GDPR是网络犯罪的帮凶吗?

GDPR四周年之际,安全业界对GDPR在保护数据和遏制网络犯罪方面的功效发出了质疑,威胁情报专家安东尼吉尔伯托更是直言不讳,声称GDPR是“恶法”,是网络犯罪的通行证和好朋友。

关于GDPR,你的耳朵可能已经听出老茧,但如果你是企业数据丢失防护团队的一员,这个词会让你惊出一身冷汗。

自从GDPR出台以来,全球网络安全态势发生了很多变化,其中一个重大变化是勒索软件的兴起。

根据Cloudwards的统计,勒索软件在2021年给全球造成了200亿美元的损失。到2031年,这一数字预计将增至2650亿美元,具体影响如下:

  • 2021年,37%的企业和组织受到勒索软件的攻击。
  • 2021年,从勒索软件攻击中恢复的企业平均损失了185万美元。
  • 在所有勒索软件受害者中,32%的人支付了赎金,但他们只取回了65%的数据。
  • 只有57%的企业使用备份成功地恢复了数据。

可以看出,勒索软件攻击几乎已经无处不在,但是在欧盟、美国、日本等主要发达经济体中,只有美国“跻身”勒索软件攻击数量的TOP3,甚至没有一个欧洲国家进入前五名(下图)。

欧洲真的那么擅长防御勒索软件吗?还是更多企业选择隐瞒数据泄露事件,默默支付赎金,同时对外谴责美国等国家公开支付赎金?

根据Dragos最新的勒索软件报告,从2021年6月1日至12月1日,暗网数据泄露受害者中有26%的企业/机构总部在欧洲,其中德国(19家)和意大利(19家)并列第一,其后是法国、英国和西班牙(下图):

德国和意大利的38个勒索软件受害企业和机构中,有38家(占比68%)都是制造企业,这与德国和意大利的制造业企业数量成正比。

根据Dragos今年2月份发布的报告,在该公司发布的面向全球工控设备的1301个安全建议(涉及3286个漏洞)中,有216个建议(涉及483个漏洞)直接威胁到欧洲企业。

上述报告和数据表明,按照经济体量计算,欧洲企业面临的勒索软件威胁一点都不比全球其他地方少,但欧洲企业报告的勒索软件攻击事件却少得可怜。

欧美企业“抗勒索”能力的巨大“数据差异”,很可能与欧盟和美国的法规不同有关。根据美国法律,企业必须在发生数据泄露时披露事件。自2002年以来,美国数据泄露通知法规定,公司有10天的时间将数据泄露通知当局。

而欧洲国家的企业披露勒索软件攻击事件的话,将面临最高可达2000万欧元或全球年营业额4%的罚款(以较高者为准)。这导致很多企业认为支付勒索软件赎金是财务上更好的选择。

Darkreading对俄罗斯网络犯罪分子的采访佐证了这一点,在采访中,勒索软件组织成员表示:

“是的,美国是一个更容易的目标,但欧盟GDPR对攻击者有利,因为受害者更有可能快速、安静地支付费用,以避免受到GDPR规定的处罚。”

威胁情报专家安东尼指出,欧盟企业已经成为双重受害者,政府(GDPR)监管部门和犯罪集团都想拿走他们的钱。

显然,在对GDPR的事件披露处罚机制做出实质性更改以前,GDPR正在成为勒索软件的帮凶和同伙,同时也背离了保护数据隐私的初衷。

前一篇【网安新兴赛道厂商速查指南】发布,海云安被收录9大细分领域
后一篇Spring4Shell漏洞攻击进入爆发期