GDPR给安全带来的七大不利影响

大型企业可能会有成千上万台终端需要在短时间内部署新的防护工具。问题在于，欧洲的隐私监管规定下公司企业不能那么做，因为这些工具要收集终端状态信息，而这些信息中可能就会包含有PII。防护工具的任务就是阻止私有信息泄露，但得通过查看机器上的文件和服务才可以确保信息安全，而这其中就可能含有某些可以被推导出来的PII。

目前在欧洲，尤其是德国，公司企业需征求到工人委员会的批准才可以部署这些工具，而审批过程往往耗时30-90天之久。

如果围绕GDPR合规还有针对正在进行的调查的相关政策可以允许安全团队快速响应，或许情况会好一些。公司企业和政府机构都需要一定程度上的自由来执行某些必要的步骤以限制损失进一步扩大和恢复正常运转。

5. 严格保护PII的国家成为网络罪犯的避风港

不要以为自己的公司不在欧洲就可以无视上述风险。对PII保护的严格解释正成为网络罪犯暴行的避风港。

不妨从网络罪犯的角度考虑PII保护问题。命令与控制(C&C)服务器要设置在哪儿?网络犯罪操作的基础设施要放在哪个国家?PII保护的司法解释最严的德国无疑是个好地方。将网络犯罪行动中心放在德国，即便受害公司抓到了网络犯罪的踪迹也无法立即阻断罪犯。

这就好像劫匪抢银行，警察当场抓住劫匪在保险库里搬金砖，但他们只是走进保险库，礼貌地跟劫匪握手，说：“你好，很高兴见到你，但别告诉我你的姓名，我会在30-60天后再来逮捕你并了解你的相关信息。”面对这种求之不得的情况，劫匪会怎么做呢?他们当然是把银行洗劫一空，再从容地抹去所有犯罪痕迹扬长而去。

6. 网络罪犯利用GDPR罚款恐吓勒索公司企业

多名专家认为，黑客很有可能威胁称将公开自己的入侵让公司承受GDPR的巨额罚金。甚至都不用真的发生数据泄露，网络罪犯只要发现可以证明公司不合规的漏洞，就能以曝光为由勒索公司支付封口费。黑客可能会向公司指出，支付封口费比应付欧盟数据保护调查及其罚款与负面宣传要经济得多。

有勒索软件之类其他形式的勒索成功案例在前，靠GDPR勒索对网络罪犯而言很具有吸引力。公司企业应为此做好应对准备。

7. 阻碍内部人威胁调查

在员工计算机或移动设备上检测到可疑活动时，你得确定该活动是员工自主执行的还是第三方黑了员工账户或设备执行的。因为顾虑到GDPR，有些公司，尤其是欧洲的公司，让调查更加难以展开了。

内部人威胁调查需要获取员工的PII，通常都需要查看各种各样的东西：电子邮件账户、工卡刷卡记录等等。此类数据能即时反映出员工是否参与了网络安全事件。如今，这些数据全都属于公司未必有权调阅的PII范畴。

欧洲一家电信公司就发生过类似的案例。第三方安全供应商发现了内部人威胁的证据并向该电信公司出示了这些证据。但因为该公司工会采信GDPR的隐私保护条款，该公司无法进一步调查，即便这些数据就存储在公司的计算机上。

【本文是51CTO专栏作者“”李少鹏“”的原创文章，转载请通过安全牛（微信公众号id:gooann-sectv）获取授权】

戳这里，看该作者更多好文

【编辑推荐】

1. GDPR阻碍安全研究的五个方面
2. GDPR通用数据保护条例-要点总结
3. 信息安全人员转变为数据科学家的五个因素
4. GDPR合规审核需要遵循的4大关键步骤
5. PLC信息安全防护技术研究（上篇）

（编辑：威海站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!