欧盟GDPR 如何降低数据泄露风险？

👨🏿‍⚖️思科安全与信任办公室战略与规划总监、该研究的主要作者 Robert Waitman 表示：“对数据进行了盘点工作的组织可以更好地了解数据、数据的使用方式以及相关风险。” “他们已经确定了处理的合法目的，并且还必须删除或删除任何不符合此标准的数据。他们总体上可用的数据可能较少，而他们拥有的数据得到了更适当的保护。”

获得访问权限的攻击者可能会在符合 GDPR 的公司中发现较少或根本没有可利用的数据。

“泄露的可能性较低、受影响的记录数量较少、泄露的总体成本也较低，这并不奇怪，”维特曼说。

该报告显示，74% 的已做好 GDPR 准备的公司遭遇了违规行为，而预计在 12 个月内合规的公司中这一比例为 80%，而预计在未来 12 个月内不会合规的公司中这一比例为 89%。

已做好 GDPR 准备的公司在违规期间受影响的平均记录数量为 79,000 条，相比之下，那些希望明年做好 GDPR 准备的公司受影响的记录数量为 100,000 条，而落后者则为 212,000 条。

因此，与事件相关的成本较低。去年，只有 37% 已做好 GDPR 准备的公司损失超过 50 万美元，而即将合规的公司为 46%，而 GDPR 准备不足的公司则为 64%。

IDC 欧洲数据安全和隐私研究总监 Martin Whitworth 表示：“任何经历过精心策划的 GDPR 计划的组织都会更好地了解他们所持有的数据、现有的控制措施以及需要管理的风险。” “这不可避免地会对安全态势产生积极影响。当采取补救措施（流程改进、新的控制措施等）时，这将进一步改善组织的安全制度。”

GDPR 生效还不到一年，其他地方几乎没有证据支持思科的说法，即合规性降低了数据泄露的风险和影响。然而，监管机构、顾问和供应商都认为存在相关性。

英国 ICO 的发言人表示：“遵守 GDPR 的安全要求并不能保证不会发生安全漏洞。” “然而，采取适当的技术和组织措施应该可以减少发生此类事件的可能性，并且在发生违规事件时，使组织能够更好地减轻风险，并在必要时向 ICO 报告事件并与 ICO 合作。”

👨🏿‍⚖️BTB Security 首席信息安全顾问 Matt Wilson 同意，虽然采用 GDPR 关键原则的组织自然会开始改善其信息安全，但仅靠合规性不足以降低风险。“遵守 GDPR 或任何其他相关法规并不能使组织安全，但它可以激发积极的变革。违规风险不会为零，但他们将以一种有意义且可衡量的方式推动这一进程。”

Park Legal LLC 合伙人 Joan Antokol 解释说，许多跨国公司长期以来都拥有强大的隐私框架和隐私官员，因此对他们来说，GDPR 更多的是使他们的隐私工作正式化，让小公司在面临潜在的巨额罚款时更加重视隐私。

“我认为 GDPR 本身并没有提高标准，”她说。“他们添加了更多术语，例如加密和灾难恢复等，并为组织添加了更多信息以了解期望。“风险已经改变，如果你犯错或者不遵守规定，现在 GDPR 下的风险要高得多”

CSO联系了多家公司，但没有一家公司拥有关于合规性是否有助于降低违规风险或影响的硬数据。所联系的事件响应提供商看到了积极的关系。

事件响应公司 Gillware 风险管理副总裁 Christopher Gerg 表示：“我们在事件响应工作中发现的许多最容易被利用的弱点都已根据 GDPR 的要求进行了补救。” “当我们对拥有成熟的组织信息安全计划（例如 GDPR 规定的计划）的组织进行调查时，我们发现这些事件通常得到更好的遏制、影响更低且更容易补救。”

Gerg 补充道：“随着 GDPR 相关组织发生越来越多的事件，我们预计能够得出更多结论性的相关性，但我们在事件响应方面的实际经验表明，对于真正遵守 GDPR 的组织来说，发生事件的可能性很小。”

当被问及是否有办法更好地量化 GDPR 对组织的好处时，IDC 的 Whitworth 建议重点不应放在成本效益上，而应作为风险管理/缓解措施，包括：

• 公司对他们所持有的数据、相关风险以及他们采取的适当控制措施的了解程度如何

• 他们能够在业务流程中引入哪些效率

• 数据存储效率（通过删除不必要的数据）

  
  

Park Legal 的 Antokol 补充道，许多隐私官员都收到了大量有关公司员工可能违反 GDPR 的报告，这让公司能够更好地了解流程和潜在问题。这既有积极的一面，也有消极的一面。

“GDPR 意识培训使员工更加了解过去可能不会报告的情况，”她说，“但人们会说，‘哦，天哪，我们违反了 GDPR’，我必须让他们知道这些决定是我们做出的，而不是你们。”

GDPR 措辞的开放性以及几乎没有具体技术要求的事实意味着合规带来的好处可能无法平等分享，具体取决于立法原则和精神的采用程度。“有趣的是，GDPR 没有规定确切的安全要求，并且规定公司必须为个人数据提供‘合理’水平的保护，这为双方的主观解释留下了空间，”

👩🏼‍⚖️Sungard Availability Services 首席安全官 Shawn Burke 表示。“安全组织遵守 GDPR 的好处是，他们可以更好地了解敏感数据的存在位置及其处理方式，并且拥有更好的可见性和问责制无疑是减少数据泄露可能性的一个方法。”