系統(tǒng)的軟件控制:越來(lái)越多的設(shè)備聯(lián)網(wǎng)��,被軟件控制�����,意味著可能受到攻擊的數(shù)量迅猛增長(zhǎng);
系統(tǒng)間的相互連接:當(dāng)系統(tǒng)變得相互關(guān)聯(lián)時(shí)�����,一個(gè)系統(tǒng)的漏洞容易牽連其他系統(tǒng)受到攻擊;
自動(dòng)或自治系統(tǒng):當(dāng)聯(lián)網(wǎng)設(shè)備普遍具有自主能力時(shí),從安全的角度看�����,這意味攻擊的影響可以立即、自動(dòng)和廣泛生效�����。
因此,隨著物聯(lián)網(wǎng)發(fā)展帶來(lái)的海量設(shè)備聯(lián)網(wǎng)��,我們更加生活在一個(gè)不安全的網(wǎng)絡(luò)世界����。但此類文章最希望大家記住的����,并不簡(jiǎn)單是一些危言聳聽(tīng)的標(biāo)題�����。
監(jiān)管的作用
當(dāng)數(shù)據(jù)變成金礦����,對(duì)監(jiān)管�����,數(shù)據(jù)保護(hù)和隱私的呼吁就越來(lái)越多�����。監(jiān)管合規(guī)將成為網(wǎng)絡(luò)安全的重要因素��。而在監(jiān)管方面最嚴(yán)格��,最完善的����,無(wú)疑是歐盟議會(huì)和歐盟理事會(huì)在?2016?年?4?月通過(guò),在?2018?年?5?月開(kāi)始強(qiáng)制實(shí)施的規(guī)定——GDPR(通用數(shù)據(jù)保護(hù)條例)。
此處筆者選取幾項(xiàng)條例以作說(shuō)明:
企業(yè)在收集用戶的個(gè)人信息之前,必須以“簡(jiǎn)潔�、透明且易懂的形式,清晰和平白的語(yǔ)言”向用戶說(shuō)明——將收集哪些信息;如何存儲(chǔ)收集到的信息;如何使用存儲(chǔ)的信息;以及企業(yè)的聯(lián)系方式���。
用戶享有對(duì)應(yīng)的數(shù)據(jù)訪問(wèn)權(quán)����、被遺忘權(quán)�、限制處理權(quán),以及數(shù)據(jù)攜帶權(quán)等權(quán)利�。
在GDPR下存在兩種罰款。第一�,未能在發(fā)現(xiàn)數(shù)據(jù)泄露后的72小時(shí)內(nèi)向ICO報(bào)告�,組織將面臨高達(dá)其年?duì)I業(yè)額2%或1000萬(wàn)歐元的罰款;第二��,若違反通用數(shù)據(jù)保護(hù)條例�����,違規(guī)公司將付出年度營(yíng)業(yè)額的 4%,或者2000萬(wàn)歐元(以數(shù)目更高者為準(zhǔn))的罰款��。
所以我們看到�,谷歌被罰款了�,產(chǎn)生了GDPR實(shí)施以來(lái)的第一例罰款案例��。
外媒報(bào)道�����,法國(guó)數(shù)據(jù)保護(hù)委員會(huì)以違反GDPR為由,對(duì)谷歌開(kāi)出5700萬(wàn)美元的罰單�,稱其未向用戶正確披露其數(shù)據(jù)如何被收集并用于定向廣告��。谷歌也對(duì)此回應(yīng):“將嚴(yán)格遵守透明度和用戶管理以及GDPR的要求���,并采取下一步行動(dòng)����?���!?/span>
對(duì)于GDPR是否適用國(guó)內(nèi)企業(yè)���,條例中也有說(shuō)明:企業(yè)如果有歐盟國(guó)家的業(yè)務(wù)��,或者有歐盟國(guó)家的用戶使用公司的軟硬件產(chǎn)品����,就必須遵守GDPR規(guī)則����。而且���,對(duì)于國(guó)內(nèi)企業(yè)來(lái)說(shuō),不只是GDPR��,企業(yè)應(yīng)當(dāng)審視是否滿足了比如《網(wǎng)絡(luò)安全等級(jí)保護(hù)條例》等一些其他安全合規(guī)要求�。
換句話說(shuō)���,在經(jīng)濟(jì)全球化,企業(yè)出海更加頻繁���,政府法規(guī)趨向嚴(yán)格的當(dāng)下���,中國(guó)互聯(lián)網(wǎng)�、物聯(lián)網(wǎng)企業(yè)十分有必要在數(shù)據(jù)保護(hù)與隱私方面做好準(zhǔn)備���,制定措施。
企業(yè)的安全意識(shí)
