如今,歐盟影響深遠的《通用數據保護條例》(GDPR)已于5月25日生效,Facebook也已被要求必須要向國會解釋他們與劍橋分析公司的關系。與此同時,每天的新聞中都充斥着關于隐私問題和大規模數據洩露的報道。
對于網絡安全專業人士來說,隐私保護成為重點意味着他們的擔憂和預算要求如今開始受到企業高管和董事會的關注。在數據安全成為公司議程中的首要議題的同時,公司也更加關注如何處理他們擁有的數據,如何加密數據,如何推出更加精細化的訪問控制以及如何升級監控和審計功能。
CohnReznick律師事務所網絡安全和隐私實踐主管ShahryarShaghaghi指出,隐私和安全是攜手并進的關系。“沒有考慮隐私就沒有安全,反之亦然。如果你在談論訪問控制,那麼你實際上是在讨論隐私和安全這兩個主題。如果你正在談論加密和保護數據,那麼實際上你也是在讨論這兩個主題。如果你在談論監控數據,那麼你實際上還是在讨論這兩個主題。“
GDPR不僅僅适用于在歐洲開展業務的公司。卡内基梅隆大學計算機科學教授兼CyLab隐私和安全實驗室主任LorrieCranor稱:“即使自己的主要市場不是歐洲,許多公司也都意識到他們将不得不做出一些改變。可能帶來處罰的地方都是需要注意的地方。GDPR喚醒公司對隐私和安全的關注。”
據Thales和市場研究機構451Research發布的《2018年數據威脅報告》顯示,隻有13%的組織機構表示他們不會受到隐私法規的影響,這一比例較去年的28%出現了大幅下降。即便是那些在歐洲沒有業務的公司也仍需關注這個問題,因為其他的監管機構也可能會效仿歐洲來處理相同的問題。Cranor稱:“我認為,用不了多久我們就能看到美國版的GDPR。”
GDPR已經在世界各地對改善用戶的隐私控制産生了影響,因為對于一些公司來說,在不同國家中均遵守GDPR規定顯然更容易些。在線軟件評論網站G2Crowd的首席研究官MichaelFauscette稱:“我們在不同的國家均執行GDPR規定。因為我們大約有50多萬用戶,想要一直明确區分哪些是歐洲用戶,哪些用戶來自其他國家存在很大的難度。”
ISACA公布的調查結果顯示,安全和隐私已經成為各類公司所關注的首要問題。受訪的公司高管均表示,他們希望自己為GDPR所做的合規性準備能夠産生一些積極的結果。在這些結果中,名列前三項的分别為更好的數據安全性(60%)、提升公司聲譽(49%)以及将數據安全實踐與企業文化有機結合(43%)。
據ScaleVenturePartners在上個月發布的調查報告顯示,在2016年,30%的高管認為,缺乏隐私控制是導緻他們夜不能寐的主要因素。這一比例在去年上升到了46%,幾乎趕上黑客攻擊因素(49%)。
ScaleVenturePartners的合夥人ArielTseitlin表示,該調查是在劍橋分析公司醜聞爆出之前進行的。他說:“過去幾年來一直在持續不斷地出現數據洩露事件,首席信息安全官已經清楚地意識到了這一問題,董事會也一直在讨論這個問題。然而目前最大的變化還是來自于GDPR等法規。這是一個相當嚴重的警告,組織機構必須要對此保持清醒。”
加密、加密,還是加密
對數據安全的關注正适逢其時。雲服務、移動和邊緣計算以及對第三方服務商的日益依賴,意味着越來越多的數據遊離于企業網絡之外。攻擊面越大,黑客就越容易突破企業的邊界,進而獲取那些仍保留在企業内部的數據。
技術研究公司Galois負責隐私保護和密碼學的首席研究員DavidArcher說:“我們需要打破這種基于邊界的安全理念。許多安全機制都是在邊界上建防護牆,然而防護牆之内往往都是缺乏防護并且極易被利用。”
為了保護脆弱的中心,核心的安全機制之一就是加密。為此,LogMeIn公司提供了LastPass密碼管理工具和能夠管理訪問并提供協作與通信的産品。該公司的首席信息安全官GeraldBeuchelt稱:“存儲在LastPass保管庫中的任何東西都會在客戶端側進行加密,然後再發送給我們。即便我們發生了數據洩露事故(當然,我們會盡最大努力阻止這種情況,但是仍然不排除發生這種情況的可能性),這些數據受到的影響也是非常小的。即使攻擊者能夠提取LastPass保管庫,沒有我們的密碼,他們得到的也隻會是一大堆無法理解的亂碼。”
