电子邮件泄漏 GDPR被忽略的后门

2018年5月26日，在欧盟通过两年后，“通用数据保护条例”（GDPR）生效。两年来，公司因安全公司提供的GDPR解决方案遭到轰炸; 并发表了一些调查报告，声称只有n％的公司已经准备好甚至了解GDPR。

但事实上，GDPR中的“数据保护”因素与之前的欧洲法律略有不同。GDPR的变化来自用户数据的收集，存储，处理和访问; 违规披露; 以及违规罚款的严重程度。

也就是说，企业可以从去年的数据保护不合规事件中学习，以深入了解明年可能发生的GDPR违规罚款。一个来源是信息专员办公室（ICO - 英国数据保护监管机构）提供的统计数据。

ICO最新的“数据安全事件趋势” 报告于2018年5月14日发布。在第四季度，ICO仅在Carphone Warehouse Ltd 处罚一笔40万英镑的罚款，“经过严重失败将客户数据置于危险之中”。然而，总共有957起报告的数据安全事件。ICO将这些定义为“受影响者的主要关注点，也是ICO的关键行动领域”。

对这些事件的分析正在揭示。医疗保健 - 全球主要的勒索和盗窃PII的犯罪目标- 在第四季度共报告了349起数据安全事件。最常见的事件并非与技术有关：121起事件涉及发布或传真给错误收件人的数据，或文书工作丢失或被盗。

最常见的与技术相关的事件并不是黑客攻击，而是简单的电子邮件故障（49），涉及发送给错误收件人的数据，或者在发送电子邮件时未能使用BCC。总之，简而言之，一个容易被忽略的后门进入GDPR违规行为。

发送给错误收件人的数据通常通过数据标签和数据丢失防护技术解决。一个问题是假阳性和假阴性都很高。负责标记他们频繁生成的数据“过度标签”的员工; 也就是说，他们非常谨慎地将未受保护的数据标记为“敏感”。这可能会导致耗时，妨碍工作流程。或者，敏感数据可能保持未标记状态，仍然会被发送到错误的地址。

2017年9月，国家法律杂志报道，“威尔默，卡特勒，皮克林，黑尔和多尔周三被电子邮件混淆，暴露了美国证券交易委员会的秘密以及在百事公司内部调查后发现的威尔默律师意外地发送了一封“华尔街日报”记者特权文件详细说明公司举报人声称的历史。“ 这不仅仅是一种尴尬，如果涉及欧盟的任何数据，这将严重违反GDPR。

（撰写本文时，作者收到了一家主要网络安全厂商发来的电子邮件：“您可能昨天意外收到了一封来自我们的电子邮件，主题为”SUBJECT LINE“。我们的服务器时间不对，并将电子邮件发送给错误的人“这是一个良性的错误 - 但它可能是严重的，它进一步说明了这个问题。）

一家新创业公司 - 位于英国的Tessian--正在寻求利用机器学习人工智能来解决电子邮件GDPR后门​​问题。“我们正在做的事情，”联合创始人兼首席执行官蒂姆萨德勒告诉安全周刊，“正在帮助组织防范人为威胁。在我们的核心，我们阻止组织向错误的人发送高度敏感的电子邮件。”

电子邮件问题的难点在于它不适用于传统的基于规则的解决方案 - 电子邮件过于频繁，太容易，太多的主题和太多的人使用。“我们采取的方法是机器学习，”Sadler解释说。“我们分析历史通信模式，以了解与用户网络中的不同人共享的信息种类，在外发电子邮件中，我们了解异常情况，我们知道这种数据与该联系人共享是不寻常的。在别处没见过，但它是非常有效的。“

他声称，在分析用户电子邮件日志后的24小时内，可以生成“正常”基线。该基线的异常被标记。用户通过充分参与而持续参与 - 标记的电子邮件不会被简单地阻止。对系统决策的完整说明被传递给用户，并且可以被接受或覆盖 - 并且用户的响应被添加到系统的机器学习知识中。他用信用卡诈骗作为比喻，他说：“我们不仅仅因为异常行为而阻止了卡片，我们解释了原因，我们询问用户他是否想要解锁卡片 - 并且我们从这个过程中学习。”

该公司由Tim Sadler，Ed Bishop和Tom Adams于2013年创立，最初名为CheckRecipient。2017年4月，它筹集了270万美元的种子资金，使种子资金总额达到380万美元。该公司于2018年2月更名为“Tessian”，重新命名的部分原因是该公司不断发展和不断发展。

“我们对Tessian的信念，”Sadler对安全周刊说，“组织的安全性已经从外围防火墙，甚至端点安全转移到另一端，我认为我们正处于第三阶段，人类是组织的真正终端。如果你看看黑客是如何闯入一家公司的，那么黑客就不会像黑客攻击人类那样。

我们致力于构建人类终端的安全性。简而言之，我们不仅考虑出站电子邮件威胁，还考虑入站电子邮件威胁; 并且超越这个范围去理解人类在企业内泄漏数据的其他方式。“

Sadler拒绝透露有关Tessian未来路线图的详细信息 - 但可以肯定的是，BEC和一般网络钓鱼威胁的机器学习解决方案正在绘图板上。目前，Tessian在将机器学习解决方案应用于电子邮件问题方面几乎是独一无二的，从历史数据中可以证明这是一个严重且常常被忽略的对GDPR合规性的威胁。