用戶(hù)數據隱私泄露事件屢見(jiàn)不鮮,其背后原因包括對隱私信息的不重視、知識欠缺或者缺乏可用工具等。此前,由于法律環(huán)境寬松或者沒(méi)有面向數據隱私的具體規定,總體來(lái)說(shuō),企業(yè)并不愿意投入太多在隱私數據保護上。但隨著(zhù)隱私權越來(lái)越受到關(guān)注,如何遵循陸續發(fā)布的相關(guān)法律法規成為了企業(yè)的新課題。
很多企業(yè)也正在尋求合適的測試工具作為"一把標尺",衡量在利用數據過(guò)程中是否合規,幫助查找產(chǎn)品、流程等方面在隱私保護上的漏洞,進(jìn)而提高安全合規性。
新思科技建議:首先需要保護軟件和系統不受網(wǎng)絡(luò )攻擊和防止數據泄露。如果軟件不夠安全,則不要指望信息保密。 歐盟的通用數據保護條例(GDPR)是迄今為止最著(zhù)名的相關(guān)法規,非常關(guān)注隱私。美國加州消費者隱私法案(CCPA)也已經(jīng)生效。通常,這些法律規定可以收集哪些數據、可以保存多長(cháng)時(shí)間以及如何與"合作伙伴""共享"數據。它們還為用戶(hù)提供了有關(guān)如何收集和使用其數據的各種權限,以及刪除數據的權利。 CCPA還禁止公司向拒絕收集和共享其信息的用戶(hù)提供較低級別的服務(wù)。
網(wǎng)絡(luò )安全是隱私的關(guān)鍵組成部分,不可或缺。如果企業(yè)系統遭到攻擊,客戶(hù)或用戶(hù)個(gè)人數據泄露,那隱私合規就無(wú)從談起。
不遵守隱私規定的后果不僅限于罰款
GDPR對違規行為最嚴厲的現行處罰是年收入的4%。不是利潤,不是收益,而是總收入。對于一些全球性行業(yè)巨頭來(lái)說(shuō),罰款高達數十億美金也不出奇。
新思科技軟件質(zhì)量與安全部門(mén)高級安全架構師楊國梁指出除了罰款,企業(yè)還可能面臨補償,此外重新建立一個(gè)良好的企業(yè)形象更是一個(gè)漫長(cháng)且成本未知的事情。他表示:"品牌口碑可以直接影響最終用戶(hù)的選擇偏好。違反隱私規定,發(fā)生信息泄露會(huì )導致企業(yè)在公眾中的信任度下降,影響企業(yè)的業(yè)務(wù)拓展。可以說(shuō)信息安全問(wèn)題關(guān)乎到企業(yè)的外部競爭力。"
楊國梁介紹道中國已經(jīng)發(fā)布了《網(wǎng)絡(luò )安全法》,并且《個(gè)人信息保護法》預計今年也將生效。無(wú)論是開(kāi)發(fā)商、廠(chǎng)商還是消費者都可以依法可循,更加明確職責和權益。
網(wǎng)絡(luò )安全的黃金時(shí)代會(huì )隨著(zhù)隱私法的頒布而到來(lái)嗎?
不要對此抱有太高的期望。即使高額罰款有一定威懾作用,但如果企業(yè)配合監管機構,在發(fā)生網(wǎng)絡(luò )安全問(wèn)題后進(jìn)行整改,則罰款也會(huì )大幅減少。
GDPR現已生效近20個(gè)月,迄今為止最高額的"建議"罰款是對英國航空公司的2.3億美元。是的,這筆錢(qián)不菲,但這仍然只占公司年收入166億美元的1.3%。
此外,對網(wǎng)絡(luò )安全要求的細節不夠清晰。
新思科技副總顧問(wèn)Adam Brown指出當談到軟件安全時(shí),這些法規要么說(shuō)"考慮采用最新技術(shù)來(lái)提升軟件安全性",要么更含糊地說(shuō)"合理的行政、技術(shù)和保障"。
Adam Brown表示:"除此之外,現實(shí)中擔起合規重任的人往往不具備充足的軟件知識,相關(guān)經(jīng)驗有限。他們可能將軟件安全和安全防護軟件混為一談。因此他們會(huì )將一些聲稱(chēng)是最新技術(shù)但實(shí)則缺乏安全性的軟件視為解決方案。"
如何做到遵循隱私法規?
