IT 行业对热门话题趋之若鹜。IT 从业人员的话题中总离不开云、超融合基础架构和机器学习,而他们目前讨论最多的两个热门话题是勒索软件和欧盟 (EU) 的通用数据保护条例 (GDPR)。
这两个话题都很热门,那么 GDPR 的实施会对勒索软件产生什么影响?最近有人问我:“GDPR 的实施对于勒索软件会产生什么影响?”这种话题碰撞在 IT 领域是非常罕见的。
会产生影响吗?
答案是肯定的。GDPR 旨在保护个人信息。因此,如果握有欧盟公民的相关信息,我们首先要做的就是加强对这些数据的管理,确保其得到妥当保护且易于访问。
为满足 GDPR 要求,我们应当避免数据泄露。泄露是什么意思?GDPR 条款对其作了如下描述:
“个人数据泄露”表示安全漏洞导致传输、存储或以其他方式处理的个人数据发生意外或非法销毁、丢失、篡改、未经授权披露或访问。
根据这一描述,我们很容易理解勒索软件会如何导致 GDPR 规定中的潜在泄露问题。根据以上定义,作为恶意软件的勒索软件会妨碍或限制受害者访问关键数据或他们的整个系统。
迄今为止,勒索软件攻击会导致两种局面 —— 要么快速恢复泄露的数据并确保数据可用性,要么面临数据丢失的风险。如果您没有部署值得信赖的数据恢复解决方案,您恢复业务运营和避免数据丢失的选项非常有限。值得注意的是,所有技术和网络安全专家以及政府官员都强烈反对向勒索软件攻击者支付赎金。
GDPR 为网络犯罪分子带来了新的挑战和机遇。他们无需再担心勒索软件的技术问题,因为他们找到了新的威胁手段。他们可将勒索软件窃取的数据提供给相关机构,让您的企业面临高额罚款或其他处罚。
我们该怎么做?
GDPR 要求企业怎么做?如果查看第 32 条,我们可以了解一些数据所有者的责任:
- 持续确保处理系统和服务的机密性、完整性、可用性和弹性。
- 在发生物理或技术事件时及时恢复个人数据的可用性和可访问性。
- 定期测试和评估技术与组织措施的有效性,以确保数据处理的安全性。
虽然不是技术法规或 IT 行为规范,但 GDPR 要求 IT 部门加大数据管理力度,实施数据保护策略,确保解决方案得到及时更新以及所有利益相关者充分了解他们的职责。IT 部门可在以下方面发挥关键作用:
- 帮助确保数据完整性
- 帮助确保数据可用性
- 提供实施有效、灵活测试的平台
怎样的技术可满足新的数据保护要求?
现实是,没有哪种技术可满足您的所有需求,但我们有必要了解哪类技术可发挥作用。
理想的解决方案堆栈应具有一定的智能性,以识别勒索软件活动,快速阻止勒索软件并识别受到感染的数据集。IT 部门应提供获取所泄露数据集信息的选项,并将该信息用于恢复解决方案以自动实施恢复。恢复解决方案应快速恢复数据并保持可用性。此外,我们应构建测试环境,以测试应对勒索软件攻击等数据损坏事件的措施。
Veeam 能助您一臂之力吗?
虽然 Veeam 没有提供 GDPR 合规工具或勒索软件识别解决方案,但 Veeam Availability Suite 可有效确保您的合规计划成功处理勒索软件等问题,以及应对更广泛的合规计划挑战。
然而,通过与第三方工具交互快速识别潜在的数据泄露并进行恢复具有巨大价值。Veeam 的总体战略是确保内部和云端多个存储库的可用性,以保持整个基础架构中任何位置的数据合规性与可用性。因此,这一方法对现代业务合规战略非常重要。
总结
我们提出的第一个问题是:“GDPR 对勒索软件有何影响?”为了回答该问题,我们讨论了为何需要像对待所有其他潜在的合规风险一样,评估和规避勒索软件的影响和风险。
希望本文提供的背景信息和见解可以帮助您满足业务合规战略的需求。