GDPR正式生效！合規(guī)就一定是安全的嗎？

　歐盟的數(shù)據(jù)保護(hù)新法 GDPR(General Data Protection Regulation，通用數(shù)據(jù)保護(hù)條例)于近日正式生效。雖然這項(xiàng)條例早在兩年前就已正式推出，而且提供了兩年的寬限期，但企業(yè)普遍行動(dòng)緩慢，大部分企業(yè)在最后一分鐘前才急急忙忙地開始大量發(fā)送郵件和信息征求用戶的明確同意書。這不禁讓我們思考這樣一個(gè)問(wèn)題： GDPR 合規(guī)真的能和安全劃等號(hào)嗎?

成都創(chuàng)新互聯(lián)是一家專業(yè)提供資溪企業(yè)網(wǎng)站建設(shè),專注與成都網(wǎng)站制作、做網(wǎng)站、H5技術(shù)、小程序制作等業(yè)務(wù)。10年已為資溪眾多企業(yè)、政府機(jī)構(gòu)等服務(wù)。創(chuàng)新互聯(lián)專業(yè)網(wǎng)站制作公司優(yōu)惠進(jìn)行中。

英國(guó)數(shù)據(jù)保護(hù)監(jiān)管機(jī)構(gòu)信息委員會(huì)辦公室 (ICO)就 表示，隨著 GDPR 的最后期限越來(lái)越近，網(wǎng)站遭遇“多次中斷”情況。

布魯塞爾堅(jiān)信 GDPR 將成為保護(hù)人們網(wǎng)絡(luò)信息安全的全球標(biāo)桿，尤其是繼 Facebook 數(shù)據(jù)收集丑聞之后。

歐盟 Justice Commissioner Vera Jourova 表示，新法將讓歐洲人重新控制自己的數(shù)據(jù)。如今的個(gè)人數(shù)據(jù)安全情況就像是飄蕩在水族館中的裸體。

違反 GDPR 的公司將面臨最高2000萬(wàn)歐元(折合2400萬(wàn)美元)或全球年?duì)I收4%的罰款。另一個(gè)可參考數(shù)據(jù)是歐盟的市場(chǎng)足足有5億人口。

　　須獲得用戶明確同意

GDPR 的關(guān)鍵規(guī)定是，個(gè)人必須明確給予使用數(shù)據(jù)的權(quán)限。它還規(guī)定了消費(fèi)者獲悉信息處理方以及信息用途的“知情權(quán)”。

人們能夠阻攔數(shù)據(jù)遭出于商業(yè)原因的處理，甚至按照“被遺忘權(quán)”要求刪除自己的數(shù)據(jù)。按照各國(guó)的不同規(guī)定，父母將為年齡不到13至16歲不等的少年做出處理數(shù)據(jù)的決定。

　　GDPR 是全球標(biāo)準(zhǔn)嗎?

大型平臺(tái)如 Facebook、WhatsApp 和 Twitter 似乎都準(zhǔn)備好迎接這些新規(guī)定，而小公司似乎很猶豫，他們向外界紛紛表達(dá)了自己的擔(dān)憂。

歐盟官方表示起初 GDPR 本來(lái)只針對(duì)大公司，因?yàn)榇蠊镜臉I(yè)務(wù)模式會(huì)將重要的個(gè)人信息用于廣告用途， GDPR 會(huì)給小企業(yè)預(yù)留更多的時(shí)間進(jìn)行適應(yīng)。很多美國(guó)人剛開始批評(píng)歐洲對(duì)全球經(jīng)濟(jì)新引擎制定的法規(guī)約束太快太早，而現(xiàn)在他們也看到了 GDPR 存在的必要性。美國(guó)的一名大學(xué)教授表示，至少在美國(guó)，企業(yè)已經(jīng)開始快速采用某些 GDPR 版本。歐盟還表示，日本、韓國(guó)、印度和泰國(guó)也在討論是否需要頒布類似的法律。

雖然 GDPR 合規(guī)是安全史上的一個(gè)里程碑，但值得提醒的是，合規(guī)并不等同于安全。GDPR 中包含的標(biāo)準(zhǔn)提升當(dāng)然能帶來(lái)好處，就像 PCI DSS、HIPAA 和其它法規(guī)機(jī)構(gòu)提出的安全標(biāo)準(zhǔn)那樣。但跳出安全或法規(guī)機(jī)構(gòu)這個(gè)圈子來(lái)看，實(shí)現(xiàn)和維護(hù)合規(guī)從來(lái)都不應(yīng)該是任何安全計(jì)劃的終極目標(biāo)。

　　合規(guī)并不能保證安全

需要銘記的是，近年來(lái)披露的很多數(shù)據(jù)泄露事件都發(fā)生在合規(guī)的公司中。這就意味著，例如，PCI 合規(guī)無(wú)法阻止大量零售商、金融服務(wù)機(jī)構(gòu)和網(wǎng)絡(luò)提供商免遭攻陷，就像2016年大量合規(guī)于 HIPAA 的組織機(jī)構(gòu)所遭受的醫(yī)保數(shù)據(jù)攻擊事件一樣。

