法律防漏：预览2020年数据保护景观Justin Fier，网络情报与分析总监，2019年10月31日，星期四，从信用卡细节和医疗记录，到私人对话，甚至约会偏好，现代消费者委托给了数量空前的组织他们最敏感的信息，希望它能存储在诺克斯堡的数字等效物上。然而，现实情况是，到目前为止，强健的数据隐私权仍然是难以捉摸的。在过去的两年里，近130亿条记录被攻破，其中包括来自Facebook、谷歌和美国邮政服务的记录，再次表明没有任何网络外围设备可以阻止有动机的攻击者海湾。为了主要责任是保护本国公民的政府，因此，实施强有力的数据保护制度既具有挑战性，又具有关键性。当网络犯罪分子在表面上最严密的系统中发现漏洞时，这些监管机构往往回避强制实施具体的安全措施，因为没有人能够预料到哪些措施将击退下一次不可预测的攻击。取而代之的是，大多数数据保护法都默认了对"合理"、"充分"或"适当"网络防御的含糊不清的要求，这种语言可以说是任何被违反的公司不遵守定义。While这种模棱两可使得这类预测在某种程度上是推测性的，几乎可以肯定的是，在未来的一年里，全世界的数据保护法将有所增加，而对其要求的解释也将不那么宽容。最终，随着各国政府试图解决公众对数据隐私日益增长的担忧，仅仅是遭受数据泄露的事实就可能被视为巨额罚款的理由。为了避免这些罚款，以及正确对待自己的客户，必须假设坏人将不可避免地通过周长。图1： 随着20世纪20年代的临近，违规处罚只会越来越大。数据来源：CSO.GDPR公司走向全球2016年4月欧盟通过的通用数据保护条例（GDPR）是数据保护立法史上的分水岭。它对个人隐私权的列举、72小时违约通知要求以及广泛的数据保护指令继续为无数其他国家提供蓝图，如巴西的一般数据保护法（LGPD）、泰国的个人数据保护法（PDPA）和加利福尼亚消费者隐私法（CCPA）。所有这三项法规将于2020年实施，并对公司产生重大影响全世界。巴西该法将于2020年8月15日生效，它是以GDPR为原型的。与GDPR一样，这项法律适用于所有处理巴西2.1亿居民个人资料的公司，无论这些公司的总部在哪里。当然，与GDPR一样，LGPD的安全条款也可以解释。该法律要求数据处理人员"采取安全、技术和行政措施，以保护个人数据不受未经授权的访问"，同时考虑到"当前的技术状况"。泰国的PDPA（自2020年5月27日起生效）在规定未具体说明的安全措施方面同样含糊其辞。然而，它使公司分崩离析，因为违规者除了面临民事赔偿外，还可能面临刑事起诉甚至一年以下监禁。被归类为关键信息基础设施（CII）的组织，包括银行、电信、公用事业和医院，都受到泰国单独的《网络安全法》（Cybersecurity Act）及其更详细的监管义务。数字2： 像巴西这样受GDPR启发的新法律将使这张地图变得越来越蓝。图片来源：DLA派珀。进来与此同时，加利福尼亚州的CCPA将从2020年第一天开始，对每一位消费者实施高达750美元的违规罚款，如果发生大规模违规行为，可能会导致数十亿美元的罚款。如此精确的规定表明，GDPR风格的立法不仅仅是迈向数据保护的象征性一步。然而，截至2019年8月，只有2%的公司报告说他们完全遵守了CCPA，可能是因为，根据一项国家委托的研究，加州的公司将被迫为他们最初的合规性付出550亿美元努力。将死在GDPR和类似法律规定的数百起数据保护罚款中，复选框的一致性是，被处罚的公司被视为遭受了可预防的违规行为。例如，在2017年Equifax妥协案曝光了超过1.4亿消费者的个人信息之后，该公司被认定违反了联邦贸易委员会的保障条例，该规则迫使其采取"与数字基础设施的[规模和复杂性]相适应"的安全措施。美国政府的结论是，如果Equifax对受影响的数据库进行"例行"安全更新，这起事件"完全可以预防"——这一疏忽至少导致了14亿美元的损失损害赔偿。但是，更仔细的观察发现，挑战远不止是一个简单的疏忽。Equifax确实扫描了其网络中的漏洞，但它使用的自动扫描程序没有正确配置来搜索其所有资产。事实是，这些错误配置和盲点是传统网络安全方法本身的一个症状，这种方法依赖于人类来调整和监控大量孤立的安全工具。在设计为动态和物联网设备的云环境环境中，安全团队通常不知道这些设备，因此，要捍卫现代的"规模和复杂性"，没有什么常规的做法企业号所有这些新的法律、要求和罚款的结果是，仅仅遵守复选框的日子已经过去了。被攻破的公司再也不能举起手来，指出他们拥有的外围安全工具的清单，特别是因为攻击者大量利用用户错误和错误配置，虽然这些错误和错误配置不可避免，但在真空中似乎是可以预防的。相反，为了在2020年实现合规，人类团队需要人工智能来理解他们动态的数字资产。在公司内部的人工智能系统中，用户通常已经在内部设备中检测到了这些威胁，而这些功能通常都是通过人工智能来检测的法庭。到进一步了解网络人工智能如何应对现代企业的复杂性，看看我们的白皮书：网络时代的机器学习啊，贾斯汀FierJustin是美国领先的网络情报专家之一，并在Darktrace担任网络情报与分析主管一职。他对网络安全和人工智能的见解已经被华尔街日报、CNN、华盛顿邮报和维克兰等主要媒体广泛报道。贾斯汀拥有超过10年的网络防御经验，曾为美国情报界的各个部门提供支持，在洛克希德马丁公司、诺斯罗普格鲁曼任务系统公司和阿布拉克斯公司担任关键任务安全角色。Justin也是一位技术高超的技术专家，他与Darktrace的全球战略客户合作进行威胁分析、防御网络操作、保护物联网和机器学习。分享在LinkedIn上的FacebookTweetShare发送电子邮件