隱私保護(hù)已成企業(yè)數(shù)據(jù)安全的頂級(jí)任務(wù)

Maria Korolov 陳琳華

如今已經(jīng)不存在隱私性與安全性的較量了?！锻ㄓ脭?shù)據(jù)保護(hù)條例》（GDPR）和客戶數(shù)據(jù)泄露等規(guī)定已經(jīng)讓隱私保護(hù)和安全工作融為了一體。

如今，歐盟影響深遠(yuǎn)的《通用數(shù)據(jù)保護(hù)條例》（GDPR）已于5月25日生效，F(xiàn)acebook也已被要求必須要向國(guó)會(huì)解釋他們與劍橋分析公司的關(guān)系。與此同時(shí)，每天的新聞中都充斥著關(guān)于隱私問題和大規(guī)模數(shù)據(jù)泄露的報(bào)道。

對(duì)于網(wǎng)絡(luò)安全專業(yè)人士來說，隱私保護(hù)成為重點(diǎn)意味著他們的擔(dān)憂和預(yù)算要求如今開始受到企業(yè)高管和董事會(huì)的關(guān)注。在數(shù)據(jù)安全成為公司議程中的首要議題的同時(shí)，公司也更加關(guān)注如何處理他們擁有的數(shù)據(jù)，如何加密數(shù)據(jù)，如何推出更加精細(xì)化的訪問控制以及如何升級(jí)監(jiān)控和審計(jì)功能。

CohnReznick律師事務(wù)所網(wǎng)絡(luò)安全和隱私實(shí)踐主管Shahryar Shaghaghi指出，隱私和安全是攜手并進(jìn)的關(guān)系?！皼]有考慮隱私就沒有安全，反之亦然。如果你在談?wù)撛L問控制，那么你實(shí)際上是在討論隱私和安全這兩個(gè)主題。如果你正在談?wù)摷用芎捅Ｗo(hù)數(shù)據(jù)，那么實(shí)際上你也是在討論這兩個(gè)主題。如果你在談?wù)摫O(jiān)控?cái)?shù)據(jù)， 那么你實(shí)際上還是在討論這兩個(gè)主題。“

GDPR不僅僅適用于在歐洲開展業(yè)務(wù)的公司?？▋?nèi)基梅隆大學(xué)計(jì)算機(jī)科學(xué)教授兼CyLab隱私和安全實(shí)驗(yàn)室主任Lorrie Cranor稱：“即使自己的主要市場(chǎng)不是歐洲，許多公司也都意識(shí)到他們將不得不做出一些改變?？赡軒硖幜P的地方都是需要注意的地方。GDPR喚醒公司對(duì)隱私和安全的關(guān)注。”

據(jù)Thales和市場(chǎng)研究機(jī)構(gòu)451 Research發(fā)布的《2018年數(shù)據(jù)威脅報(bào)告》顯示，只有13%的組織機(jī)構(gòu)表示他們不會(huì)受到隱私法規(guī)的影響，這一比例較去年的28%出現(xiàn)了大幅下降。即便是那些在歐洲沒有業(yè)務(wù)的公司也仍需關(guān)注這個(gè)問題，因?yàn)槠渌谋O(jiān)管機(jī)構(gòu)也可能會(huì)效仿歐洲來處理相同的問題。Cranor 稱：“我認(rèn)為，用不了多久我們就能看到美國(guó)版的GDPR?！?/p>

GDPR已經(jīng)在世界各地對(duì)改善用戶的隱私控制產(chǎn)生了影響，因?yàn)閷?duì)于一些公司來說，在不同國(guó)家中均遵守GDPR規(guī)定顯然更容易些。在線軟件評(píng)論網(wǎng)站G2 Crowd的首席研究官M(fèi)ichael Fauscette稱：“我們?cè)诓煌膰?guó)家均執(zhí)行GDPR規(guī)定。因?yàn)槲覀兇蠹s有50多萬用戶，想要一直明確區(qū)分哪些是歐洲用戶，哪些用戶來自其他國(guó)家存在很大的難度?！?/p>

