經歷了所有這一切的恐慌,WannaCry(想哭)勒索蠕蟲終於在世界各地平息了。但這並不是能夠加以忘記而繼續前行的時候。從這次的攻擊中可以學到許多寶貴的經驗,為何它如此成功,以及該做什麼來防止它再次發生。而一個令人無法想到的事實是,許多在這月初遭受WannaCry肆虐的企業可能會遭到罰款,如果相同的事情是發生在一年之後。
沒錯,歐盟一般資料保護法規(General Data Protection Regulation,簡稱 GDPR)即將來臨,為企業帶來全新的緊迫性,意識到在WannaCry(想哭)勒索蠕蟲之後需要大規模的進行網路安全檢修。
資料外洩或勒索病毒?
猛一看,勒索病毒 Ransomware (勒索軟體/綁架病毒)攻擊跟即將到來的歐洲資料保護法規並沒有什麼關聯。畢竟,WannaCry被攻擊者的資料是被加密而不是被竊。但仔細看看GDPR會告訴我們不同的故事。
第4.12條規定:
“個人資料外洩”是指個人資料在傳輸、儲存或其他處理時的安全問題造成意外或非法破壞、丟失、變動、未經授權披露或存取。”
客戶資料在WannaCry攻擊中被駭客加密絕對屬於遭受非法存取、丟失或破壞。
同樣地,在第5.1條有:
“個人資料須以:以能夠確保個人資料安全的適當方式處理,包括使用適當技術或組織措施來防止未經授權或非法的處理,防止意外丟失、破壞或損害(‘完整性和機密性‘)"。
此外,第32條還規定資料控制或處理方式應考慮到“最先進的技術”,以“實施適當技術和組織措施來確保符合與風險相對應的安全層級”。
它還加上:
“在評估安全帳戶的適當級別時,應特別注意個人資料傳輸、儲存或其他處理的風險問題,特別是關於意外或非法銷毀、丟失、變動、未經授權的披露或存取“。
WannaCry可以加以預防
組織為什麼會遭受WannaCry攻擊?是因為沒有修補已知的Windows SMB漏洞(CVE-2017-0144)。這讓攻擊者可以植入勒索病毒到受影響系統上,加密使用176種副檔名的企業檔案(包括Microsoft Office、資料庫、壓縮檔、多媒體檔案和各種程式語言所用的副檔名)。當然,這些檔案也包括了GDPR所規範的重要客戶資料。
所以這在監管機關眼中代表什麼?首先,掌握客戶資料並且遭受WannaCry攻擊的公司都可能違反了對受管制資料進行“未經授權或非法處理”。儘管沒有資料遭竊,但因為資料已經在勒索病毒攻擊中丟失或事實上遭到破壞,所以他們在技術上也屬於發生資料外洩事件。
更糟的是,因為在攻擊前幾個星期就已經有微軟官方修補程式推出,受害組織可能會被認為沒有採取足夠的安全措施來應對明顯的風險。而且還有虛擬修補技術可以用來保護未修補或不受支援的系統。
做好安全防護
包括NHS Trusts和其他無數組織都被WannaCry攻陷。但如果這發生在一年以後,那他們很可能會因為違反GDPR而受罰。罰款是全球年營業額的4%或最高達2000萬歐元。他們也會被迫在資料外洩事件發生後的72小時內通知ICO,這本身可能會在負面宣傳和相關成本方面造成更大的影響。
本月離GDPR實施還有一年,要傳達的訊息很簡單:利用安全最佳實作來防護組織對抗WannaCry,這有助於保護他們在2018年5月25日之後不會違反GDPR規範。
@原文出處:WannaCry Highlights Major Security Shortcomings Ahead of GDPR D-Day 作者:Richard Werne