微不足道的善意之舉都有可能引發始料未及的巨大負面影響。而當這些舉動對全世界的個人和公司企業都有影響的時候，這種未預料到的負面效果，有可能是災難性的。有些專家就很擔心，在新的隱私監管規定，尤其是歐盟的《通用數據保護條例》(GDPR)洶涌而來的時代，安全團隊履行自己職責的能力會不會受到影響。

[[249113]]

某些情況下，GDPR和《加州消費者隱私法案》(CCPA) 等法律，反而讓安全團隊束手束腳，讓本應受到保護的個人信息被黑客輕易偷走。這些監管法案往往缺乏具體實施細節，出于對潛在懲罰的恐懼與不確定，公司企業就會采取一些妨礙安全團隊的保守做法。

違反GDPR的代價過于巨大，因而你不得不為那些預料不到的后果考慮，而且因為無法使用Whois數據，無形中也擴大了威脅界面。因為GDPR的存在，可供黑客入侵的威脅界面顯著增長，不是增加了一點點，而是翻了個數量級。

隱私控制非常有必要，但也有安全團隊因為出于隱私顧慮，無法訪問所需數據而拖慢了對攻擊的響應。而且諷刺的是，因為壞人也享有隱私權，在隱私法案的保護下便有了藏身之處和逃脫之道。

這很有可能導致未來再曝出幾起史上最大隱私泄露案。

有些情況下，是公司企業對安全團隊的事件響應方式反應過度了。比如說，GDPR第49條似乎就對履行自己職責的安全團隊進行了豁免：

那么，GDPR及其他隱私監管規定都給安全團隊帶來了哪些非預期的困難呢?

1. 訪問權要求給了黑客更多的個人數據

沒有哪部隱私監管規定能阻止黑客接管個人賬戶。附上一點點上網費用，就可以獲得接管賬戶所需的信息。然而，絕大部分隱私監管規定都賦予了消費者要求公司企業交出其所有個人可識別信息(PII)的權利。

如果要求這些信息的人真的是本人，那這種規定無疑很棒。問題在于，黑客可以獲取到合法用戶的足夠信息來發起PII請求，獲取到更多信息，實施更多侵害。

以往，黑客不過是從用戶曾經買過東西的零售商那里弄到某個賬戶。現在的問題是每家零售商都購買或者收集用戶各種各樣的信息。一旦進入該賬戶，黑客就可以請求所有其他的信息，具備移動到其他賬戶的能力。黑客如今能從零售商那里要到的PII遠比用戶交給零售商的要多得多。

2. 消失的Whois數據令惡意域名得以存活

因怕違反GDPR規則中有關暴露私有數據的條款，很多互聯網域名注冊機構正在清除公開Whois數據庫中的PII，但不僅僅是歐洲的域名，而是所有域名。這些數據對研究人員識別執行網絡釣魚、勒索軟件及其他攻擊的惡意域名至關重要。沒錯，黑客會用虛假PII注冊域名;但就算是假數據，研究人員也可以順藤摸瓜找出攻擊者可能在用的其他惡意域名。

曾經，研究人員可以借助Whois數據和其他工具找出惡意網站的源頭。明顯虛假的Whois數據可以馬上暴露出該網站是惡人建立的。僅有的真實信息是注冊域名所用的郵箱和電話號碼。

當然，黑客會使用一次性電話和某些免費電子郵件服務。但是研究人員很多情況下都能以自動化的方式立即識別出來。即便不知道黑客的真實身份，研究人員也有足夠的信息可以查出該郵箱或電話還注冊了哪些域名，至少可以將這些域名也標注為惡意。

惰性是人類本性，壞人也不例外，同一個電話號碼注冊1萬個域名的案例也不是沒有。每注冊一個域名都用一個新的一次性電話是不現實的，時間、金錢、精力成本都不允許。黑客往往會用同一個電話搞定成千上萬個惡意URL。于是，只要識別出某個注冊郵箱或電話是黑客用來注冊惡意域名的，那與該郵箱或電話號碼相關的其他幾千個域名都可以列入黑名單了。

即便不是真實數據，僅這一個惡意指標，就可以封住上千個可疑域名。而且有自動化工具的幫助，惡意域名封禁工作瞬間就能完成，用戶可以享受到即時保護。但現在，Whois數據庫用不了了，這種即時發現即時封堵的過程基本上也就沒用了。

GDPR讓域名注冊機構處在了遵從互聯網名稱與地址分配機構(ICANN)的域名注冊規則和最小化歐盟委員會罰款風險的兩難選擇中。ICANN自然無權處罰沒用遵從其規則的注冊機構，所以現在Whois數據庫基本上算是下線了。如今，研究人員再也看不到與惡意域名關聯的電話號碼和郵箱地址，看不到注冊人的姓名，除了已經識別出來的那一個域名，這同一個黑客所注冊的其他成千上萬個惡意域名都無法封禁。僅此一項，就有可能導致史上最大型隱私泄露案的發生，與GDPR保護個人隱私的初衷相去甚遠。

歐盟和ICANN其實可以就Whois數據達成某種可操作的解決方案。歐洲高高在上的監管者們得坐下來與ICANN協商。但我們估計還得再等上幾個月，等他們真正認識到問題的嚴重性，才有可能看到雙方開始磋商。

3. 增加安全團隊工作量

隱私監管規定不僅加重了安全團隊肩上的責任，也使他們的工作更加難以完成。安全與IT團隊如今是最后一道安全防線，負責保證符合數據最小化、用途限制、處理安全和全程隱私等要求。

