GDPR 如何改變了網絡安全的競爭環境？

數據洩露仍然很常見 - 即使在執行通用數據保護條例 (GDPR) 之後也是如此。 企業仍然需要努力保護客戶的數據。 我們從過去 12 個月中學到了什麼？行業如何才能向前發展？

2018 年應該是數據隱私的轉折點。 就在一年前，歐盟引入了 GDPR，以更好地保護消費者的數據，並敦促品牌對數據隱私和保護承擔更多責任。

隨著企業急於合規，很明顯，對於低估 GDPR 所提出任務規模的數據所有者來說，這將是一個痛苦的過程。

一年過去了，大多數企業似乎對自己合規充滿信心——或者至少說他們是合規的。 然而，在過去的十二個月裡，一些世界上最知名的公司因為糟糕的數據做法和重大違規行為而受到抨擊——儘管對數據收集、存儲和保護進行了更嚴格的審查。

以美國問答網站 Quora 為例。 首席執行官 Adam D'Angelo 透露用戶數據已被第三方洩露，該第三方在 2018 年 11 月未經授權訪問了其係統之一。黑客從社交網絡中竊取了 1 億用戶的姓名、電子郵件、加密密碼和其他導入的數據. 這是一場巨大的聲譽危機，對客戶的信任產生了深遠的影響。

然而，Quora 去年並不是一個異常值。 這只是冰山一角，許多企業都遭受了大規模攻擊，包括 Facebook、Ticketmaster 和 Vision Direct——進一步損害了消費者對品牌的信任。

沒有企業希望經歷數據洩露或將其消費者的個人身份信息 (PII) 置於危險之中，但即使是現在，許多組織在防止數據洩露或 GDPR 侵權方面做得還不夠。 那麼，我們在去年學到了什麼，行業如何才能向前發展？

黑客加倍努力識別薄弱環節

儘管新法規對數據實踐有所啟發，並迫使企業採用新流程，但它並沒有阻止黑客。 僅在過去六個月中，我們就看到了更多的網絡犯罪。

Magecart 是最知名的團體之一，通過將信用卡瀏覽惡意軟件注入網站並竊取客戶的付款詳細信息（從 CVV 代碼到姓名和地址）來生成一個又一個標題。 但不要誤以為這些黑客只是針對大型電子商務玩家。 就在本月，該組織針對福布斯的訂閱網站，在他們的結賬頁面上註入了 Magecart JavaScript。

對於許多組織來說，網站攻擊的增加是一個令人擔憂的問題，而且威脅只會越來越複雜——黑客變得越來越聰明。 我們的新研究發現，近 90% 的高管要么擔心或非常擔心備受矚目的違規行為的增加。 評論員認為，這些網絡犯罪團伙正在開發人工智能解決方案，以大規模滲透企業的防禦。 他們的擔心是正確的，因為這肯定是我們可以期待在未來看到更多的事情。

許多黑客針對沒有基本安全措施的公司。 例如，保護可能意味著監督在企業網站上活躍的未經授權的第三方技術。 組織必須學習他們需要對其網站供應鏈有一個整體視圖的艱難方法，因為只有這樣他們才能了解潛在的漏洞所在。 企業的數據防禦最終只能與供應鏈中最薄弱的環節一樣強大。

為了安全起見，企業必須拆除他們建造的牆

由營銷團隊負責的網站和應用程序可能會給 IT 和安全團隊帶來盲點，因為他們的核心重點傳統上是服務器和基礎設施。 然而，消費者信任他們的數據是在這些營銷平台上。

由於所有權混亂和網站供應鏈缺乏可見性，許多公司在安全性方面都達不到要求。 這是 Ticketmaster 在去年的一次違規事件中發現的，黑客針對第三方供應商並在支付頁面上註入了惡意 JavaScript 代碼。 這就是這種威脅的共性，我們最近發現，79.5% 的高管認識到將第三方技術集成到網站會增加數據洩露的風險。

組織開始理解沒有這種總體觀點的嚴重影響，但還有更多工作要做。 提陞技能和創建混合團隊是確保這種整體安全觀成為可能的關鍵。

沒有網絡防禦，企業正在打一場必敗之戰

一年過去了，我們仍然在敲打同樣的鼓，但在網站安全方面，組織必須傾聽並採取行動。 企業降低違規風險的唯一方法是進行徹底的盡職調查並實施正確的預防措施——從選擇優秀的團隊到投資技術解決方案。

整個領域的威脅規模是一個清晰而明顯的跡象，表明公司不這樣做會帶來什麼風險。 AV-TEST Institute 報告稱，僅去年一年就創建了 8.56 億個惡意軟件變種，並且在未來幾個月內還會增加。

最終，網絡犯罪分子很快就會發現數字平台的不足之處，尤其是在企業沒有要求實施和持續更新嚴格的安全系統的情況下。

GDPR 暴露了許多公司甚至沒有意識到的問題 - 而其他歐盟法律，如第二支付服務指令 (PSD2) 可能會發現更多的啟示。 從長遠來看，這對數據所有者及其客戶來說都是一件好事。

公司是客戶數據的守門人，需要更廣泛地接受這一責任，以防止黑客攻擊並調整團隊以降低風險。 那些不這樣做的人將成為下一個數據洩露受害者，並面臨比巨額罰款更多的後果。