ISACA公布的調(diào)查結(jié)果顯示，安全和隱私已經(jīng)成為各類公司所關(guān)注的首要問題。受訪的公司高管均表示，他們希望自己為GDPR所做的合規(guī)性準(zhǔn)備能夠產(chǎn)生一些積極的結(jié)果。在這些結(jié)果中，名列前三項(xiàng)的分別為更好的數(shù)據(jù)安全性（60%）、提升公司聲譽(yù)（49%）以及將數(shù)據(jù)安全實(shí)踐與企業(yè)文化有機(jī)結(jié)合（43%）。

據(jù)Scale Venture Partners在上個(gè)月發(fā)布的調(diào)查報(bào)告顯示，在2016年，30%的高管認(rèn)為，缺乏隱私控制是導(dǎo)致他們夜不能寐的主要因素。這一比例在去年上升到了46%，幾乎趕上黑客攻擊因素（49%）。

Scale Venture Partners的合伙人Ariel Tseitlin表示，該調(diào)查是在劍橋分析公司丑聞爆出之前進(jìn)行的。他說：“過去幾年來一直在持續(xù)不斷地出現(xiàn)數(shù)據(jù)泄露事件，首席信息安全官已經(jīng)清楚地意識(shí)到了這一問題，董事會(huì)也一直在討論這個(gè)問題。然而目前最大的變化還是來自于GDPR等法規(guī)。這是一個(gè)相當(dāng)嚴(yán)重的警告，組織機(jī)構(gòu)必須要對(duì)此保持清醒?！?/p>

加密、加密，還是加密

對(duì)數(shù)據(jù)安全的關(guān)注正適逢其時(shí)。云服務(wù)、移動(dòng)和邊緣計(jì)算以及對(duì)第三方服務(wù)商的日益依賴，意味著越來越多的數(shù)據(jù)游離于企業(yè)網(wǎng)絡(luò)之外。攻擊面越大，黑客就越容易突破企業(yè)的邊界，進(jìn)而獲取那些仍保留在企業(yè)內(nèi)部的數(shù)據(jù)。

技術(shù)研究公司Galois負(fù)責(zé)隱私保護(hù)和密碼學(xué)的首席研究員David Archer說：“ 我們需要打破這種基于邊界的安全理念。許多安全機(jī)制都是在邊界上建防護(hù)墻，然而防護(hù)墻之內(nèi)往往都是缺乏防護(hù)并且極易被利用?！?/p>

為了保護(hù)脆弱的中心，核心的安全機(jī)制之一就是加密。為此，LogMeIn公司提供了LastPass密碼管理工具和能夠管理訪問并提供協(xié)作與通信的產(chǎn)品。該公司的首席信息安全官Gerald Beuchelt稱：“存儲(chǔ)在LastPass保管庫中的任何東西都會(huì)在客戶端側(cè)進(jìn)行加密，然后再發(fā)送給我們。即便我們發(fā)生了數(shù)據(jù)泄露事故（當(dāng)然，我們會(huì)盡最大努力阻止這種情況，但是仍然不排除發(fā)生這種情況的可能性），這些數(shù)據(jù)受到的影響也是非常小的。即使攻擊者能夠提取LastPass保管庫，沒有我們的密碼，他們得到的也只會(huì)是一大堆無法理解的亂碼?！?/p>

LogMeIn還擁有許多他們有權(quán)訪問的敏感信息，例如客戶的付款信息。Beuchelt說，他們的公司擁有二十多種不同的產(chǎn)品。包括傳輸中的數(shù)據(jù)，幾乎所有的東西都進(jìn)行了一定程度的加密。對(duì)于靜止數(shù)據(jù)，LogMeIn則使用本機(jī)文件功能和數(shù)據(jù)庫功能進(jìn)行處理。他補(bǔ)充道，“做好正確的風(fēng)險(xiǎn)評(píng)估很重要。使用同一系統(tǒng)的密鑰加密靜止數(shù)據(jù)并不能提供很好的保護(hù)?！?/p>

