎很犹豫,他们向外界纷纷表达了自己的担忧。
欧盟官方表示起初 GDPR 本来只针对大公司,因为大公司的业务模式会将重要的个人信息用于广告用途, GDPR 会给小企业预留更多的时间进行适应。很多美国人刚开始批评欧洲对全球经济新引擎制定的法规约束太快太早,而现在他们也看到了 GDPR 存在的必要性。美国的一名大学教授表示,至少在美国,企业已经开始快速采用某些 GDPR 版本。欧盟还表示,日本、韩国、印度和泰国也在讨论是否需要颁布类似的法律。
虽然 GDPR 合规是安全史上的一个里程碑,但值得提醒的是,合规并不等同于安全。GDPR 中包含的标准提升当然能带来好处,就像 PCI DSS、HIPAA 和其它法规机构提出的安全标准那样。但跳出安全或法规机构这个圈子来看,实现和维护合规从来都不应该是任何安全计划的终极目标。
合规并不能保证安全
需要铭记的是,近年来披露的很多数据泄露事件都发生在合规的公司中。这就意味着,例如,PCI 合规无法阻止大量零售商、金融服务机构和网络提供商免遭攻陷,就像2016年大量合规于 HIPAA 的组织机构所遭受的医保数据攻击事件一样。
合规标准并不全面
事实上,这种合规企业遭攻击的趋势强化了合规标准应该如何被运营和看待的问题:这些标准能够让人了解安全计划的基石但并不充分。最有效的安全计划认为合规是综合安全战略中相对较小的组件。
虽然很多合规标准确实提供了有价值的指导,如在数据存储、用户隐私和事件披露领域,但它们并未解决更多更重要领域中的问题。安全意识、业务持续性和渗透测试、员工教育以及技术和策略控制只是其中的几个例子而已。这也是为什么说当评估第三方风险和对潜在厂商实施尽职调查时,有必要查看合规以外的东西的原因。确实,一个企业的安全态势无法全部通过合规信息反映出来,后者只是反映了一小部分而已。
例如,并非所有的执行数据存储标准的合规机构都强制执行加密机制。HIPPAA 特别建议执行加密,但并未要求对通过电子存储的 PHI 进行加密。不能仅凭某个电子医疗记录系统的厂商合规 HIPAA 就认为它对 PHI 信息进行了加密。GDPR 的情况也一样,虽然它极力鼓励加密用户数据并对未能有效保护用户数据的企业进行处罚,但它并未强制要求加密。这种趋势和其它多个合规机构提出的标准并无二致。
威胁比合规标准演进得更快
对手,无论是找到新方法识别 0day 漏洞的对手还是绕过最新反欺诈控制机制的对手,都在不断改变其战术、技术和程序 (TTPs) 及最终威胁。这些快速改变就是为何走在对手前面要求采用动态迭代的安全方法的原因。
然而,这种方法和合规标准的静态的合规本质及其以合规为中心的安全计划之间存在巨大差异。HIPAA 自2003年颁布《安全规定》依赖并未修订其安全要求,尽管大量数据泄露、勒索攻击自此之后就攻击医疗行业并攻陷了数百万个人的 PHI。尽管 PCI 标准的更新频率更高,但远远无法和威胁局势的演进速度相比。例如,尽管实现 EMV 芯片技术已经帮助减少了支付卡欺诈现象,但其它多种类型的欺诈现象如礼品卡欺诈、身份盗取和税务欺诈等数量已在不断增多。
尽管合规标准应当但只能是更广泛安全战略的一个组成部分,但实现并维护合规性仍然是增加负担且消耗密集资源的进程。对于很多组织机构而言,严格的最后期限、复杂的实现以及高昂的非合规出发等因素让他们认为采用以合规为中心的安全方法看似是合理而正确的决策。但值得记住的是,虽然很多合规标准确实提供了清晰可见的巨大安全好处,但它们还没有全面或灵活到能作为有效安全计划的唯一焦点的地步。