GDPR 如何改变了网络安全的竞争环境？

数据泄露仍然很常见 - 即使在执行通用数据保护条例 (GDPR) 之后也是如此。 企业仍然需要努力保护客户的数据。 我们从过去 12 个月中学到了什么？行业如何才能向前发展？

2018 年应该是数据隐私的转折点。 就在一年多前，欧盟推出了 GDPR，以更好地保护消费者的数据，并敦促品牌对数据隐私和保护承担更多责任。

随着企业争相合规，很明显，对于低估 GDPR 所提出任务规模的数据所有者来说，这将是一个痛苦的过程。

一年过去了，大多数企业似乎对自己合规充满信心——或者至少说他们是合规的。 然而，在过去的 12 个月里，一些世界上最知名的公司因糟糕的数据实践和重大违规行为而受到抨击——尽管对数据收集、存储和保护进行了更严格的审查。

以美国问答网站 Quora 为例。 首席执行官 Adam D'Angelo 透露用户数据已被第三方泄露，该第三方在 2018 年 11 月未经授权访问了其系统之一。黑客从社交网络中窃取了 1 亿用户的姓名、电子邮件、加密密码和其他导入的数据. 这是一场巨大的声誉危机，对客户的信任产生了深远的影响。

然而，Quora 去年并不是一个异常值。 这只是冰山一角，许多企业都遭受了大规模攻击，包括 Facebook、Ticketmaster 和 Vision Direct——进一步损害了消费者对品牌的信任。

没有企业希望经历数据泄露或将其消费者的个人身份信息 (PII) 置于危险之中，但即使是现在，许多组织在防止数据泄露或 GDPR 侵权方面做得还不够。 那么，我们在去年学到了什么，行业如何才能向前发展？

黑客加倍努力识别薄弱环节

尽管新法规对数据实践有所启发，并迫使企业采用新流程，但它并没有阻止黑客。 仅在过去六个月中，我们就看到了更多的网络犯罪。

Magecart 是最知名的团体之一，通过将信用卡浏览恶意软件注入网站并窃取客户的付款详细信息（从 CVV 代码到姓名和地址）来生成一个又一个标题。 但不要误以为这些黑客只是针对大型电子商务玩家。 就在本月，该组织针对福布斯的订阅网站，在他们的结账页面上注入了 Magecart JavaScript。

对于许多组织来说，网站攻击的增加是一个令人担忧的问题，而且威胁只会越来越复杂——黑客变得越来越聪明。 我们的新研究发现，近 90% 的高管要么担心或非常担心备受瞩目的违规行为的增加。 评论员认为，这些网络犯罪团伙正在开发人工智能解决方案，以大规模渗透企业的防御。 他们的担心是正确的，因为这肯定是我们可以期待在未来看到更多的事情。

许多黑客针对没有基本安全措施的公司。 例如，保护可能意味着监督在企业网站上活跃的未经授权的第三方技术。 组织必须学习他们需要对其网站供应链有一个整体视图的艰难方法，因为只有这样他们才能了解潜在的漏洞所在。 企业的数据防御最终只能与供应链中最薄弱的环节一样强大。

为了安全起见，企业必须拆除他们建造的墙

由营销团队负责的网站和应用程序可能会给 IT 和安全团队带来盲点，因为他们的核心重点传统上是服务器和基础设施。 然而，消费者信任他们的数据是在这些营销平台上。

由于所有权混乱和网站供应链缺乏可见性，许多公司在安全性方面都达不到要求。 这是 Ticketmaster 在去年的一次违规事件中发现的，黑客针对第三方供应商并在支付页面上注入了恶意 JavaScript 代码。 这就是这种威胁的共性，我们最近发现，79.5% 的高管认识到将第三方技术集成到网站会增加数据泄露的风险。

组织开始理解没有这种总体观点的严重影响，但还有更多工作要做。 提升技能和创建混合团队是确保这种整体安全观成为可能的关键。

没有网络防御，企业正在打一场必败之战

一年过去了，我们仍然在敲打同样的鼓，但在网站安全方面，组织必须倾听并采取行动。 企业降低违规风险的唯一方法是进行彻底的尽职调查并实施正确的预防措施——从选择优秀的团队到投资技术解决方案。

整个领域的威胁规模是一个清晰而明显的迹象，表明公司不这样做会带来什么风险。 AV-TEST Institute 报告称，仅去年一年就创建了 8.56 亿个恶意软件变种，并且在未来几个月内还会增加。

最终，网络犯罪分子很快就会发现数字平台的不足之处，尤其是在企业没有要求实施和持续更新严格的安全系统的情况下。

GDPR 暴露了许多公司甚至没有意识到的问题 - 而其他欧盟法律，如第二支付服务指令 (PSD2) 可能会发现更多的启示。 从长远来看，这对数据所有者及其客户来说都是一件好事。

公司是客户数据的守门人，需要更广泛地接受这一责任，以防止黑客攻击并调整团队以降低风险。 那些不这样做的人将成为下一个数据泄露受害者，并面临比巨额罚款更多的后果。