企業的安全與IT團隊往往長時間工作，疲憊不堪。GDPR出臺后，內部安全團隊的責任越來越多，把人搞得疲憊不堪，十分焦慮。而被迫面對過多的責任和需遵從的各種“指南”，安全團隊也無法恰當處理手頭的工作了。

過于詳細復雜的數據保護影響評估(DPIA)表，就是安全與IT團隊陷入非必要額外工作的明證——這些表格要求的信息量之大已經遠遠超出了監管者的預期。有公司甚至搞出了包含500多個問題的67頁DPIA模板，準備用于執行50多個DPIA。

完成這么一次DPIA所花費的時間顯然太多了，這不是監管者所期望的。公司企業需采用既完全符合GDPR要求與指南，又合理而可操作的流程和方法。

對處罰風險的擔心促成了安全團隊的這種壓力。同樣的情況在早前監管金融報告的《薩班斯-奧克斯利法案》(Sarbanes-OxleyAct)出臺時也發生過。與《薩班斯-奧克斯利法案》類似，不合規的代價過于巨大，而很多事情又是無法確定的，于是只有矯枉過正以追求風險最小化。但就像《薩班斯-奧克斯利法案》施行的過程一樣，一旦公司企業知道可以預期些什么，IT與安全團隊的壓力便會消退。隨著公司企業按照新的標準與監管規定調整自身操作，GDPR生效所帶來的巨大壓力也會漸漸被消化掉。

4. 拖慢事件響應

安全事件發生時，響應人員需快速確定問題，阻止傷害，封鎖攻擊者，并采取措施確保類似事件不會再度發生。但因為擔心違反GDPR，歐洲很多公司的事件響應過程都受到了阻礙。

舉個例子，遭遇黑客入侵的公司須盡快部署終端防護以清除攻擊者并防止攻擊再次發生。但部署動作得全面展開，盡快完成，否則攻擊者就會知道公司的打算，然后隱藏到無法檢測的其他地方。

大型企業可能會有成千上萬臺終端需要在短時間內部署新的防護工具。問題在于，歐洲的隱私監管規定下公司企業不能那么做，因為這些工具要收集終端狀態信息，而這些信息中可能就會包含有PII。防護工具的任務就是阻止私有信息泄露，但得通過查看機器上的文件和服務才可以確保信息安全，而這其中就可能含有某些可以被推導出來的PII。

目前在歐洲，尤其是德國，公司企業需征求到工人委員會的批準才可以部署這些工具，而審批過程往往耗時30-90天之久。

如果圍繞GDPR合規還有針對正在進行的調查的相關政策可以允許安全團隊快速響應，或許情況會好一些。公司企業和政府機構都需要一定程度上的自由來執行某些必要的步驟以限制損失進一步擴大和恢復正常運轉。

5. 嚴格保護PII的國家成為網絡罪犯的避風港

不要以為自己的公司不在歐洲就可以無視上述風險。對PII保護的嚴格解釋正成為網絡罪犯暴行的避風港。

不妨從網絡罪犯的角度考慮PII保護問題。命令與控制(C&C)服務器要設置在哪兒?網絡犯罪操作的基礎設施要放在哪個國家?PII保護的司法解釋最嚴的德國無疑是個好地方。將網絡犯罪行動中心放在德國，即便受害公司抓到了網絡犯罪的蹤跡也無法立即阻斷罪犯。

這就好像劫匪搶銀行，警察當場抓住劫匪在保險庫里搬金磚，但他們只是走進保險庫，禮貌地跟劫匪握手，說：“你好，很高興見到你，但別告訴我你的姓名，我會在30-60天后再來逮捕你并了解你的相關信息。”面對這種求之不得的情況，劫匪會怎么做呢?他們當然是把銀行洗劫一空，再從容地抹去所有犯罪痕跡揚長而去。

6. 網絡罪犯利用GDPR罰款恐嚇勒索公司企業

多名專家認為，黑客很有可能威脅稱將公開自己的入侵讓公司承受GDPR的巨額罰金。甚至都不用真的發生數據泄露，網絡罪犯只要發現可以證明公司不合規的漏洞，就能以曝光為由勒索公司支付封口費。黑客可能會向公司指出，支付封口費比應付歐盟數據保護調查及其罰款與負面宣傳要經濟得多。

有勒索軟件之類其他形式的勒索成功案例在前，靠GDPR勒索對網絡罪犯而言很具有吸引力。公司企業應為此做好應對準備。

7. 阻礙內部人威脅調查

在員工計算機或移動設備上檢測到可疑活動時，你得確定該活動是員工自主執行的還是第三方黑了員工賬戶或設備執行的。因為顧慮到GDPR，有些公司，尤其是歐洲的公司，讓調查更加難以展開了。

內部人威脅調查需要獲取員工的PII，通常都需要查看各種各樣的東西：電子郵件賬戶、工卡刷卡記錄等等。此類數據能即時反映出員工是否參與了網絡安全事件。如今，這些數據全都屬于公司未必有權調閱的PII范疇。

歐洲一家電信公司就發生過類似的案例。第三方安全供應商發現了內部人威脅的證據并向該電信公司出示了這些證據。但因為該公司工會采信GDPR的隱私保護條款，該公司無法進一步調查，即便這些數據就存儲在公司的計算機上。

【本文是51CTO專欄作者“”李少鵬“”的原創文章，轉載請通過安全牛（微信公眾號id:gooann-sectv）獲取授權】

戳這里，看該作者更多好文