数据泄露简要指南 (GDPR应对版)

将围绕数据泄露定义的争论描述为 “白热化” 未免太过夸张，毕竟我们尚未看到尸体从窗口飞出般的戏剧化情节。但随着《通用数据保护条例》(GDPR) 及其对数据不当处理施以重罚时代的到来，怎么定义数据泄露就是事关切实财务影响的严肃问题了。

很多厂商表示，媒体和标题党只会帮倒忙。但凡事件涉及数据且听起来像个可博眼球的新闻，大部分媒体就会给安上个 “数据泄露” 的关键词。所以，在吐槽《条例》缔造者居心不良之前，不妨冷静地回顾下GDPR决议对这么个模糊不清的主题设置诸多规定的思考过程。

到底是不是数据泄露?

如果生活就是墨守成规那么简单，那这篇文章就没必要写也没必要读了。但生活并不简单，理清定义还是有必要的。虽然大多数网络安全组织都倾向于认为数据泄露涉及未授权删除或查阅数据的行为，但并没有一个全知全能的 “数据泄露警署” 来推行这一定义。

前文提及的GDPR是与 “数据泄露警署” 最为接近的事物了，因为它拥有对违反其数据保护条例的人征收巨额罚金的权力。由于该新规定背后的当权者正在挥舞大棒杀鸡儆猴，我们不妨来分析一下他们是怎么定义个人数据泄露的。

GDPR进一步阐明：数据泄露是一类安全事件，但不是所有的安全事件都是数据泄露。这里存在三条决定性的信息安全基本原则，其中任何一条或多条都能构成数据泄露。

违反机密性 ——未授权或意外披露个人数据。

违反可用性 ——未授权或意外丧失对个人数据的访问权或造成对个人数据的破坏。

违反完整性——对个人数据的未授权或意外变更。

情况复杂多变。可仔细审查上述原则背景下的一些具体实例。

勒索软件攻击

认为勒索软件不是什么大事儿的想法简直大错特错。这种恼人的恶意软件在黑客圈中越来越流行，可对大大小小的公司企业造成数十亿美元的损失。

勒索软件通常是终端用户点击了网络钓鱼邮件中看似合法的恶意链接而植入系统的，会加密受害者的文件，要求受害者支付赎金以换取解密密钥。

这算是数据泄露吗?虽然系统中不受欢迎的勒索软件入侵本身只能被看作是安全事件，但GDPR告诉我们：具体事件的细节最重要——个人数据被访问的瞬间，就适用不一样的原则了。尽管数据访问权的遗失可能只是暂时的，并不能运用可用性原则 (假设你可以从备份计划中恢复出数据)，但根据具体情况，机密性原则中的 “未授权访问” 部分却有可能再次适用。

对所有此类事件，我们必须仔细审阅定义的精确措辞。员工点击网络钓鱼电子邮件链接释放出勒索软件算不算违反机密性原则?这可能属于 “意外访问” 条款的管辖范围，但也有可能不是。

开放S3存储桶之殇

亚马逊的云存储服务近些年让这家公司更加声名大噪。但问题是，错误配置的安全设置引发了数据泄露事件的盛行——拜未受保护的开放存储桶所赐。或者，这些事件仅仅是安全事件?

运用GDPR的三条安全原则一审便知。

偶然撞上一个开放S3存储桶某种程度上相当于随机访问一个网站，而该站点拥有者毫无安全措施地将网站暴露在公网上时并未预期会有人访问这个网站。很明显，近期的S3数据泄露中，比如威瑞森、LocalBlox和GoDaddy遭遇的那些，并没有哪家苦主想要暴露这数百万条个人数据集。

但如果是安全研究人员偶然遇到了开放存储桶，顺手查看一番的情况呢?他们会被就地归类为正在制造数据泄露事件的黑客吗?让我们回到机密性原则上来。必须承认，因为该存储桶就这么敞开在网上，这位友好的邻家研究员的确有权查看。若以该原则认定此类行为有罪，那只要看过不属于自己的东西难道就是罪犯吗?别人家没关窗帘被你看到室内陈设也算犯罪吗?

至于意外披露或访问的情况，那就跟机密性原则有关了。按常理推测，GoDaddy是不会想要自己的商业秘密和基础设施信息暴露在公网上的，于是，意外披露的情况存在。技术专家将S3存储桶问题的涌现归罪于糟糕的产品设计，称普通人太难搞懂并应用正确的安全设置了。