系統(tǒng)的軟件控制:越來越多的設(shè)備聯(lián)網(wǎng)�,被軟件控制����,意味著可能受到攻擊的數(shù)量迅猛增長;
系統(tǒng)間的相互連接:當(dāng)系統(tǒng)變得相互關(guān)聯(lián)時(shí)����,一個(gè)系統(tǒng)的漏洞容易牽連其他系統(tǒng)受到攻擊;
自動或自治系統(tǒng):當(dāng)聯(lián)網(wǎng)設(shè)備普遍具有自主能力時(shí),從安全的角度看�,這意味攻擊的影響可以立即、自動和廣泛生效�。
因此,隨著物聯(lián)網(wǎng)發(fā)展帶來的海量設(shè)備聯(lián)網(wǎng)��,我們更加生活在一個(gè)不安全的網(wǎng)絡(luò)世界���。但此類文章最希望大家記住的��,并不簡單是一些危言聳聽的標(biāo)題���。
監(jiān)管的作用
當(dāng)數(shù)據(jù)變成金礦,對監(jiān)管�,數(shù)據(jù)保護(hù)和隱私的呼吁就越來越多�。監(jiān)管合規(guī)將成為網(wǎng)絡(luò)安全的重要因素�。而在監(jiān)管方面最嚴(yán)格,最完善的����,無疑是歐盟議會和歐盟理事會在?2016?年?4?月通過���,在?2018?年?5?月開始強(qiáng)制實(shí)施的規(guī)定——GDPR(通用數(shù)據(jù)保護(hù)條例)�����。
此處筆者選取幾項(xiàng)條例以作說明:
企業(yè)在收集用戶的個(gè)人信息之前����,必須以“簡潔����、透明且易懂的形式,清晰和平白的語言”向用戶說明——將收集哪些信息;如何存儲收集到的信息;如何使用存儲的信息;以及企業(yè)的聯(lián)系方式�。
用戶享有對應(yīng)的數(shù)據(jù)訪問權(quán)、被遺忘權(quán)��、限制處理權(quán)�,以及數(shù)據(jù)攜帶權(quán)等權(quán)利。
在GDPR下存在兩種罰款。第一�,未能在發(fā)現(xiàn)數(shù)據(jù)泄露后的72小時(shí)內(nèi)向ICO報(bào)告,組織將面臨高達(dá)其年?duì)I業(yè)額2%或1000萬歐元的罰款;第二����,若違反通用數(shù)據(jù)保護(hù)條例,違規(guī)公司將付出年度營業(yè)額的 4%���,或者2000萬歐元(以數(shù)目更高者為準(zhǔn))的罰款���。
所以我們看到,谷歌被罰款了�,產(chǎn)生了GDPR實(shí)施以來的第一例罰款案例。
外媒報(bào)道��,法國數(shù)據(jù)保護(hù)委員會以違反GDPR為由����,對谷歌開出5700萬美元的罰單,稱其未向用戶正確披露其數(shù)據(jù)如何被收集并用于定向廣告�����。谷歌也對此回應(yīng):“將嚴(yán)格遵守透明度和用戶管理以及GDPR的要求�����,并采取下一步行動?���!?/span>
對于GDPR是否適用國內(nèi)企業(yè),條例中也有說明:企業(yè)如果有歐盟國家的業(yè)務(wù)���,或者有歐盟國家的用戶使用公司的軟硬件產(chǎn)品��,就必須遵守GDPR規(guī)則。而且��,對于國內(nèi)企業(yè)來說��,不只是GDPR���,企業(yè)應(yīng)當(dāng)審視是否滿足了比如《網(wǎng)絡(luò)安全等級保護(hù)條例》等一些其他安全合規(guī)要求���。
換句話說,在經(jīng)濟(jì)全球化���,企業(yè)出海更加頻繁�,政府法規(guī)趨向嚴(yán)格的當(dāng)下,中國互聯(lián)網(wǎng)��、物聯(lián)網(wǎng)企業(yè)十分有必要在數(shù)據(jù)保護(hù)與隱私方面做好準(zhǔn)備�����,制定措施�。
企業(yè)的安全意識