LogMeIn還擁有許多他們有權訪問的敏感信息,例如客戶的付款信息。Beuchelt說,他們的公司擁有二十多種不同的産品。包括傳輸中的數據,幾乎所有的東西都進行了一定程度的加密。對于靜止數據,LogMeIn則使用本機文件功能和數據庫功能進行處理。他補充道,“做好正确的風險評估很重要。使用同一系統的密鑰加密靜止數據并不能提供很好的保護。”
LogMeIn還在研究允許數據處于加密狀态下也可被使用的新技術。他說:“我們對此非常感興趣。雖然這一技術相對較新,但是已經開始成熟,可以被應用到企業解決方案中。作為2019年及未來規劃中的一部分,我們相信它們一定會成為一個亮點。”
組織機構很早就知道了加密的好處。保護處于靜止狀态和處于傳輸狀态的數據多年來一直是一個核心的安全建議。Circadence的首席技術官兼聖地亞哥大學網絡教授AshtonMozano稱:“由于涉及開銷和成本,因此它們沒有獲得優先權。這類問題在過去的15年裡已經被反複提及。”
網絡安全廠商CSPI的高性能産品部門總經理GarySouthwell認為,加密有助于在發生安全事件時保護公司。他說:“如果你能證明數據已經被正确加密,那麼就不必報告數據洩露事件。除了數據被加密外,你還必須要能夠說清楚,哪裡發生了數據洩露以及相關的取證細節。”
Southwell同時也指出,當數據由雲提供商或第三方服務商存儲時,以上這些将變得很困難。“雖然已經有了許多相關工具,但是并不是所有的雲服務提供商都會部署這些工具。有些提供商會推诿稱客戶實際上會處理這個問題,因此自己不需要提供過多的幫助。還有些提供商對GDPR反應遲緩,在GDPR生效後才倉促行動起來。他們一直知道自己必須要提供這些工具,但直到這時他們才開始有所行動。”
據NetApp今年4月份發布的調查顯示,隻有39%的公司知道他們的所有數據被雲服務提供商存儲在何處。總的來說,對于合規性而言,雲服務可以稱得上是企業的福音,因為雲服務供應商可以将更多的資源集中在合規性這個問題上。
事實上,根據邁克菲最新的調查報告顯示,受GDPR的影響,隻有不到10%的組織機構打算減少對雲服務的投資。在公有雲方面的投資,49%的組織機構計劃維持相同的水平;37%的組織機構表示,考慮到GDPR的實施,他們将繼續增加投資。
管理對客戶數據的訪問
金融公司依賴于客戶對他們的信任。對于金融公司來說,數據洩露事件會立即對公司和客戶造成經濟損失。因此,金融公司有着大量的規定。
就保護客戶數據而言,金融公司無疑是最敏感的。為退休計劃提供管理服務的MidlandIRA也不例外。該公司的業務系統經理JoeStolz稱:“對我們來說,保護個人身份信息始終是優先事項。一旦出現了有關數據洩露的新聞,我們就會投入更多資金來盡可能地确保客戶信息的安全。就在不久前,有新聞報道稱澳大利亞聯邦銀行可能洩露了2000多萬條客戶記錄。”
所有這些已經在促使公司重新思考如何保護客戶數據。他說:“我們有着更大動力,因為我們不希望自己成為這類新聞的主角。”
首先,公司重新審視了他們管理數據訪問權限的方法。Stolz稱:“過去,我們的數據訪問權限采取的是一刀切,沒有進行針對性設置。随着公司的發展,我們意識到這不是最好的方法。特定的部門應當隻被允許在系統中做特定的事情。我們需要确保人們無法看到與他們工作無關的東西。”
例如,為了向客戶提供幫助,客戶服務代表需要看到客戶的信息,但是這并不意味着他們需要全面訪問所有的地方。他們不需要看到完整的社會安全号碼,隻需看到最後四位數字即可。Stolz說:“我們在去年已經完全重寫了包括Salesforce在内的業務系統中的所有權限,盡可能使用最低特權模式。”
