GDPR正式生效！合規就一定是安全的嗎？

　　歐盟的數據保護新法 GDPR(General Data Protection Regulation，通用數據保護條例)于近日正式生效。雖然這項條例早在兩年前就已正式推出，而且提供了兩年的寬限期，但企業普遍行動緩慢，大部分企業在最后一分鐘前才急急忙忙地開始大量發送郵件和信息征求用戶的明確同意書。這不禁讓我們思考這樣一個問題： GDPR 合規真的能和安全劃等號嗎?

　　英國數據保護監管機構信息委員會辦公室 (ICO)就 表示，隨著 GDPR 的最后期限越來越近，網站遭遇“多次中斷”情況。

　　布魯塞爾堅信 GDPR 將成為保護人們網絡信息安全的全球標桿，尤其是繼 Facebook 數據收集丑聞之后。

　　歐盟 Justice Commissioner Vera Jourova 表示，新法將讓歐洲人重新控制自己的數據。如今的個人數據安全情況就像是飄蕩在水族館中的裸體。

　　違反 GDPR 的公司將面臨最高2000萬歐元(折合2400萬美元)或全球年營收4%的罰款。另一個可參考數據是歐盟的市場足足有5億人口。

　　須獲得用戶明確同意

　　GDPR 的關鍵規定是，個人必須明確給予使用數據的權限。它還規定了消費者獲悉信息處理方以及信息用途的“知情權”。

　　人們能夠阻攔數據遭出于商業原因的處理，甚至按照“被遺忘權”要求刪除自己的數據。按照各國的不同規定，父母將為年齡不到13至16歲不等的少年做出處理數據的決定。

　　GDPR 是全球標準嗎?

　　大型平臺如 Facebook、WhatsApp 和 Twitter 似乎都準備好迎接這些新規定，而小公司似乎很猶豫，他們向外界紛紛表達了自己的擔憂。

　　歐盟官方表示起初 GDPR 本來只針對大公司，因為大公司的業務模式會將重要的個人信息用于廣告用途， GDPR 會給小企業預留更多的時間進行適應。很多美國人剛開始批評歐洲對全球經濟新引擎制定的法規約束太快太早，而現在他們也看到了 GDPR 存在的必要性。美國的一名大學教授表示，至少在美國，企業已經開始快速采用某些 GDPR 版本。歐盟還表示，日本、韓國、印度和泰國也在討論是否需要頒布類似的法律。

　　雖然 GDPR 合規是安全史上的一個里程碑，但值得提醒的是，合規并不等同于安全。GDPR 中包含的標準提升當然能帶來好處，就像 PCI DSS、HIPAA 和其它法規機構提出的安全標準那樣。但跳出安全或法規機構這個圈子來看，實現和維護合規從來都不應該是任何安全計劃的終極目標。

　　合規并不能保證安全

　　需要銘記的是，近年來披露的很多數據泄露事件都發生在合規的公司中。這就意味著，例如，PCI 合規無法阻止大量零售商、金融服務機構和網絡提供商免遭攻陷，就像2016年大量合規于 HIPAA 的組織機構所遭受的醫保數據攻擊事件一樣。

　　合規標準并不全面

　　事實上，這種合規企業遭攻擊的趨勢強化了合規標準應該如何被運營和看待的問題：這些標準能夠讓人了解安全計劃的基石但并不充分。最有效的安全計劃認為合規是綜合安全戰略中相對較小的組件。

　　雖然很多合規標準確實提供了有價值的指導，如在數據存儲、用戶隱私和事件披露領域，但它們并未解決更多更重要領域中的問題。安全意識、業務持續性和滲透測試、員工教育以及技術和策略控制只是其中的幾個例子而已。這也是為什么說當評估第三方風險和對潛在廠商實施盡職調查時，有必要查看合規以外的東西的原因。確實，一個企業的安全態勢無法全部通過合規信息反映出來，后者只是反映了一小部分而已。

　　例如，并非所有的執行數據存儲標準的合規機構都強制執行加密機制。HIPPAA 特別建議執行加密，但并未要求對通過電子存儲的 PHI 進行加密。不能僅憑某個電子醫療記錄系統的廠商合規 HIPAA 就認為它對 PHI 信息進行了加密。GDPR 的情況也一樣，雖然它極力鼓勵加密用戶數據并對未能有效保護用戶數據的企業進行處罰，但它并未強制要求加密。這種趨勢和其它多個合規機構提出的標準并無二致。

　　威脅比合規標準演進得更快

　　對手，無論是找到新方法識別 0day 漏洞的對手還是繞過最新反欺詐控制機制的對手，都在不斷改變其戰術、技術和程序 (TTPs) 及最終威脅。這些快速改變就是為何走在對手前面要求采用動態迭代的安全方法的原因。

　　然而，這種方法和合規標準的靜態的合規本質及其以合規為中心的安全計劃之間存在巨大差異。HIPAA 自2003年頒布《安全規定》依賴并未修訂其安全要求，盡管大量數據泄露、勒索攻擊自此之后就攻擊醫療行業并攻陷了數百萬個人的 PHI。盡管 PCI 標準的更新頻率更高，但遠遠無法和威脅局勢的演進速度相比。例如，盡管實現 EMV 芯片技術已經幫助減少了支付卡欺詐現象，但其它多種類型的欺詐現象如禮品卡欺詐、身份盜取和稅務欺詐等數量已在不斷增多。

　　盡管合規標準應當但只能是更廣泛安全戰略的一個組成部分，但實現并維護合規性仍然是增加負擔且消耗密集資源的進程。對于很多組織機構而言，嚴格的最后期限、復雜的實現以及高昂的非合規出發等因素讓他們認為采用以合規為中心的安全方法看似是合理而正確的決策。但值得記住的是，雖然很多合規標準確實提供了清晰可見的巨大安全好處，但它們還沒有全面或靈活到能作為有效安全計劃的唯一焦點的地步。