　　合規(guī)標(biāo)準(zhǔn)并不全面

事實(shí)上，這種合規(guī)企業(yè)遭攻擊的趨勢(shì)強(qiáng)化了合規(guī)標(biāo)準(zhǔn)應(yīng)該如何被運(yùn)營(yíng)和看待的問(wèn)題：這些標(biāo)準(zhǔn)能夠讓人了解安全計(jì)劃的基石但并不充分。最有效的安全計(jì)劃認(rèn)為合規(guī)是綜合安全戰(zhàn)略中相對(duì)較小的組件。

雖然很多合規(guī)標(biāo)準(zhǔn)確實(shí)提供了有價(jià)值的指導(dǎo)，如在數(shù)據(jù)存儲(chǔ)、用戶隱私和事件披露領(lǐng)域，但它們并未解決更多更重要領(lǐng)域中的問(wèn)題。安全意識(shí)、業(yè)務(wù)持續(xù)性和滲透測(cè)試、員工教育以及技術(shù)和策略控制只是其中的幾個(gè)例子而已。這也是為什么說(shuō)當(dāng)評(píng)估第三方風(fēng)險(xiǎn)和對(duì)潛在廠商實(shí)施盡職調(diào)查時(shí)，有必要查看合規(guī)以外的東西的原因。確實(shí)，一個(gè)企業(yè)的安全態(tài)勢(shì)無(wú)法全部通過(guò)合規(guī)信息反映出來(lái)，后者只是反映了一小部分而已。

例如，并非所有的執(zhí)行數(shù)據(jù)存儲(chǔ)標(biāo)準(zhǔn)的合規(guī)機(jī)構(gòu)都強(qiáng)制執(zhí)行加密機(jī)制。HIPPAA 特別建議執(zhí)行加密，但并未要求對(duì)通過(guò)電子存儲(chǔ)的 PHI 進(jìn)行加密。不能僅憑某個(gè)電子醫(yī)療記錄系統(tǒng)的廠商合規(guī) HIPAA 就認(rèn)為它對(duì) PHI 信息進(jìn)行了加密。GDPR 的情況也一樣，雖然它極力鼓勵(lì)加密用戶數(shù)據(jù)并對(duì)未能有效保護(hù)用戶數(shù)據(jù)的企業(yè)進(jìn)行處罰，但它并未強(qiáng)制要求加密。這種趨勢(shì)和其它多個(gè)合規(guī)機(jī)構(gòu)提出的標(biāo)準(zhǔn)并無(wú)二致。

　　威脅比合規(guī)標(biāo)準(zhǔn)演進(jìn)得更快

對(duì)手，無(wú)論是找到新方法識(shí)別 0day 漏洞的對(duì)手還是繞過(guò)最新反欺詐控制機(jī)制的對(duì)手，都在不斷改變其戰(zhàn)術(shù)、技術(shù)和程序 (TTPs) 及最終威脅。這些快速改變就是為何走在對(duì)手前面要求采用動(dòng)態(tài)迭代的安全方法的原因。

然而，這種方法和合規(guī)標(biāo)準(zhǔn)的靜態(tài)的合規(guī)本質(zhì)及其以合規(guī)為中心的安全計(jì)劃之間存在巨大差異。HIPAA 自2003年頒布《安全規(guī)定》依賴并未修訂其安全要求，盡管大量數(shù)據(jù)泄露、勒索攻擊自此之后就攻擊醫(yī)療行業(yè)并攻陷了數(shù)百萬(wàn)個(gè)人的 PHI。盡管 PCI 標(biāo)準(zhǔn)的更新頻率更高，但遠(yuǎn)遠(yuǎn)無(wú)法和威脅局勢(shì)的演進(jìn)速度相比。例如，盡管實(shí)現(xiàn) EMV 芯片技術(shù)已經(jīng)幫助減少了支付卡欺詐現(xiàn)象，但其它多種類型的欺詐現(xiàn)象如禮品卡欺詐、身份盜取和稅務(wù)欺詐等數(shù)量已在不斷增多。

盡管合規(guī)標(biāo)準(zhǔn)應(yīng)當(dāng)?shù)荒苁歉鼜V泛安全戰(zhàn)略的一個(gè)組成部分，但實(shí)現(xiàn)并維護(hù)合規(guī)性仍然是增加負(fù)擔(dān)且消耗密集資源的進(jìn)程。對(duì)于很多組織機(jī)構(gòu)而言，嚴(yán)格的最后期限、復(fù)雜的實(shí)現(xiàn)以及高昂的非合規(guī)出發(fā)等因素讓他們認(rèn)為采用以合規(guī)為中心的安全方法看似是合理而正確的決策。但值得記住的是，雖然很多合規(guī)標(biāo)準(zhǔn)確實(shí)提供了清晰可見(jiàn)的巨大安全好處，但它們還沒(méi)有全面或靈活到能作為有效安全計(jì)劃的唯一焦點(diǎn)的地步。

標(biāo)題名稱：GDPR正式生效！合規(guī)就一定是安全的嗎？
文章地址：http://muchs.cn/article6/pppeig.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián)，為您提供靜態(tài)網(wǎng)站、品牌網(wǎng)站建設(shè)、關(guān)鍵詞優(yōu)化、企業(yè)建站、網(wǎng)站設(shè)計(jì)公司、網(wǎng)站改版

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請(qǐng)盡快告知，我們將會(huì)在第一時(shí)間刪除。文章觀點(diǎn)不代表本網(wǎng)站立場(chǎng)，如需處理請(qǐng)聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時(shí)需注明來(lái)源： 創(chuàng)新互聯(lián)