隐私安全现状

隐私问题和大规模数据泄露的报道几乎每天都充斥着各大网站，对于隐私安全问题的担忧始终是民众的“心头大患”。就在此时，备受关注和热议的《欧盟通用数据保护条例》（GDPR）终于于5月25日正式落地实施。作为“史上最严隐私条例”，其对用户隐私保护提出了众多明确规定。

对于网络安全专业人士来说，这种专注保护隐私的政策推出，将意味着他们的担忧和安全预算问题正在受到高级管理人员和企业董事会的关注。数据安全正在一步步迈入企业顶级议程，企业将更加关注如何处理他们所拥有的数据，如何对其进行加密，以及推出更细化的访问控制和升级监控及审计功能。

CohnReznick律师事务所网络安全和隐私实践主管Shahryar Shaghaghi表示，

隐私和安全是携手并进的关系。没有考虑隐私的安全实践算不上成功，反之，没有考虑安全的隐私实践同样算不上成功。如果你正在谈论访问控制问题，实际上你就在同时谈论这两个主题。如果你在谈论加密和数据保护，那么你也是在同时在谈论这两个主题，如果你在谈论数据监控，情况也是如此。

卡内基梅隆大学计算机科学教授兼CyLab隐私和安全实验室主任Lorrie Cranor表示，就GDPR条例而言，其不仅仅适用于在欧洲开展业务的企业，即便是那些主要市场不在欧洲，但是却拥有欧洲公民数据的企业，同样需要做出一些改变来遵循GDPR的合规要求。由于考虑到处罚措施——轻者，处以1000万欧元或者上一年度全球营收的2%，两者取其高；重者处以2000万欧元或者企业上一年度全球营业收入的4%，两者取其高。全球企业都在积极完善自身安全实践，以满足GDPR合规要求。

根据Thales和451 Research最新发布的《2018年数据威胁报告》显示，只有13%的组织表示他们不会受到隐私法规的影响，这一比例较之去年的28%出现了大幅下滑的趋势。即便是那些在欧洲没有业务，且不具备欧洲公民数据的企业仍然需要关注这个问题，因为其他的监管机构也可能正在效仿欧洲出台类似的GDPR法案来处理相同的问题，也许用不了多久我们就能看到美国GDPR法案的身影。

同时，GDPR也已经对改善世界各地用户的隐私控制产生了影响，因为对于一些企业来说，对所有用户一律遵循GDPR规定显然更容易执行。在线软件评论网站G2 Crowd的首席研究官Michael Fauscette表示，

我们就是执行的全面政策。我们大约有50多万用户，想要明确的区别哪些是欧洲用户，哪些是中国或是其他国家用户存在一定程度的难度或错误，所以，我们就简单地对所有用户执行了GDPR规定。

根据ISACA发布的调查结果显示，安全和隐私是各种规模的企业所关注的首要议程。这些企业高管们纷纷表示，他们预计对于GDPR的合规性准备将产生一些积极的结果，其中一项好结果就是会带来更好的安全性。据悉，有高达60%的受访者表示其业务声誉提高了49%，数据安全措施与企业文化的结合率为43%。

根据Scale Venture Partners上个月发布的一项调查显示，2016年，30％的高管表示，缺乏隐私控制是导致他们熬夜加班处理应急事件的首要问题。去年这一数字上升到46％，几乎赶上黑客攻击所占的49％的比例。

Scale Venture Partners的合伙人Ariel Tseitlin表示，该调查是在剑桥分析公司的“泄露门”新闻爆出之前进行的。他说，

过去几年来，全球各地一直在不断上演着各类数据泄露的大戏。首席信息安全官已经意识到了问题的严重性，董事会也一直在讨论这个问题，但是现在，巨大的变化是来自包括GDPR在内的法规，这是一个巨大的警钟，告诫企业必须从自己营造的数据安全的美梦中醒来。