百度CEO李彥宏曾經(jīng)提過(guò):“中國(guó)人更加開(kāi)放���,或者說(shuō)對(duì)隱私問(wèn)題沒(méi)那么敏感���,如果說(shuō)用隱私來(lái)交換效率或者便捷性�����,很多情況下大家是愿意這么做的����?�!逼鋵?shí)這句話不無(wú)道理,也代表著一部分企業(yè)的態(tài)度�,但并不意味著企業(yè)可以毫無(wú)節(jié)制����,比如一款需要獲取用戶短信����、通訊錄權(quán)限的日歷軟件,用戶自然是要打個(gè)問(wèn)號(hào)甚至反感的���。
增減權(quán)限�����,這是技術(shù)上很好操作的事,但企業(yè)關(guān)于網(wǎng)絡(luò)安全保護(hù)的意識(shí)���,卻是安全建設(shè)的關(guān)鍵。以下我們將主要從物聯(lián)網(wǎng)安全角度展開(kāi)描述����。
1. 企業(yè)高管的直接重視
根據(jù)美國(guó)公司SailPoint的2018市場(chǎng)調(diào)查報(bào)告:“75%的員工承認(rèn)在帳戶中重復(fù)使用密碼?!闭Э雌饋?lái)�,這似乎與物聯(lián)網(wǎng)安全無(wú)關(guān)����,但它正可以告訴我們?cè)谡w安全風(fēng)險(xiǎn)意識(shí)方面,員工依然沒(méi)有養(yǎng)成安全相關(guān)習(xí)慣��。在這份報(bào)告中���,86%的受訪者認(rèn)為他們的企業(yè)需要提高對(duì)物聯(lián)網(wǎng)威脅的認(rèn)識(shí)�。
隨著與物聯(lián)網(wǎng)相關(guān)的威脅級(jí)別和安全挑戰(zhàn)的增加�����,嚴(yán)重的知識(shí)缺乏將使企業(yè)面臨巨大風(fēng)險(xiǎn)�。因此�,企業(yè)應(yīng)著力在執(zhí)行層面上創(chuàng)建安全意識(shí)�,并培訓(xùn)相關(guān)人員��。通俗點(diǎn)說(shuō)���,搞清楚誰(shuí)將為物聯(lián)網(wǎng)安全負(fù)責(zé)����,是CIO、CTO����,還是CSO�����,其實(shí)也是十分重要的一點(diǎn)�。
當(dāng)研究機(jī)構(gòu)就“誰(shuí)在組織中負(fù)責(zé)物聯(lián)網(wǎng)安全”提出問(wèn)題時(shí)����,33%的人選擇了CIO�����,15%的受訪者表示沒(méi)有相關(guān)職能部門(mén)。
2. 優(yōu)先關(guān)注最需要的環(huán)節(jié)
在報(bào)告中����,超過(guò)50%的IT和安全決策者表示���,為了防止物聯(lián)網(wǎng)安全攻擊����,他們會(huì)優(yōu)先考慮安全解決方案中的一些關(guān)鍵功能,比如監(jiān)控異常行為��、漏洞管理等等。
也有37%的受訪者表示�����,他們并不總是能夠在實(shí)施物聯(lián)網(wǎng)解決方案之前確定好安全需求。由此,Gartner提出�,到2020年�����,物聯(lián)網(wǎng)安全增長(zhǎng)的最大抑制因素將歸因于物聯(lián)網(wǎng)規(guī)劃中缺乏優(yōu)先級(jí),缺乏實(shí)施安全的最佳實(shí)踐和工具�。并且因?yàn)檫@些���,包含物聯(lián)網(wǎng)安全企業(yè)、安全標(biāo)準(zhǔn)組織���、聯(lián)盟組織在內(nèi)的各方��,正在著手建立針對(duì)物聯(lián)網(wǎng)安全組件的技術(shù)標(biāo)準(zhǔn)��,希望打造通用架構(gòu)或者一致的安全策略,幫助用戶優(yōu)先解決最薄弱的痛點(diǎn)需求���。
3. 與專業(yè)安全公司緊密合作
未來(lái)幾年��,企業(yè)的業(yè)務(wù)更加趨向云化��,黑客、黑產(chǎn)攻擊的形式越來(lái)越多樣���,技術(shù)手段會(huì)越來(lái)越強(qiáng)。所以���,阿里巴巴達(dá)摩院將“數(shù)據(jù)安全保護(hù)技術(shù)加速涌現(xiàn)”列入2019十大科技趨勢(shì)�,一點(diǎn)都不過(guò)分�。
而且,攻擊通常要比防御簡(jiǎn)單得多�。如果是攻擊�����,只要找一個(gè)方式就可以了,但如果是防御��,就得想出無(wú)數(shù)的方法�����,來(lái)應(yīng)對(duì)五花八門(mén)的攻擊���。在這一點(diǎn)�,企業(yè)與專業(yè)安全公司緊密合作就十分有必要了��,一方面是獲得安全防護(hù)能力,另一方面是獲得必要的安全咨詢服務(wù)���。
微信
QQ
購(gòu)物車
