如今,欧盟影响深远的《通用数据保护条例》(GDPR)已于5月25日生效,Facebook也已被要求必须要向国会解释他们与剑桥分析公司的关系。与此同时,每天的新闻中都充斥着关于隐私问题和大规模数据泄露的报道。
对于网络安全专业人士来说,隐私保护成为重点意味着他们的担忧和预算要求如今开始受到企业高管和董事会的关注。在数据安全成为公司议程中的首要议题的同时,公司也更加关注如何处理他们拥有的数据,如何加密数据,如何推出更加精细化的访问控制以及如何升级监控和审计功能。
CohnReznick律师事务所网络安全和隐私实践主管ShahryarShaghaghi指出,隐私和安全是携手并进的关系。“没有考虑隐私就没有安全,反之亦然。如果你在谈论访问控制,那么你实际上是在讨论隐私和安全这两个主题。如果你正在谈论加密和保护数据,那么实际上你也是在讨论这两个主题。如果你在谈论监控数据,那么你实际上还是在讨论这两个主题。“
GDPR不仅仅适用于在欧洲开展业务的公司。卡内基梅隆大学计算机科学教授兼CyLab隐私和安全实验室主任LorrieCranor称:“即使自己的主要市场不是欧洲,许多公司也都意识到他们将不得不做出一些改变。可能带来处罚的地方都是需要注意的地方。GDPR唤醒公司对隐私和安全的关注。”
据Thales和市场研究机构451Research发布的《2018年数据威胁报告》显示,只有13%的组织机构表示他们不会受到隐私法规的影响,这一比例较去年的28%出现了大幅下降。即便是那些在欧洲没有业务的公司也仍需关注这个问题,因为其他的监管机构也可能会效仿欧洲来处理相同的问题。Cranor称:“我认为,用不了多久我们就能看到美国版的GDPR。”
GDPR已经在世界各地对改善用户的隐私控制产生了影响,因为对于一些公司来说,在不同国家中均遵守GDPR规定显然更容易些。在线软件评论网站G2Crowd的首席研究官MichaelFauscette称:“我们在不同的国家均执行GDPR规定。因为我们大约有50多万用户,想要一直明确区分哪些是欧洲用户,哪些用户来自其他国家存在很大的难度。”
ISACA公布的调查结果显示,安全和隐私已经成为各类公司所关注的首要问题。受访的公司高管均表示,他们希望自己为GDPR所做的合规性准备能够产生一些积极的结果。在这些结果中,名列前三项的分别为更好的数据安全性(60%)、提升公司声誉(49%)以及将数据安全实践与企业文化有机结合(43%)。
据ScaleVenturePartners在上个月发布的调查报告显示,在2016年,30%的高管认为,缺乏隐私控制是导致他们夜不能寐的主要因素。这一比例在去年上升到了46%,几乎赶上黑客攻击因素(49%)。
ScaleVenturePartners的合伙人ArielTseitlin表示,该调查是在剑桥分析公司丑闻爆出之前进行的。他说:“过去几年来一直在持续不断地出现数据泄露事件,首席信息安全官已经清楚地意识到了这一问题,董事会也一直在讨论这个问题。然而目前最大的变化还是来自于GDPR等法规。这是一个相当严重的警告,组织机构必须要对此保持清醒。”
加密、加密,还是加密
对数据安全的关注正适逢其时。云服务、移动和边缘计算以及对第三方服务商的日益依赖,意味着越来越多的数据游离于企业网络之外。攻击面越大,黑客就越容易突破企业的边界,进而获取那些仍保留在企业内部的数据。
技术研究公司Galois负责隐私保护和密码学的首席研究员DavidArcher说:“我们需要打破这种基于边界的安全理念。许多安全机制都是在边界上建防护墙,然而防护墙之内往往都是缺乏防护并且极易被利用。”
为了保护脆弱的中心,核心的安全机制之一就是加密。为此,LogMeIn公司提供了LastPass密码管理工具和能够管理访问并提供协作与通信的产品。该公司的首席信息安全官GeraldBeuchelt称:“存储在LastPass保管库中的任何东西都会在客户端侧进行加密,然后再发送给我们。即便我们发生了数据泄露事故(当然,我们会尽最大努力阻止这种情况,但是仍然不排除发生这种情况的可能性),这些数据受到的影响也是非常小的。即使攻击者能够提取LastPass保管库,没有我们的密码,他们得到的也只会是一大堆无法理解的乱码。”
