GDPR是網絡犯罪的幫兇嗎？

GDPR四周年之際，安全業界對GDPR在保護數據和遏制網絡犯罪方面的功效發出了質疑，威脅情報專家安東尼吉爾伯托更是直言不諱，聲稱GDPR是“惡法”，是網絡犯罪的通行證和好朋友。

關于GDPR，你的耳朵可能已經聽出老繭，但如果你是企業數據丟失防護團隊的一員，這個詞會讓你驚出一身冷汗。

自從GDPR出臺以來，全球網絡安全態勢發生了很多變化，其中一個重大變化是勒索軟件的興起。

根據Cloudwards的統計，勒索軟件在2021年給全球造成了200億美元的損失。到2031年，這一數字預計將增至2650億美元，具體影響如下：

• 2021年，37%的企業和組織受到勒索軟件的攻擊。
• 2021年，從勒索軟件攻擊中恢復的企業平均損失了185萬美元。
• 在所有勒索軟件受害者中，32%的人支付了贖金，但他們只取回了65%的數據。
• 只有57%的企業使用備份成功地恢復了數據。

可以看出，勒索軟件攻擊幾乎已經無處不在，但是在歐盟、美國、日本等主要發達經濟體中，只有美國“躋身”勒索軟件攻擊數量的TOP3，甚至沒有一個歐洲國家進入前五名（下圖）。

歐洲真的那么擅長防御勒索軟件嗎？還是更多企業選擇隱瞞數據泄露事件，默默支付贖金，同時對外譴責美國等國家公開支付贖金？

根據Dragos最新的勒索軟件報告，從2021年6月1日至12月1日，暗網數據泄露受害者中有26%的企業/機構總部在歐洲，其中德國（19家）和意大利（19家）并列第一，其后是法國、英國和西班牙（下圖）：

德國和意大利的38個勒索軟件受害企業和機構中，有38家（占比68%）都是制造企業，這與德國和意大利的制造業企業數量成正比。

根據Dragos今年2月份發布的報告，在該公司發布的面向全球工控設備的1301個安全建議（涉及3286個漏洞）中，有216個建議（涉及483個漏洞）直接威脅到歐洲企業。

上述報告和數據表明，按照經濟體量計算，歐洲企業面臨的勒索軟件威脅一點都不比全球其他地方少，但歐洲企業報告的勒索軟件攻擊事件卻少得可憐。

歐美企業“抗勒索”能力的巨大“數據差異”，很可能與歐盟和美國的法規不同有關。根據美國法律，企業必須在發生數據泄露時披露事件。自2002年以來，美國數據泄露通知法規定，公司有10天的時間將數據泄露通知當局。

而歐洲國家的企業披露勒索軟件攻擊事件的話，將面臨最高可達2000萬歐元或全球年營業額4%的罰款（以較高者為準）。這導致很多企業認為支付勒索軟件贖金是財務上更好的選擇。

Darkreading對俄羅斯網絡犯罪分子的采訪佐證了這一點，在采訪中，勒索軟件組織成員表示：

“是的，美國是一個更容易的目標，但歐盟GDPR對攻擊者有利，因為受害者更有可能快速、安靜地支付費用，以避免受到GDPR規定的處罰。”

威脅情報專家安東尼指出，歐盟企業已經成為雙重受害者，政府（GDPR）監管部門和犯罪集團都想拿走他們的錢。

顯然，在對GDPR的事件披露處罰機制做出實質性更改以前，GDPR正在成為勒索軟件的幫兇和同伙，同時也背離了保護數據隱私的初衷。