LogMeIn還在研究允許數(shù)據(jù)處于加密狀態(tài)下也可被使用的新技術(shù)。他說：“我們對(duì)此非常感興趣。雖然這一技術(shù)相對(duì)較新，但是已經(jīng)開始成熟，可以被應(yīng)用到企業(yè)解決方案中。作為2019年及未來規(guī)劃中的一部分，我們相信它們一定會(huì)成為一個(gè)亮點(diǎn)?！?/p>

組織機(jī)構(gòu)很早就知道了加密的好處。保護(hù)處于靜止?fàn)顟B(tài)和處于傳輸狀態(tài)的數(shù)據(jù)多年來一直是一個(gè)核心的安全建議。Circadence的首席技術(shù)官兼圣地亞哥大學(xué)網(wǎng)絡(luò)教授Ashton Mozano稱：“由于涉及開銷和成本，因此它們沒有獲得優(yōu)先權(quán)。這類問題在過去的15年里已經(jīng)被反復(fù)提及?！?/p>

網(wǎng)絡(luò)安全廠商CSPI的高性能產(chǎn)品部門總經(jīng)理Gary Southwell認(rèn)為，加密有助于在發(fā)生安全事件時(shí)保護(hù)公司。他說：“如果你能證明數(shù)據(jù)已經(jīng)被正確加密，那么就不必報(bào)告數(shù)據(jù)泄露事件。除了數(shù)據(jù)被加密外，你還必須要能夠說清楚，哪里發(fā)生了數(shù)據(jù)泄露以及相關(guān)的取證細(xì)節(jié)?！?/p>

Southwell同時(shí)也指出，當(dāng)數(shù)據(jù)由云提供商或第三方服務(wù)商存儲(chǔ)時(shí)，以上這些將變得很困難?！半m然已經(jīng)有了許多相關(guān)工具，但是并不是所有的云服務(wù)提供商都會(huì)部署這些工具。有些提供商會(huì)推諉稱客戶實(shí)際上會(huì)處理這個(gè)問題，因此自己不需要提供過多的幫助。還有些提供商對(duì)GDPR反應(yīng)遲緩，在GDPR生效后才倉促行動(dòng)起來。他們一直知道自己必須要提供這些工具，但直到這時(shí)他們才開始有所行動(dòng)?！?/p>

據(jù)NetApp今年4月份發(fā)布的調(diào)查顯示，只有39%的公司知道他們的所有數(shù)據(jù)被云服務(wù)提供商存儲(chǔ)在何處?？偟膩碚f，對(duì)于合規(guī)性而言，云服務(wù)可以稱得上是企業(yè)的福音，因?yàn)樵品?wù)供應(yīng)商可以將更多的資源集中在合規(guī)性這個(gè)問題上。

事實(shí)上，根據(jù)邁克菲最新的調(diào)查報(bào)告顯示，受GDPR的影響，只有不到10%的組織機(jī)構(gòu)打算減少對(duì)云服務(wù)的投資。在公有云方面的投資，49%的組織機(jī)構(gòu)計(jì)劃維持相同的水平；37%的組織機(jī)構(gòu)表示，考慮到GDPR的實(shí)施，他們將繼續(xù)增加投資。

管理對(duì)客戶數(shù)據(jù)的訪問

金融公司依賴于客戶對(duì)他們的信任。對(duì)于金融公司來說，數(shù)據(jù)泄露事件會(huì)立即對(duì)公司和客戶造成經(jīng)濟(jì)損失。因此，金融公司有著大量的規(guī)定。