百度CEO李彥宏曾經(jīng)提過:“中國人更加開放,或者說對隱私問題沒那么敏感��,如果說用隱私來交換效率或者便捷性�����,很多情況下大家是愿意這么做的����。”其實(shí)這句話不無道理�,也代表著一部分企業(yè)的態(tài)度,但并不意味著企業(yè)可以毫無節(jié)制���,比如一款需要獲取用戶短信�、通訊錄權(quán)限的日歷軟件����,用戶自然是要打個(gè)問號甚至反感的�����。
增減權(quán)限�,這是技術(shù)上很好操作的事��,但企業(yè)關(guān)于網(wǎng)絡(luò)安全保護(hù)的意識�,卻是安全建設(shè)的關(guān)鍵。以下我們將主要從物聯(lián)網(wǎng)安全角度展開描述�����。
1. 企業(yè)高管的直接重視
根據(jù)美國公司SailPoint的2018市場調(diào)查報(bào)告:“75%的員工承認(rèn)在帳戶中重復(fù)使用密碼�����?�!闭Э雌饋?��,這似乎與物聯(lián)網(wǎng)安全無關(guān),但它正可以告訴我們在整體安全風(fēng)險(xiǎn)意識方面��,員工依然沒有養(yǎng)成安全相關(guān)習(xí)慣。在這份報(bào)告中��,86%的受訪者認(rèn)為他們的企業(yè)需要提高對物聯(lián)網(wǎng)威脅的認(rèn)識。
隨著與物聯(lián)網(wǎng)相關(guān)的威脅級別和安全挑戰(zhàn)的增加����,嚴(yán)重的知識缺乏將使企業(yè)面臨巨大風(fēng)險(xiǎn)����。因此,企業(yè)應(yīng)著力在執(zhí)行層面上創(chuàng)建安全意識���,并培訓(xùn)相關(guān)人員��。通俗點(diǎn)說�,搞清楚誰將為物聯(lián)網(wǎng)安全負(fù)責(zé)��,是CIO���、CTO�,還是CSO��,其實(shí)也是十分重要的一點(diǎn)�����。
當(dāng)研究機(jī)構(gòu)就“誰在組織中負(fù)責(zé)物聯(lián)網(wǎng)安全”提出問題時(shí),33%的人選擇了CIO�,15%的受訪者表示沒有相關(guān)職能部門。
2. 優(yōu)先關(guān)注最需要的環(huán)節(jié)
在報(bào)告中��,超過50%的IT和安全決策者表示���,為了防止物聯(lián)網(wǎng)安全攻擊���,他們會優(yōu)先考慮安全解決方案中的一些關(guān)鍵功能,比如監(jiān)控異常行為��、漏洞管理等等����。
也有37%的受訪者表示,他們并不總是能夠在實(shí)施物聯(lián)網(wǎng)解決方案之前確定好安全需求�。由此�����,Gartner提出��,到2020年,物聯(lián)網(wǎng)安全增長的最大抑制因素將歸因于物聯(lián)網(wǎng)規(guī)劃中缺乏優(yōu)先級�����,缺乏實(shí)施安全的最佳實(shí)踐和工具��。并且因?yàn)檫@些�����,包含物聯(lián)網(wǎng)安全企業(yè)�����、安全標(biāo)準(zhǔn)組織��、聯(lián)盟組織在內(nèi)的各方����,正在著手建立針對物聯(lián)網(wǎng)安全組件的技術(shù)標(biāo)準(zhǔn),希望打造通用架構(gòu)或者一致的安全策略���,幫助用戶優(yōu)先解決最薄弱的痛點(diǎn)需求���。
3. 與專業(yè)安全公司緊密合作
未來幾年����,企業(yè)的業(yè)務(wù)更加趨向云化��,黑客��、黑產(chǎn)攻擊的形式越來越多樣�,技術(shù)手段會越來越強(qiáng)。所以���,阿里巴巴達(dá)摩院將“數(shù)據(jù)安全保護(hù)技術(shù)加速涌現(xiàn)”列入2019十大科技趨勢���,一點(diǎn)都不過分。
而且��,攻擊通常要比防御簡單得多��。如果是攻擊���,只要找一個(gè)方式就可以了�����,但如果是防御���,就得想出無數(shù)的方法,來應(yīng)對五花八門的攻擊�����。在這一點(diǎn)���,企業(yè)與專業(yè)安全公司緊密合作就十分有必要了�����,一方面是獲得安全防護(hù)能力����,另一方面是獲得必要的安全咨詢服務(wù)����。
微信
QQ
購物車