加密，加密，加密

很遗憾，我们没能在更早的时间内体现出对数据安全的关注，不过迟到总比没到好。如今，云服务、移动和边缘计算（edge computing）以及对第三方供应商的日益依赖都意味着，越来越多的数据都聚集在企业网络之外。随着攻击面的日益扩大，黑客也更容易进入企业外围，进而获取企业内部保存的数据。

技术研究公司Galois的隐私和密码学首席研究员David Archer表示，

我们需要摆脱这种基于周界（perimeter-based）的安全概念。许多安全机制都是关于防护周界的，但是殊不知界内才是攻击者最易触碰的软中心。

为了确保这种脆弱而又敏感的界内中心安全，核心机制之一就是加密！例如，LogMeIn公司所提供的LastPass密码管理工具，以及其他管理访问并提供协作和通信的产品。该公司CISO Gerald Beuchelt表示，

存储在LastPass保管库中的任何内容都会在客户端进行加密，然后才会发送给我们。即便我们发生泄露事故（当然，我们会尽最大努力来阻止这种情况发生）——对于这些存储在LastPass中的数据的影响也是非常小的。即使攻击者能够提取LastPass保管库，他们也只会得到一大堆密码，并不能掌握我们手中的数据。

Beuchelt进一步介绍称，其公司拥有二十多种不同的产品，几乎所有过程或数据都有一定程度的加密，这包括加密传输中的数据。LogMeIn使用本机文件功能和数据库功能来处理静止数据。此外，做好正确的风险评估也很重要，使用同一系统上的密钥进行加密并不能提供更好的保护。

目前，LogMeIn公司正在研发允许数据即使在被使用时也能保持加密的新技术。Beuchelt表示，这是一项相对较新的技术，但我们已经掌握的相当成熟了，可以真正部署到企业解决方案之中。作为2019年及未来计划的一部分，LogMeIn公司一定会让更多的人看到这项技术。

企业组织很早就已经知道加密的好处，确保静态和动态（传输过程）数据安全一直是多年来的核心安全议题。根据CSPI公司高性能产品部门总经理Gary Southwell的说法，加密有助于在发生安全事件时保护公司安全。但是，当数据由云服务提供商或第三方供应商存储时，想实现这一点却很困难。

虽然有合适的工具可用，但是很难保证所有云服务提供商或第三方供应商都采用了这些工具。他们可能会找借口说，我们的客户有这些工具来处理这些问题；这些工具并不能提供多少帮助；但是GDPR等相关法案推出后，他们都开始争先恐后地部署相关工具，因为按照合规要求，他们必须要使用“适当的”技术和控制措施来实现隐私保护需求。

根据NetApp于今年4月份发布的一项调查显示，只有39％的公司知道他们的所有数据被云服务提供商存储在什么地方。然而，总的来说，云服务对企业来说是一个恩惠，因为云服务供应商可以将更多的资源集中在合规性这个问题上。

事实上，根据最新的McAfee调查报告指出，随着欧盟的一般数据保护条例（GDPR）正式实施，组织将加强合规工作。对云计算提供商能力更有信心的组织有可能计划在未来一年增加其整体云投资，而那些不那么自信的人则计划将他们的投资保持在目前的水平。平均来看，只有不到10%的受访者预计由于GDPR法规的实施将会减少他们的云计算投资；49％的组织计划保持在同一水平；37％的受访者表示他们将会增加云计算投资。

管理对客户数据的访问行为

金融公司比其他很多行业更为依赖用户的信任来维持运营，一旦出现数据泄露事件，将对公司及客户造成无法估量的财物损失，甚至导致破产结业的案例也是比比皆是。

所以，就保护客户数据而言，金融公司一定是最敏感的部门，就连为退休计划提供行政服务的美联储IRA也不例外。其业务系统经理Joe Stolz表示，

对我们来说，保护客户个人身份信息安全始终是优先事项。但是，如若发生泄露事件，我们一定会投入更多的资金来保证我们的客户信息尽可能安全。所有这些只会激励我们重新思考如何保护客户数据，使我们更有动力完善自身安全策略，以避免相同的悲剧继续上演。