兩個月前,該公司為其客戶端入口添加了第二因素電子郵件認證。現在他們正在進行更新以添加更多的身份驗證方法,例如短信。
更好的監視控制
即便員工或客戶有權訪問某些信息,那也未必意味着他們應該訪問。為了确保人們正确行使自身權限,而非惡意濫用自己的權限,MidlandIRA公司為其産品增添了新的監控手段。
Stolz說:“我們有很多信息都保存在Salesforce上。這是一個偉大的項目,我們能夠在上面創建許多東西,但是我們對于其中發生的事情卻缺乏足夠的可見性。盡管它們具備事件監控功能,但是要想獲得有用的信息,設置起來卻十分困難。”
大約在一年前,MidlandIRA将目光轉向了FairWarning。這家位于佛羅裡達的數據保護與管理商提供的解決方案能夠監控Salesforc信息流中的可疑登錄迹象,查看哪些報告正在運行,哪些數據正在被訪問,以及哪些數據正在被導出。他說:“現在我們能夠知道是否有不應該的交易、不應該的訪問和不應該的登錄,并且可以比以前更快地處理這些問題。這有助于我們獲得更高的安全性。”
FairWarning創始人兼首席執行官KurtLong表示,Salesforce有一套用于加密和事件監控的原生工具。例如,SalesforceShield可以幫助客戶監控數據使用情況并進行合規性審計。他說:“它們提供的是原始數據和原始控制,但這絕對不足以幫助公司實現GDPR合規性。如果你是一名安全專家并且知道需要尋找什麼,那麼你可以監控所有的行為。但如果你不是這方面的專家,那麼這些可能會讓你感到非常困惑和棘手。”
此外,它們擁有40多個不同的數據源,并且這些數據元素可能會随着Salesforce系統升級而發生變化。這也意味着這些原生工具需要經常性維護。
以安全為基礎建立起的信任将成為賣點
對于一些公司來說,無論他們是面向零售客戶還是面向B2B領域,頂級的數據安全可以成為營銷或是運營優勢。雲數據服務公司NetApp的副總裁ElizabethO'Callahan說:“如果人們昨天不關心他們的數據,那麼今天他們将會擔心這些數據。許多關于這個話題的文章都把重點放在了恐懼、擔憂和惶恐上。這些文章都錯過了問題的本質。如果我們能夠管理自己的數據,那麼我們就可以真正地以一種前所未有的方式來優化我們的業務流程。如果願意的話,你可以把這種危機轉化為機遇。”
AccentureSecurity公司負責發展與戰略的主管RyanLaSalle表示,他曾在多家公司,主要是在從事銀行業和高科技行業的公司中就下列問題進行過讨論。“在實現差異化服務方面,GDPR的價值是什麼?如何與客戶建立平等的關系?如何使用一些用戶認同的概念與客戶建立良好的關系?盡管GDPR現在才剛剛實施,但我們已經與這些組織機構的業務主管進行了一些深入的讨論。”
據德勤公司發布的GDPR基準調查顯示,61%的組織機構認為他們在合規性上的投資會在其他方面帶來好處。其中,21%的組織機構希望在競争優勢、聲譽提升和業務實現等方面看到顯著成效。
OptimalIdM公司期望在為GDPR做準備的過程中能夠向更多的客戶提供關于數據保護方面的幫助。除了幫助企業管理員工對于雲應用的訪問行為外,Optimal還創建了一個GDRP合規性儀表盤,幫助企業為符合GDPR要求的工具提供訪問權限,如查看、更新和删除個人數據。目前,該公司正緻力于提供極為精細化的訪問控制,重點是那些沒有内置此類控件的老舊應用。
該公司的首席産品宣傳官MarkFoust說:“目前産品的需求量并沒有預期的那麼大,不過購買安全性就像購買保險一樣,隻有在出事以後才能體現出它們的價值。在出事之前,人們并沒有什麼緊迫感。”
本文作者MariaKorolov在過去20年裡一直關注新興技術和新興市場。
原文網址
https://www.csoonline/article/3273327/privacy/how-privacy-is-movingdata-security-to-thetop-of-corporate-agendas.html?nsdr=true&page=2