GDPR是网络犯罪的帮凶吗？

GDPR四周年之际，安全业界对GDPR在保护数据和遏制网络犯罪方面的功效发出了质疑，威胁情报专家安东尼吉尔伯托更是直言不讳，声称GDPR是“恶法”，是网络犯罪的通行证和好朋友。

关于GDPR，你的耳朵可能已经听出老茧，但如果你是企业数据丢失防护团队的一员，这个词会让你惊出一身冷汗。

自从GDPR出台以来，全球网络安全态势发生了很多变化，其中一个重大变化是勒索软件的兴起。

根据Cloudwards的统计，勒索软件在2021年给全球造成了200亿美元的损失。到2031年，这一数字预计将增至2650亿美元，具体影响如下：

• 2021年，37%的企业和组织受到勒索软件的攻击。
• 2021年，从勒索软件攻击中恢复的企业平均损失了185万美元。
• 在所有勒索软件受害者中，32%的人支付了赎金，但他们只取回了65%的数据。
• 只有57%的企业使用备份成功地恢复了数据。

可以看出，勒索软件攻击几乎已经无处不在，但是在欧盟、美国、日本等主要发达经济体中，只有美国“跻身”勒索软件攻击数量的TOP3，甚至没有一个欧洲国家进入前五名（下图）。

欧洲真的那么擅长防御勒索软件吗？还是更多企业选择隐瞒数据泄露事件，默默支付赎金，同时对外谴责美国等国家公开支付赎金？

根据Dragos最新的勒索软件报告，从2021年6月1日至12月1日，暗网数据泄露受害者中有26%的企业/机构总部在欧洲，其中德国（19家）和意大利（19家）并列第一，其后是法国、英国和西班牙（下图）：

德国和意大利的38个勒索软件受害企业和机构中，有38家（占比68%）都是制造企业，这与德国和意大利的制造业企业数量成正比。

根据Dragos今年2月份发布的报告，在该公司发布的面向全球工控设备的1301个安全建议（涉及3286个漏洞）中，有216个建议（涉及483个漏洞）直接威胁到欧洲企业。

上述报告和数据表明，按照经济体量计算，欧洲企业面临的勒索软件威胁一点都不比全球其他地方少，但欧洲企业报告的勒索软件攻击事件却少得可怜。

欧美企业“抗勒索”能力的巨大“数据差异”，很可能与欧盟和美国的法规不同有关。根据美国法律，企业必须在发生数据泄露时披露事件。自2002年以来，美国数据泄露通知法规定，公司有10天的时间将数据泄露通知当局。

而欧洲国家的企业披露勒索软件攻击事件的话，将面临最高可达2000万欧元或全球年营业额4%的罚款（以较高者为准）。这导致很多企业认为支付勒索软件赎金是财务上更好的选择。

Darkreading对俄罗斯网络犯罪分子的采访佐证了这一点，在采访中，勒索软件组织成员表示：

“是的，美国是一个更容易的目标，但欧盟GDPR对攻击者有利，因为受害者更有可能快速、安静地支付费用，以避免受到GDPR规定的处罚。”

威胁情报专家安东尼指出，欧盟企业已经成为双重受害者，政府（GDPR）监管部门和犯罪集团都想拿走他们的钱。

显然，在对GDPR的事件披露处罚机制做出实质性更改以前，GDPR正在成为勒索软件的帮凶和同伙，同时也背离了保护数据隐私的初衷。