热点安全

Hot Security

尾随中国《网络安全法》而来的欧盟《通用数据保护法》

昨日,我国首部《网络安全法》正式生效!
而在地球彼岸的欧洲,另一部关于数据安全的法律也即将问世。
——欧盟《通用数据保护法》,将在从现在起一年的时间内生效,但仍然非常多公司尚未准备好。


这感觉像千禧虫危机再次袭来一样。距离GDPR生效所带来的冲击影响剩不到一年的时间,没有人会确定发生什么事,每个人都采取不同的缓解方法。

 

关于通用数据保护法

先将目光从 WannaCry 移开,思考一下,信息安全事件特别严重的是否只有这一起?这次的事件是否影响深远?系统的漏洞是否是最危险的?事实上,信息安全事件分分秒秒都在发生,较 WannaCry 更严重的事件,如 APT 偷偷攻击某些国家的关键基础设施;较 WannaCry 影响更深远的事件,如专门攻击 IoT 的恶意程式Mirai 原始码被公开;而利用漏洞的攻击多半都有特效药,只要能正确的更新安全性修正,问题都能瞬间被控制住或弥平。但透过电子邮件发动的攻击,直捣受害者的「认知漏洞」则没有特效药,仍然持续流行,且防不胜防。

2016年4月,欧盟推出了《通用数据保护法》General Data Protection Regulation(GDPR),并于2018年5月25日生效。

GDPR旨在“在欧盟各国建立更一致的消费者和个人数据保护”。用一个简单的总结说法,就是与欧盟公民有业务往来的公司必须知道欧盟公民的重要数据在哪里,确保妥善处理,应要求删除数据,并在数据外泄时实时通知公民。单独以自身的角度来看,这似乎是一个明显的期望,但是在一个信息公司,有一种人与系统之间的散播方式,而且要实际完全掌控它是非常困难的。

Varonis销售工程师总监Matt Lock评论道:

“最令人担心的是, 四分之一的企业组织无法控制到他们的敏感数据到底在哪?这些公司在一年的时间里,可能会有一个讨厌的扰人清梦的电话。

如果他们不能洞察这些敏感数据到底在企业内部的哪里,和谁可以访问的话,那么根据规定,将无法跨入GDPR的基础门坎,他们将自己牢牢地置于罚款排队的队伍中。”

任何发现违反规定的公司面临罚款和罚金,最高达全球年收入的4%。这个惩罚是为了让公司注意并确保努力遵循。但并不是每个人都认真对待,至少不是每个人都开始这么做。

 

75% IT受访者面临严峻挑战

WannaCry事件,除了因为是蠕虫式的扩散、造成短时间大范围的感染外,更重要的是直接影响了终端用户会接触到的电脑相关设备,所以才会这么有感。也因为这起事件,激起了一般民众对于信息安全的重视。

最近对Varonis进行的一项调查显示,公司高管和负责确保遵守责任的人员之间存在差距。在接受调查的500位IT决策者中,75%的受访者在截止日期前面临着『符合欧盟GDPR』的严峻挑战。不意外,当您获知42%的公司高级主管时,并没有认知期限为优先事项时,这种差距来自哪里?

调查包括来自英国、德国、法国、美国的公司。这些公司无疑地根据其地理位置和经营行业与监管机构有不同的经验。一些监管机构往往在寻求解决方案方面进行合作,而其他监管机构倾向于采取惩罚性活动。我们还不知道欧盟监管机构如何对GDPR罚款应用。92%的受访者预计,特定行业『在出现违规事件时将被列为案例』,52%的英国受访者预计是银行业务,而法国和德国绝大多数受访者预测科技业与电讯业将会成为案例。

无论谁是第一个,给到企业高管的第一个处罚规模信号,将是他们应该致力于遵守,如同所有的商业决策一样,这是最大限度提高盈利能力的成本之一。

 

GDPR将增加IT团队的复杂性

企业平时即应重视数据安全管理规范与制度的落实,任何涉及公司数字财产的电脑文档、数据备份作业,均应依循公司指定方式实施(非备份至个人私有储存设备),才可避免因任何突发信息安全事件的应变,反而导致企业重要资料外洩。

56%的英国受访者认为,GDPR将增加IT团队的复杂性,并导致客户价格上涨,其中22%看不到其业务的好处。使用这些数字,将难以获得执行支持法规工作。然而,35%的被调查公司认为GDPR符合性将是有益的,更好地保护个人信息是最大的进步。虽然GDPR仅处理个人信息,但这项工作将有助于公司了解更好地管理数据所需的工作,有些可能会看到意想不到的好处。

截至2000年1月1日为止,有很多类似的故事,涉及的公司采取不同的方式进行千禧虫危机的问题修复。有些人已经有很多昂贵的项目运作了很多年,其他的则是在1999年年底,而有些则专注于应变规划,希望能达到最好。

GDPR的要求是有据可查的,但处罚的可能性和规模仍然是未知数。不同的公司根据行业、地理与个人风险忍受度采取不同的方法。唯一确定的是,每个人都在看着2018年欧盟第一个大型的消费者数据泄露外泄,希望不会发生在他们身上,观望ing~

登入

登入成功