LogMeIn还拥有许多他们有权访问的敏感信息,例如客户的付款信息。Beuchelt说,他们的公司拥有二十多种不同的产品。包括传输中的数据,几乎所有的东西都进行了一定程度的加密。对于静止数据,LogMeIn则使用本机文件功能和数据库功能进行处理。他补充道,“做好正确的风险评估很重要。使用同一系统的密钥加密静止数据并不能提供很好的保护。”
LogMeIn还在研究允许数据处于加密状态下也可被使用的新技术。他说:“我们对此非常感兴趣。虽然这一技术相对较新,但是已经开始成熟,可以被应用到企业解决方案中。作为2019年及未来规划中的一部分,我们相信它们一定会成为一个亮点。”
组织机构很早就知道了加密的好处。保护处于静止状态和处于传输状态的数据多年来一直是一个核心的安全建议。Circadence的首席技术官兼圣地亚哥大学网络教授AshtonMozano称:“由于涉及开销和成本,因此它们没有获得优先权。这类问题在过去的15年里已经被反复提及。”
网络安全厂商CSPI的高性能产品部门总经理GarySouthwell认为,加密有助于在发生安全事件时保护公司。他说:“如果你能证明数据已经被正确加密,那么就不必报告数据泄露事件。除了数据被加密外,你还必须要能够说清楚,哪里发生了数据泄露以及相关的取证细节。”
Southwell同时也指出,当数据由云提供商或第三方服务商存储时,以上这些将变得很困难。“虽然已经有了许多相关工具,但是并不是所有的云服务提供商都会部署这些工具。有些提供商会推诿称客户实际上会处理这个问题,因此自己不需要提供过多的帮助。还有些提供商对GDPR反应迟缓,在GDPR生效后才仓促行动起来。他们一直知道自己必须要提供这些工具,但直到这时他们才开始有所行动。”
据NetApp今年4月份发布的调查显示,只有39%的公司知道他们的所有数据被云服务提供商存储在何处。总的来说,对于合规性而言,云服务可以称得上是企业的福音,因为云服务供应商可以将更多的资源集中在合规性这个问题上。
事实上,根据迈克菲最新的调查报告显示,受GDPR的影响,只有不到10%的组织机构打算减少对云服务的投资。在公有云方面的投资,49%的组织机构计划维持相同的水平;37%的组织机构表示,考虑到GDPR的实施,他们将继续增加投资。
管理对客户数据的访问
金融公司依赖于客户对他们的信任。对于金融公司来说,数据泄露事件会立即对公司和客户造成经济损失。因此,金融公司有着大量的规定。
就保护客户数据而言,金融公司无疑是最敏感的。为退休计划提供管理服务的MidlandIRA也不例外。该公司的业务系统经理JoeStolz称:“对我们来说,保护个人身份信息始终是优先事项。一旦出现了有关数据泄露的新闻,我们就会投入更多资金来尽可能地确保客户信息的安全。就在不久前,有新闻报道称澳大利亚联邦银行可能泄露了2000多万条客户记录。”
所有这些已经在促使公司重新思考如何保护客户数据。他说:“我们有着更大动力,因为我们不希望自己成为这类新闻的主角。”
首先,公司重新审视了他们管理数据访问权限的方法。Stolz称:“过去,我们的数据访问权限采取的是一刀切,没有进行针对性设置。随着公司的发展,我们意识到这不是最好的方法。特定的部门应当只被允许在系统中做特定的事情。我们需要确保人们无法看到与他们工作无关的东西。”
例如,为了向客户提供帮助,客户服务代表需要看到客户的信息,但是这并不意味着他们需要全面访问所有的地方。他们不需要看到完整的社会安全号码,只需看到最后四位数字即可。Stolz说:“我们在去年已经完全重写了包括Salesforce在内的业务系统中的所有权限,尽可能使用最低特权模式。”
