上個(gè)月GDPR就半歲了。這項(xiàng)監(jiān)管規(guī)定承諾提升處理歐盟公民數(shù)據(jù)的所有跨國公司的透明度和問責(zé)力度。高額罰金的可能性迫使公司企業(yè)好好思考自身合規(guī)和調(diào)整適應(yīng)的方式。

[[253395]]

然而，也有人認(rèn)為，黑客能利用這項(xiàng)規(guī)定來謀取攻擊優(yōu)勢。圍繞GDPR準(zhǔn)備度的顧慮分散了我們對網(wǎng)絡(luò)安全和司法方面一些負(fù)面后果的注意力。

于是，在邁入2019年之際，我們應(yīng)反省該條例呈現(xiàn)的一些甚少討論過的問題。

WHOIS封鎖了白帽子?

WHOIS域名注冊人個(gè)人信息數(shù)據(jù)庫就是第一個(gè)問題。WHOIS是執(zhí)法人員、安全研究人員和IP持有者的重要工具，可以查找與欺詐或大范圍網(wǎng)絡(luò)攻擊活動(dòng)相關(guān)的GDPR漏洞利用。

濫用品牌IP作為滿載惡意軟件的網(wǎng)站或用于網(wǎng)絡(luò)釣魚的惡意假冒域名，可以通過WHOIS數(shù)據(jù)庫找出其背后的網(wǎng)絡(luò)罪犯。即便注冊人因?yàn)橹雷约核魉鶠榉欠ǘ褂昧思倜?，同樣的假名也往往用于注冊多個(gè)域名，對執(zhí)法人員一樣大有用處。

美國政府認(rèn)為，該數(shù)據(jù)應(yīng)仍能被警方和IP持有者訪問，互聯(lián)網(wǎng)監(jiān)管機(jī)構(gòu)ICANN也注意到了WHOIS在這些用例中的價(jià)值。

然而，反網(wǎng)絡(luò)釣魚工作組的一項(xiàng)新研究發(fā)現(xiàn)，ICANN在5月設(shè)立了對WHOIS數(shù)據(jù)的臨時(shí)規(guī)范以符合GDPR規(guī)定，而這項(xiàng)規(guī)范中斷了執(zhí)法人員的調(diào)查。

之前公開可用的WHOIS信息如今被涂抹掉了大半，且合法調(diào)查人員根據(jù)臨時(shí)規(guī)范提出的非公開WHOIS信息訪問請求通常不會(huì)被通過。很多注冊機(jī)構(gòu)明顯不愿意收集太多注冊者信息，以防違反了GDPR。

網(wǎng)絡(luò)釣魚向縱深發(fā)展

網(wǎng)絡(luò)釣魚依然是公司企業(yè)和消費(fèi)者安全的主要威脅，是身份盜竊、勒索軟件和其他惡意軟件下載的關(guān)鍵一步，與2017年93%的企業(yè)數(shù)據(jù)泄露事件相關(guān)。

如果GDPR無可避免地給黑帽子壯了膽，那么監(jiān)管者需找出折衷方案允許特定組織經(jīng)審查后訪問WHOIS。他們至少可以將受限個(gè)人數(shù)據(jù)替換為散列值，這樣一來，司法人員、監(jiān)管人員和調(diào)查人員就可以辨別所有權(quán)模式了。

生效6個(gè)多月以來，GDPR已被證明對網(wǎng)絡(luò)釣魚者越來越有利。網(wǎng)絡(luò)罪犯總在尋找利用最新新聞趨勢的方法，慫恿收件人點(diǎn)擊網(wǎng)絡(luò)釣魚或其他惡意鏈接。事實(shí)上，GDPR為網(wǎng)絡(luò)釣魚者提供了絕佳機(jī)會(huì)：他們可以分享可能來自“公司”的詐騙電子郵件，要求客戶更新他們的憑證。

詐騙者可能繼續(xù)將GDPR用作偽裝，誘使毫無戒心的用戶共享出敏感財(cái)務(wù)信息或個(gè)人信息。網(wǎng)絡(luò)釣魚攻擊會(huì)敦促用戶更新自己的偏好，稱若不更新，他們的賬戶將可能面臨被凍結(jié)或刪除的風(fēng)險(xiǎn)。在GDPR生效那段時(shí)間，此類欺詐郵件泛濫收件箱，而合法公司企業(yè)同時(shí)也在發(fā)送自身的市場營銷郵件。因此，提升GDPR意識(shí)的任何立法新進(jìn)展都有可能觸發(fā)一輪新的詐騙攻擊。

沉默半年?

ICANN臨時(shí)規(guī)范將持續(xù)12個(gè)月，替代規(guī)范正在制定中。但是，行業(yè)組織對能協(xié)調(diào)監(jiān)管者、注冊機(jī)構(gòu)、公司企業(yè)和司法機(jī)構(gòu)代表等各方利益的解決方案仍抱悲觀態(tài)度。

GDPR生效以來，我們幾乎沒有聽到消費(fèi)者關(guān)于數(shù)據(jù)合規(guī)的任何意見。除了公司企業(yè)寧愿支付網(wǎng)絡(luò)罪犯也不愿面對GDPR罰金的離奇故事，后GDPR時(shí)代的情況與生效前議論紛紛的狀況大相徑庭。希望這種沉默是因?yàn)楸O(jiān)管控制而不是因?yàn)樗麄兝泄碌毓吹艉弦?guī)事項(xiàng)而進(jìn)行下一項(xiàng)事務(wù)了吧。

合規(guī)是個(gè)持續(xù)的過程，公司企業(yè)需一直調(diào)整適應(yīng)。2019年還有其他監(jiān)管規(guī)定需要實(shí)現(xiàn)，包括歐盟的《電子隱私條例》(ePR)。ePR保護(hù)涉電子通信的數(shù)據(jù)及設(shè)備的機(jī)密性，其司法轄區(qū)與GDPR相同，連不合規(guī)的懲罰機(jī)制都如出一轍。

新年來臨之際，隨著數(shù)據(jù)泄露繼續(xù)幾乎每周都登頭條，可以預(yù)期監(jiān)管機(jī)構(gòu)將很快拿一家不合規(guī)的大企業(yè)殺雞儆猴，處以4%全球年?duì)I業(yè)額的最高GDPR罰款。無論如何，GDPR時(shí)時(shí)提醒著公司企業(yè)保持警惕，隨時(shí)根據(jù)要求調(diào)整自己的合規(guī)過程。

【本文是51CTO專欄作者“李少鵬”的原創(chuàng)文章，轉(zhuǎn)載請通過安全牛（微信公眾號id:gooann-sectv）獲取授權(quán)】

戳這里，看該作者更多好文