就保護(hù)客戶數(shù)據(jù)而言，金融公司無疑是最敏感的。為退休計(jì)劃提供管理服務(wù)的Midland IRA也不例外。該公司的業(yè)務(wù)系統(tǒng)經(jīng)理Joe Stolz稱：“對(duì)我們來說，保護(hù)個(gè)人身份信息始終是優(yōu)先事項(xiàng)。一旦出現(xiàn)了有關(guān)數(shù)據(jù)泄露的新聞，我們就會(huì)投入更多資金來盡可能地確?？蛻粜畔⒌陌踩?。就在不久前，有新聞報(bào)道稱澳大利亞聯(lián)邦銀行可能泄露了2000多萬條客戶記錄?！?/p>

所有這些已經(jīng)在促使公司重新思考如何保護(hù)客戶數(shù)據(jù)。他說：“我們有著更大動(dòng)力，因?yàn)槲覀儾幌Ｍ约撼蔀檫@類新聞的主角?！?/p>

首先，公司重新審視了他們管理數(shù)據(jù)訪問權(quán)限的方法。Stolz 稱：“過去，我們的數(shù)據(jù)訪問權(quán)限采取的是一刀切，沒有進(jìn)行針對(duì)性設(shè)置。隨著公司的發(fā)展，我們意識(shí)到這不是最好的方法。特定的部門應(yīng)當(dāng)只被允許在系統(tǒng)中做特定的事情。我們需要確保人們無法看到與他們工作無關(guān)的東西?！?/p>

例如，為了向客戶提供幫助，客戶服務(wù)代表需要看到客戶的信息，但是這并不意味著他們需要全面訪問所有的地方。他們不需要看到完整的社會(huì)安全號(hào)碼，只需看到最后四位數(shù)字即可。Stolz說：“我們?cè)谌ツ暌呀?jīng)完全重寫了包括Salesforce在內(nèi)的業(yè)務(wù)系統(tǒng)中的所有權(quán)限，盡可能使用最低特權(quán)模式。”

兩個(gè)月前，該公司為其客戶端入口添加了第二因素電子郵件認(rèn)證?，F(xiàn)在他們正在進(jìn)行更新以添加更多的身份驗(yàn)證方法，例如短信。

更好的監(jiān)視控制

即便員工或客戶有權(quán)訪問某些信息，那也未必意味著他們應(yīng)該訪問。為了確保人們正確行使自身權(quán)限，而非惡意濫用自己的權(quán)限，Midland IRA公司為其產(chǎn)品增添了新的監(jiān)控手段。

Stolz說：“我們有很多信息都保存在Salesforce上。這是一個(gè)偉大的項(xiàng)目，我們能夠在上面創(chuàng)建許多東西，但是我們對(duì)于其中發(fā)生的事情卻缺乏足夠的可見性。盡管它們具備事件監(jiān)控功能，但是要想獲得有用的信息，設(shè)置起來卻十分困難?！?/p>

大約在一年前，Midland IRA將目光轉(zhuǎn)向了FairWarning。這家位于佛羅里達(dá)的數(shù)據(jù)保護(hù)與管理商提供的解決方案能夠監(jiān)控Salesforc信息流中的可疑登錄跡象，查看哪些報(bào)告正在運(yùn)行，哪些數(shù)據(jù)正在被訪問，以及哪些數(shù)據(jù)正在被導(dǎo)出。他說：“現(xiàn)在我們能夠知道是否有不應(yīng)該的交易、不應(yīng)該的訪問和不應(yīng)該的登錄，并且可以比以前更快地處理這些問題。這有助于我們獲得更高的安全性。”

FairWarning創(chuàng)始人兼首席執(zhí)行官Kurt Long表示，Salesforce有一套用于加密和事件監(jiān)控的原生工具。例如，Salesforce Shield可以幫助客戶監(jiān)控?cái)?shù)據(jù)使用情況并進(jìn)行合規(guī)性審計(jì)。他說：“它們提供的是原始數(shù)據(jù)和原始控制，但這絕對(duì)不足以幫助公司實(shí)現(xiàn)GDPR合規(guī)性。如果你是一名安全專家并且知道需要尋找什么，那么你可以監(jiān)控所有的行為。但如果你不是這方面的專家，那么這些可能會(huì)讓你感到非常困惑和棘手?！?/p>

