您的位置: 主页 > 人工智能机器人 > 错位人生国语:隐私保护已成企业数据安全的顶级任务

错位人生国语:隐私保护已成企业数据安全的顶级任务

时间: 2018-11-23阅读:

如今已经不存在隐私性与安全性的较量了。《通用数据保护条例》(GDPR)和客户数据泄露等规定已经让隐私保护和安全工作融为了一体。

如今,欧盟影响深远的《通用数据保护条例》(GDPR)已于5月25日生效,Facebook也已被要求必须要向国会解释他们与剑桥分析公司的关系。与此同时,每天的新闻中都充斥着关于隐私问题和大规模数据泄露的报道。

对于网络安全专业人士来说,隐私保护成为重点意味着他们的担忧和预算要求如今开始受到企业高管和董事会的关注。在数据安全成为公司议程中的首要议题的同时,公司也更加关注如何处理他们拥有的数据,如何加密数据,如何推出更加精细化的访问控制以及如何升级监控和审计功能。

CohnReznick律师事务所网络安全和隐私实践主管Shahryar Shaghaghi指出,隐私和安全是携手并进的关系。“没有考虑隐私就没有安全,反之亦然。如果你在谈论访问控制,那么你实际上是在讨论隐私和安全这两个主题。如果你正在谈论加密和保护数据,那么实际上你也是在讨论这两个主题。如果你在谈论监控数据, 那么你实际上还是在讨论这两个主题。“

GDPR不仅仅适用于在欧洲开展业务的公司。卡内基梅隆大学计算机科学教授兼CyLab隐私和安全实验室主任Lorrie Cranor称:“即使自己的主要市场不是欧洲,许多公司也都意识到他们将不得不做出一些改变。可能带来处罚的地方都是需要注意的地方。GDPR唤醒公司对隐私和安全的关注。”

据Thales和市场研究机构451 Research发布的《2018年数据威胁报告》显示,只有13%的组织机构表示他们不会受到隐私法规的影响,这一比例较去年的28%出现了大幅下降。即便是那些在欧洲没有业务的公司也仍需关注这个问题,因为其他的监管机构也可能会效仿欧洲来处理相同的问题。Cranor 称:“我认为,用不了多久我们就能看到美国版的GDPR。”

GDPR已经在世界各地对改善用户的隐私控制产生了影响,因为对于一些公司来说,在不同国家中均遵守GDPR规定显然更容易些。在线软件评论网站G2 Crowd的首席研究官Michael Fauscette称:“我们在不同的国家均执行GDPR规定。因为我们大约有50多万用户,想要一直明确区分哪些是欧洲用户,哪些用户来自其他国家存在很大的难度。”

ISACA公布的调查结果显示,安全和隐私已经成为各类公司所关注的首要问题。受访的公司高管均表示,他们希望自己为GDPR所做的合规性准备能够产生一些积极的结果。在这些结果中,名列前三项的分别为更好的数据安全性(60%)、提升公司声誉(49%)以及将数据安全实践与企业文化有机结合(43%)。

据Scale Venture Partners在上个月发布的调查报告显示,在2016年,30%的高管认为,缺乏隐私控制是导致他们夜不能寐的主要因素。这一比例在去年上升到了46%,几乎赶上黑客攻击因素(49%)。

Scale Venture Partners的合伙人Ariel Tseitlin表示,该调查是在剑桥分析公司丑闻爆出之前进行的。他说:“过去几年来一直在持续不断地出现数据泄露事件,首席信息安全官已经清楚地意识到了这一问题,董事会也一直在讨论这个问题。然而目前最大的变化还是来自于GDPR等法规。这是一个相当严重的警告,组织机构必须要对此保持清醒。”

加密、加密,还是加密

对数据安全的关注正适逢其时。云服务、移动和边缘计算以及对第三方服务商的日益依赖,意味着越来越多的数据游离于企业网络之外。攻击面越大,黑客就越容易突破企业的边界,进而获取那些仍保留在企业内部的数据。

技术研究公司Galois负责隐私保护和密码学的首席研究员David Archer说:“ 我们需要打破这种基于边界的安全理念。许多安全机制都是在边界上建防护墙,然而防护墙之内往往都是缺乏防护并且极易被利用。”

为了保护脆弱的中心,核心的安全机制之一就是加密。为此,LogMeIn公司提供了LastPass密码管理工具和能够管理访问并提供协作与通信的产品。该公司的首席信息安全官Gerald Beuchelt称:“存储在LastPass保管库中的任何东西都会在客户端侧进行加密,然后再发送给我们。即便我们发生了数据泄露事故(当然,我们会尽最大努力阻止这种情况,但是仍然不排除发生这种情况的可能性),这些数据受到的影响也是非常小的。即使攻击者能够提取LastPass保管库,没有我们的密码,他们得到的也只会是一大堆无法理解的乱码。”

LogMeIn还拥有许多他们有权访问的敏感信息,例如客户的付款信息。Beuchelt说,他们的公司拥有二十多种不同的产品。包括传输中的数据,几乎所有的东西都进行了一定程度的加密。对于静止数据,LogMeIn则使用本机文件功能和数据库功能进行处理。他补充道,“做好正确的风险评估很重要。使用同一系统的密钥加密静止数据并不能提供很好的保护。”

LogMeIn还在研究允许数据处于加密状态下也可被使用的新技術。他说:“我们对此非常感兴趣。虽然这一技术相对较新,但是已经开始成熟,可以被应用到企业解决方案中。作为2019年及未来规划中的一部分,我们相信它们一定会成为一个亮点。”

组织机构很早就知道了加密的好处。保护处于静止状态和处于传输状态的数据多年来一直是一个核心的安全建议。Circadence的首席技术官兼圣地亚哥大学网络教授Ashton Mozano称:“由于涉及开销和成本,因此它们没有获得优先权。这类问题在过去的15年里已经被反复提及。”

网络安全厂商CSPI的高性能产品部门总经理Gary Southwell认为,加密有助于在发生安全事件时保护公司。他说:“如果你能证明数据已经被正确加密,那么就不必报告数据泄露事件。除了数据被加密外,你还必须要能够说清楚,哪里发生了数据泄露以及相关的取证细节。”

上一篇:万挂海:我国成功研发智能辅助驾驶系统 可实现实时智能感知
下一篇:没有了

相关阅读