为了实现这一点，该公司重新审视了自己管理用户数据访问权限的做法。Stolz表示，过去，我们公司具备很多竞争优势，但是后来我们发现，继续依赖这些优势并不足以保证公司能够得到持久的发展。企业必须完善数据访问管理制度，只允许特定部门访问系统中的特定内容，杜绝其接触自己权限或工作需求以外的内容。

举例来说，客户服务代表需要查看客户的信息以更好地为其提供服务，但这并不意味着他们需要全面访问每个领域。例如，他们不需要查看完整的社会安全号码，只需要查看最后4位数即可。Stolz补充道，

去年，我们完全重写了业务系统（包括Salesforce）中的所有权限，使其尽可能地使用最小特权模式。

两个月前，该公司还为其客户门户添加了第二因素（second-factor）电子邮箱认证机制。现在，它正在继续升级以添加更多身份验证方法，例如短信。

更好的监控控制

即便员工或客户有权访问某些信息，也不一定表示他们应该这么做。为了确保人们正确地行使自身权限，而不是将其用于恶意目的，Midland IRA公司为其产品增添了新的监控手段。

Stolz表示，

我们有很多信息都保存在Salesforce上。不得不承认，它是一个伟大的项目，已经帮助我们更好地开展工作，但是我们对于其中发生的事情却缺乏足够的可见性。它们具备事件监控功能，但是部署起来却存在一定难度。

大约一年前，Midland IRA将目光投向了FairWarning——一家位于弗洛里达州的数据保护和治理供应商。该公司的解决方案能够监控Salesforce Feed中是否存在可疑登录的迹象，并查看正在运行的报告，正在访问的数据以及正在导出的数据。借助该工具，企业就能够明确地了解访问、登录以及交易行为，并且可以比以前更快地处理这些问题，为企业提供更多可视性和安全性。

FairWarning首席执行官兼创始人Kurt Long表示，Salesforce确实拥有一套用于加密和事件监控的本地工具。例如，Salesforce Shield可以帮助客户监控数据使用情况并运行合规审计。但是，它们提供的是原始数据和原始控件，这绝对不足以帮助公司实现GDPR合规性。如果您是安全专家并且知道需要寻找什么，那么您就可以监控所有的行为；但如果你不是这方面的专家，那么想要部署监控行为将会非常混乱和困难。因为它有40个不同的数据源，并且这些数据元素可能会随着Salesforce系统升级而发生变化。

将通过安全性建立的信任感作为卖点

对于一些公司来说（无论是面向零售客户还是B2B领域的公司），顶级的数据安全可以转化为其营销或运营优势。云数据服务公司NetApp副总裁Elizabeth O'Callahan表示，

如果说人们过去不关心他们的数据，现在他们会关注它的。现在很多关于此类话题的文章都把重点放在了恐惧、担忧和惶恐上。这样的话就错过了真正的问题：如果我们能够管理我们的数据，我们就可以真正地以一种前所未有的方式来优化我们的业务流程。如果你愿意的话，你将可以把这种危机转化为机遇。

Accenture Security公司发展和战略领导者Ryan LaSalle表示，他曾在多家公司进行过这种对话，特别是银行业和高科技行业，谈话主要包含下述问题：GDPR在如何区分我的服务方面的价值是什么？我如何与客户建立公平关系？我如何使用用户同意的某些相同概念与我们的客户建立更好的关系？

根据Deloitte发布的最新GDPR基准报告显示，61％的企业认为其投资收益超出合规范围。其中，21％希望看到显着的收益，包括竞争优势，声誉提升和业务升级。

Optimal IdM公司就是其中一家希望借助GDPR条例获取更多优势的企业。它帮助企业管理员工对于云应用程序的访问行为，此外，Optimal还构建了GDRP合规仪表板，让企业可以访问GDPR兼容工具，例如查看、更新和删除个人数据。目前，该公司正致力于提供极其细致的访问控制，特别是针对没有内置这些控件的老旧应用程序。

该公司首席产品宣传员Mark Foust表示，

购买安全性就像支付保险费用一样，无法实现立竿见影的效益，只有在发生紧迫事件时，其意义才会彰显出来。