此外，它們擁有40多個(gè)不同的數(shù)據(jù)源，并且這些數(shù)據(jù)元素可能會(huì)隨著Salesforce系統(tǒng)升級(jí)而發(fā)生變化。這也意味著這些原生工具需要經(jīng)常性維護(hù)。

以安全為基礎(chǔ)建立起的信任將成為賣點(diǎn)

對(duì)于一些公司來說，無論他們是面向零售客戶還是面向B2B領(lǐng)域，頂級(jí)的數(shù)據(jù)安全可以成為營(yíng)銷或是運(yùn)營(yíng)優(yōu)勢(shì)。云數(shù)據(jù)服務(wù)公司NetApp的副總裁Elizabeth O'Callahan說：“如果人們昨天不關(guān)心他們的數(shù)據(jù)，那么今天他們將會(huì)擔(dān)心這些數(shù)據(jù)。許多關(guān)于這個(gè)話題的文章都把重點(diǎn)放在了恐懼、擔(dān)憂和惶恐上。這些文章都錯(cuò)過了問題的本質(zhì)。如果我們能夠管理自己的數(shù)據(jù)，那么我們就可以真正地以一種前所未有的方式來優(yōu)化我們的業(yè)務(wù)流程。如果愿意的話，你可以把這種危機(jī)轉(zhuǎn)化為機(jī)遇?！?/p>

Accenture Security公司負(fù)責(zé)發(fā)展與戰(zhàn)略的主管Ryan LaSalle表示，他曾在多家公司，主要是在從事銀行業(yè)和高科技行業(yè)的公司中就下列問題進(jìn)行過討論?！霸趯?shí)現(xiàn)差異化服務(wù)方面，GDPR的價(jià)值是什么？如何與客戶建立平等的關(guān)系？如何使用一些用戶認(rèn)同的概念與客戶建立良好的關(guān)系？盡管GDPR現(xiàn)在才剛剛實(shí)施，但我們已經(jīng)與這些組織機(jī)構(gòu)的業(yè)務(wù)主管進(jìn)行了一些深入的討論。”

據(jù)德勤公司發(fā)布的GDPR基準(zhǔn)調(diào)查顯示，61%的組織機(jī)構(gòu)認(rèn)為他們?cè)诤弦?guī)性上的投資會(huì)在其他方面帶來好處。其中，21%的組織機(jī)構(gòu)希望在競(jìng)爭(zhēng)優(yōu)勢(shì)、聲譽(yù)提升和業(yè)務(wù)實(shí)現(xiàn)等方面看到顯著成效。

Optimal IdM公司期望在為GDPR做準(zhǔn)備的過程中能夠向更多的客戶提供關(guān)于數(shù)據(jù)保護(hù)方面的幫助。除了幫助企業(yè)管理員工對(duì)于云應(yīng)用的訪問行為外，Optimal還創(chuàng)建了一個(gè)GDRP合規(guī)性儀表盤，幫助企業(yè)為符合GDPR要求的工具提供訪問權(quán)限，如查看、更新和刪除個(gè)人數(shù)據(jù)。目前，該公司正致力于提供極為精細(xì)化的訪問控制，重點(diǎn)是那些沒有內(nèi)置此類控件的老舊應(yīng)用。

該公司的首席產(chǎn)品宣傳官M(fèi)ark Foust說：“目前產(chǎn)品的需求量并沒有預(yù)期的那么大，不過購買安全性就像購買保險(xiǎn)一樣，只有在出事以后才能體現(xiàn)出它們的價(jià)值。在出事之前，人們并沒有什么緊迫感?！?/p>

本文作者M(jìn)aria Korolov在過去20年里一直關(guān)注新興技術(shù)和新興市場(chǎng)。

原文網(wǎng)址

https：//www.csoonline.com/article/3273327/privacy/how-privacy-is-moving-data-security-to-the-top-of-corporate-agendas.html？nsdr=true&page;=2