世界上沒(méi)有一蹴而就的安全解決方案。但是企業(yè)可以避免因不遵守日益嚴格的隱私法而受到上訴處罰的潛在法律費用。他們可以將這筆錢(qián),或者更少的錢(qián),用在一些更實(shí)在的舉措上:軟件安全計劃(SSI),以幫助保護其數據。
正如新思科技銷(xiāo)售工程師Ian Ashworth指出的那樣,軟件是提高安全性的核心,因為"應用程序已成為網(wǎng)絡(luò )攻擊的首選目標" 。
他表示:"我相信軟件安全解決方案提供商希望更多人能關(guān)注這些風(fēng)險,并樂(lè )意與政府合作,為制定最佳方案出謀獻策。"
"向左移",軟件更安全
安全"向左移"已經(jīng)是業(yè)界共識,倡議將安全貫穿在整個(gè)軟件開(kāi)發(fā)生命周期(SDLC),從軟件構建之初就開(kāi)始安全測試。這些測試工具包括SAST(靜態(tài)應用安全測試)、DAST(動(dòng)態(tài)應用安全測試)、IAST(交互式應用安全測試)、RASP(運行時(shí)應用程序自我保護)和滲透測試等,所有這些都有助于開(kāi)發(fā)商交付更安全的產(chǎn)品,盡管這些產(chǎn)品不是無(wú)懈可擊(沒(méi)有產(chǎn)品可以做到),但也不會(huì )被不法分子列入"易攻擊"名單。
安全"向左移"已經(jīng)是業(yè)界共識,倡議將安全貫穿在整個(gè)軟件開(kāi)發(fā)生命周期(SDLC),從軟件構建之初就開(kāi)始安全測試。這些測試工具包括SAST(靜態(tài)應用安全測試)、DAST(動(dòng)態(tài)應用安全測試)、IAST(交互式應用安全測試)、RASP(運行時(shí)應用程序自我保護)和滲透測試等,所有這些都有助于開(kāi)發(fā)商交付更安全的產(chǎn)品,盡管這些產(chǎn)品不是無(wú)懈可擊(沒(méi)有產(chǎn)品可以做到),但也不會(huì )被不法分子列入"易攻擊"名單。
10多年前,新思科技發(fā)起了軟件安全構建成熟度模型(BSIMM)項目,每年發(fā)布一版BSIMM報告,在2020年將發(fā)布第11個(gè)版本。BSIMM是一款"描述性"模型,涉及多個(gè)垂直領(lǐng)域,旨在幫助企業(yè)規劃、執行、完善和評估其SSI……2019年發(fā)布的BSIMM10反映了122家公司的軟件安全計劃,涵蓋金融服務(wù)、高科技、獨立軟件供應商(ISVs),云、醫療保健、物聯(lián)網(wǎng)、保險及零售業(yè)。
BSIMM并不是建議每個(gè)企業(yè)都以相同的方式進(jìn)行SSI,不會(huì )提出需要"做什么"或"怎么做"。BSIMM的數據是從真正建立SSIs的公司收集而來(lái),量化了119項活動(dòng)的發(fā)生,來(lái)展示許多計劃的共同點(diǎn)以及彰顯個(gè)性的不同之處。BSIMM數據顯示高成熟度的計劃是全面的,涵蓋該模型所描述的全部 12項實(shí)踐中各種各樣的活動(dòng)。企業(yè)可以采用BSIMM來(lái)比較計劃并且決定哪些額外活動(dòng)可能對支持其整體戰略有意義。
簡(jiǎn)而言之,更高的軟件安全性可以實(shí)現。如果沒(méi)有軟件安全,企業(yè)則無(wú)法符合陸續推出的與隱私有關(guān)的法律法規。