两个月前,该公司为其客户端入口添加了第二因素电子邮件认证。现在他们正在进行更新以添加更多的身份验证方法,例如短信。
更好的监视控制
即便员工或客户有权访问某些信息,那也未必意味着他们应该访问。为了确保人们正确行使自身权限,而非恶意滥用自己的权限,MidlandIRA公司为其产品增添了新的监控手段。
Stolz说:“我们有很多信息都保存在Salesforce上。这是一个伟大的项目,我们能够在上面创建许多东西,但是我们对于其中发生的事情却缺乏足够的可见性。尽管它们具备事件监控功能,但是要想获得有用的信息,设置起来却十分困难。”
大约在一年前,MidlandIRA将目光转向了FairWarning。这家位于佛罗里达的数据保护与管理商提供的解决方案能够监控Salesforc信息流中的可疑登录迹象,查看哪些报告正在运行,哪些数据正在被访问,以及哪些数据正在被导出。他说:“现在我们能够知道是否有不应该的交易、不应该的访问和不应该的登录,并且可以比以前更快地处理这些问题。这有助于我们获得更高的安全性。”
FairWarning创始人兼首席执行官KurtLong表示,Salesforce有一套用于加密和事件监控的原生工具。例如,SalesforceShield可以帮助客户监控数据使用情况并进行合规性审计。他说:“它们提供的是原始数据和原始控制,但这绝对不足以帮助公司实现GDPR合规性。如果你是一名安全专家并且知道需要寻找什么,那么你可以监控所有的行为。但如果你不是这方面的专家,那么这些可能会让你感到非常困惑和棘手。”
此外,它们拥有40多个不同的数据源,并且这些数据元素可能会随着Salesforce系统升级而发生变化。这也意味着这些原生工具需要经常性维护。
以安全为基础建立起的信任将成为卖点
对于一些公司来说,无论他们是面向零售客户还是面向B2B领域,顶级的数据安全可以成为营销或是运营优势。云数据服务公司NetApp的副总裁ElizabethO'Callahan说:“如果人们昨天不关心他们的数据,那么今天他们将会担心这些数据。许多关于这个话题的文章都把重点放在了恐惧、担忧和惶恐上。这些文章都错过了问题的本质。如果我们能够管理自己的数据,那么我们就可以真正地以一种前所未有的方式来优化我们的业务流程。如果愿意的话,你可以把这种危机转化为机遇。”
AccentureSecurity公司负责发展与战略的主管RyanLaSalle表示,他曾在多家公司,主要是在从事银行业和高科技行业的公司中就下列问题进行过讨论。“在实现差异化服务方面,GDPR的价值是什么?如何与客户建立平等的关系?如何使用一些用户认同的概念与客户建立良好的关系?尽管GDPR现在才刚刚实施,但我们已经与这些组织机构的业务主管进行了一些深入的讨论。”
据德勤公司发布的GDPR基准调查显示,61%的组织机构认为他们在合规性上的投资会在其他方面带来好处。其中,21%的组织机构希望在竞争优势、声誉提升和业务实现等方面看到显著成效。
OptimalIdM公司期望在为GDPR做准备的过程中能够向更多的客户提供关于数据保护方面的帮助。除了帮助企业管理员工对于云应用的访问行为外,Optimal还创建了一个GDRP合规性仪表盘,帮助企业为符合GDPR要求的工具提供访问权限,如查看、更新和删除个人数据。目前,该公司正致力于提供极为精细化的访问控制,重点是那些没有内置此类控件的老旧应用。
该公司的首席产品宣传官MarkFoust说:“目前产品的需求量并没有预期的那么大,不过购买安全性就像购买保险一样,只有在出事以后才能体现出它们的价值。在出事之前,人们并没有什么紧迫感。”
本文作者MariaKorolov在过去20年里一直关注新兴技术和新兴市场。
原文网址
https://www.csoonline/article/3273327/privacy/how-privacy-is-movingdata-security-to-thetop-of-corporate-agendas.html?nsdr=true&page=2