封鎖白帽子 放縱黑帽子:GDPR丑陋的一面
責編:gltian |2018-12-25 15:10:00上個月GDPR就半歲了。這項監管規定承諾提升處理歐盟公民數據的所有跨國公司的透明度和問責力度。高額罰金的可能性迫使公司企業好好思考自身合規和調整適應的方式。
然而,也有人認為,黑客能利用這項規定來謀取攻擊優勢。圍繞GDPR準備度的顧慮分散了我們對網絡安全和司法方面一些負面后果的注意力。
于是,在邁入2019年之際,我們應反省該條例呈現的一些甚少討論過的問題。
WHOIS封鎖了白帽子?
WHOIS域名注冊人個人信息數據庫就是第一個問題。WHOIS是執法人員、安全研究人員和IP持有者的重要工具,可以查找與欺詐或大范圍網絡攻擊活動相關的GDPR漏洞利用。
濫用品牌IP作為滿載惡意軟件的網站或用于網絡釣魚的惡意假冒域名,可以通過WHOIS數據庫找出其背后的網絡罪犯。即便注冊人因為知道自己所作所為非法而使用了假名,同樣的假名也往往用于注冊多個域名,對執法人員一樣大有用處。
美國政府認為,該數據應仍能被警方和IP持有者訪問,互聯網監管機構ICANN也注意到了WHOIS在這些用例中的價值。
然而,反網絡釣魚工作組的一項新研究發現,ICANN在5月設立了對WHOIS數據的臨時規范以符合GDPR規定,而這項規范中斷了執法人員的調查。
之前公開可用的WHOIS信息如今被涂抹掉了大半,且合法調查人員根據臨時規范提出的非公開WHOIS信息訪問請求通常不會被通過。很多注冊機構明顯不愿意收集太多注冊者信息,以防違反了GDPR。
網絡釣魚向縱深發展
網絡釣魚依然是公司企業和消費者安全的主要威脅,是身份盜竊、勒索軟件和其他惡意軟件下載的關鍵一步,與2017年93%的企業數據泄露事件相關。
如果GDPR無可避免地給黑帽子壯了膽,那么監管者需找出折衷方案允許特定組織經審查后訪問WHOIS。他們至少可以將受限個人數據替換為散列值,這樣一來,司法人員、監管人員和調查人員就可以辨別所有權模式了。
生效6個多月以來,GDPR已被證明對網絡釣魚者越來越有利。網絡罪犯總在尋找利用最新新聞趨勢的方法,慫恿收件人點擊網絡釣魚或其他惡意鏈接。事實上,GDPR為網絡釣魚者提供了絕佳機會:他們可以分享可能來自“公司”的詐騙電子郵件,要求客戶更新他們的憑證。
詐騙者可能繼續將GDPR用作偽裝,誘使毫無戒心的用戶共享出敏感財務信息或個人信息。網絡釣魚攻擊會敦促用戶更新自己的偏好,稱若不更新,他們的賬戶將可能面臨被凍結或刪除的風險。在GDPR生效那段時間,此類欺詐郵件泛濫收件箱,而合法公司企業同時也在發送自身的市場營銷郵件。因此,提升GDPR意識的任何立法新進展都有可能觸發一輪新的詐騙攻擊。
沉默半年?
ICANN臨時規范將持續12個月,替代規范正在制定中。但是,行業組織對能協調監管者、注冊機構、公司企業和司法機構代表等各方利益的解決方案仍抱悲觀態度。
GDPR生效以來,我們幾乎沒有聽到消費者關于數據合規的任何意見。除了公司企業寧愿支付網絡罪犯也不愿面對GDPR罰金的離奇故事,后GDPR時代的情況與生效前議論紛紛的狀況大相徑庭。希望這種沉默是因為監管控制而不是因為他們例行公事地勾掉合規事項而進行下一項事務了吧。
合規是個持續的過程,公司企業需一直調整適應。2019年還有其他監管規定需要實現,包括歐盟的《電子隱私條例》(ePR)。ePR保護涉電子通信的數據及設備的機密性,其司法轄區與GDPR相同,連不合規的懲罰機制都如出一轍。
新年來臨之際,隨著數據泄露繼續幾乎每周都登頭條,可以預期監管機構將很快拿一家不合規的大企業殺雞儆猴,處以4%全球年營業額的最高GDPR罰款。無論如何,GDPR時時提醒著公司企業保持警惕,隨時根據要求調整自己的合規過程。