GDPR给安全带来的七大不利影响

微不足道的善意之举都有可能引发始料未及的巨大负面影响。而当这些举动对全世界的个人和公司企业都有影响的时候，这种未预料到的负面效果，有可能是灾难性的。有些专家就很担心，在新的隐私监管规定，尤其是欧盟的《通用数据保护条例》(GDPR)汹涌而来的时代，安全团队履行自己职责的能力会不会受到影响。

某些情况下，GDPR和《加州消费者隐私法案》(CCPA) 等法律，反而让安全团队束手束脚，让本应受到保护的个人信息被黑客轻易偷走。这些监管法案往往缺乏具体实施细节，出于对潜在惩罚的恐惧与不确定，公司企业就会采取一些妨碍安全团队的保守做法。

违反GDPR的代价过于巨大，因而你不得不为那些预料不到的后果考虑，而且因为无法使用Whois数据，无形中也扩大了威胁界面。因为GDPR的存在，可供黑客入侵的威胁界面显著增长，不是增加了一点点，而是翻了个数量级。

隐私控制非常有必要，但也有安全团队因为出于隐私顾虑，无法访问所需数据而拖慢了对攻击的响应。而且讽刺的是，因为坏人也享有隐私权，在隐私法案的保护下便有了藏身之处和逃脱之道。

这很有可能导致未来再曝出几起史上最大隐私泄露案。

有些情况下，是公司企业对安全团队的事件响应方式反应过度了。比如说，GDPR第49条似乎就对履行自己职责的安全团队进行了豁免：

那么，GDPR及其他隐私监管规定都给安全团队带来了哪些非预期的困难呢?

1. 访问权要求给了黑客更多的个人数据

没有哪部隐私监管规定能阻止黑客接管个人账户。附上一点点上网费用，就可以获得接管账户所需的信息。然而，绝大部分隐私监管规定都赋予了消费者要求公司企业交出其所有个人可识别信息(PII)的权利。

如果要求这些信息的人真的是本人，那这种规定无疑很棒。问题在于，黑客可以获取到合法用户的足够信息来发起PII请求，获取到更多信息，实施更多侵害。

以往，黑客不过是从用户曾经买过东西的零售商那里弄到某个账户。现在的问题是每家零售商都购买或者收集用户各种各样的信息。一旦进入该账户，黑客就可以请求所有其他的信息，具备移动到其他账户的能力。黑客如今能从零售商那里要到的PII远比用户交给零售商的要多得多。

2. 消失的Whois数据令恶意域名得以存活

因怕违反GDPR规则中有关暴露私有数据的条款，很多互联网域名注册机构正在清除公开Whois数据库中的PII，但不仅仅是欧洲的域名，而是所有域名。这些数据对研究人员识别执行网络钓鱼、勒索软件及其他攻击的恶意域名至关重要。没错，黑客会用虚假PII注册域名;但就算是假数据，研究人员也可以顺藤摸瓜找出攻击者可能在用的其他恶意域名。

曾经，研究人员可以借助Whois数据和其他工具找出恶意网站的源头。明显虚假的Whois数据可以马上暴露出该网站是恶人建立的。仅有的真实信息是注册域名所用的邮箱和电话号码。

当然，黑客会使用一次性电话和某些免费电子邮件服务。但是研究人员很多情况下都能以自动化的方式立即识别出来。即便不知道黑客的真实身份，研究人员也有足够的信息可以查出该邮箱或电话还注册了哪些域名，至少可以将这些域名也标注为恶意。

惰性是人类本性，坏人也不例外，同一个电话号码注册1万个域名的案例也不是没有。每注册一个域名都用一个新的一次性电话是不现实的，时间、金钱、精力成本都不允许。黑客往往会用同一个电话搞定成千上万个恶意URL。于是，只要识别出某个注册邮箱或电话是黑客用来注册恶意域名的，那与该邮箱或电话号码相关的其他几千个域名都可以列入黑名单了。

即便不是真实数据，仅这一个恶意指标，就可以封住上千个可疑域名。而且有自动化工具的帮助，恶意域名封禁工作瞬间就能完成，用户可以享受到即时保护。但现在，Whois数据库用不了了，这种即时发现即时封堵的过程基本上也就没用了。