上个月GDPR就半岁了。这项监管规定承诺提升处理欧盟公民数据的所有跨国公司的透明度和问责力度。高额罚金的可能性迫使公司企业好好思考自身合规和调整适应的方式。
然而,也有人认为,黑客能利用这项规定来谋取攻击优势。围绕GDPR准备度的顾虑分散了我们对网络安全和司法方面一些负面后果的注意力。
于是,在迈入2019年之际,我们应反省该条例呈现的一些甚少讨论过的问题。
WHOIS封锁了白帽子?
WHOIS域名注册人个人信息数据库就是第一个问题。WHOIS是执法人员、安全研究人员和IP持有者的重要工具,可以查找与欺诈或大范围网络攻击活动相关的GDPR漏洞利用。
滥用品牌IP作为满载恶意软件的网站或用于网络钓鱼的恶意假冒域名,可以通过WHOIS数据库找出其背后的网络罪犯。即便注册人因为知道自己所作所为非法而使用了假名,同样的假名也往往用于注册多个域名,对执法人员一样大有用处。
美国政府认为,该数据应仍能被警方和IP持有者访问,互联网监管机构ICANN也注意到了WHOIS在这些用例中的价值。
然而,反网络钓鱼工作组的一项新研究发现,ICANN在5月设立了对WHOIS数据的临时规范以符合GDPR规定,而这项规范中断了执法人员的调查。
之前公开可用的WHOIS信息如今被涂抹掉了大半,且合法调查人员根据临时规范提出的非公开WHOIS信息访问请求通常不会被通过。很多注册机构明显不愿意收集太多注册者信息,以防违反了GDPR。
网络钓鱼向纵深发展
网络钓鱼依然是公司企业和消费者安全的主要威胁,是身份盗窃、勒索软件和其他恶意软件下载的关键一步,与2017年93%的企业数据泄露事件相关。
如果GDPR无可避免地给黑帽子壮了胆,那么监管者需找出折衷方案允许特定组织经审查后访问WHOIS。他们至少可以将受限个人数据替换为散列值,这样一来,司法人员、监管人员和调查人员就可以辨别所有权模式了。
生效6个多月以来,GDPR已被证明对网络钓鱼者越来越有利。网络罪犯总在寻找利用最新新闻趋势的方法,怂恿收件人点击网络钓鱼或其他恶意链接。事实上,GDPR为网络钓鱼者提供了绝佳机会:他们可以分享可能来自“公司”的诈骗电子邮件,要求客户更新他们的凭证。
诈骗者可能继续将GDPR用作伪装,诱使毫无戒心的用户共享出敏感财务信息或个人信息。网络钓鱼攻击会敦促用户更新自己的偏好,称若不更新,他们的账户将可能面临被冻结或删除的风险。在GDPR生效那段时间,此类欺诈邮件泛滥收件箱,而合法公司企业同时也在发送自身的市场营销邮件。因此,提升GDPR意识的任何立法新进展都有可能触发一轮新的诈骗攻击。
沉默半年?
ICANN临时规范将持续12个月,替代规范正在制定中。但是,行业组织对能协调监管者、注册机构、公司企业和司法机构代表等各方利益的解决方案仍抱悲观态度。
GDPR生效以来,我们几乎没有听到消费者关于数据合规的任何意见。除了公司企业宁愿支付网络罪犯也不愿面对GDPR罚金的离奇故事,后GDPR时代的情况与生效前议论纷纷的状况大相径庭。希望这种沉默是因为监管控制而不是因为他们例行公事地勾掉合规事项而进行下一项事务了吧。
合规是个持续的过程,公司企业需一直调整适应。2019年还有其他监管规定需要实现,包括欧盟的《电子隐私条例》(ePR)。ePR保护涉电子通信的数据及设备的机密性,其司法辖区与GDPR相同,连不合规的惩罚机制都如出一辙。
新年来临之际,随着数据泄露继续几乎每周都登头条,可以预期监管机构将很快拿一家不合规的大企业杀鸡儆猴,处以4%全球年营业额的最高GDPR罚款。无论如何,GDPR时时提醒着公司企业保持警惕,随时根据要求调整自己的合规过程。