在上壹篇文章中(深度整理 | 歐盟《壹般數據保護法案》(GDPR)核心要點),我為大家分享了GDPR法案的核心要點,便於企業直觀的了解到什麽是GDPR以及對企業未來業務將會產生什麽樣的影響 。本文將著重針對GDPR中的核心要點來深度分析物聯網行業的企業應該如何應對。這裏的應對方案涉及到系統架構、人員管理、流程管理、風險評估、業務邏輯、應急響應等眾多環節,由於不同企業的具體業務情況不同,以下內容可作為物聯網企業自查的壹種分析方式。
物聯網行業的特殊性在於:原來很多設備是不聯網的,所以不存在用戶隱私泄露的風險。而如今,設備聯網是大勢所趨,數據的控制者和處理者都會直接或者間接的接觸到非常多的個人用戶數據,比如:姓名、性別、年齡、身份證號、手機號等等,另壹方面,由於需要對設備和用戶數據進行運營畫像及監控,也會收集到更多關於用戶行為的隱私數據。所以,GDPR對物聯網企業的影響還是非常深遠和重要的
青蓮雲作為壹家物聯網安全解決方案公司,通過多年來在網絡安全、雲安全、黑客攻防對抗和數據隱私保護等領域的經驗積累,針對GDPR施行後,國內物聯網企業的應對思路,總結出以下要點,可以作為企業在實踐GDPR合規過程中的參考方向,以此分享出來與大家探討。
國內物聯網企業應對GDPR的建議思路:
1、 企業高管的直接重視
2、 合理區分數據控制者和數據處理者
3、 從設計之初保護隱私
4、 明確的獲得客戶的數據授權同意
5、 識別數據的存儲位置
6、 識別數據的類型和風險
7、 識別數據的使用授權
8、 識別數據的移植和傳輸能力
9、 必要時能夠清除個人數據
10、 具備快速識別並及時報告數據泄露事件的能力
11、 遵循數據最小化原則
12、 針對數據進行匿名化處理
13、 保證網絡通信的機密性和數據完整性
14、 保證網絡通信的強身份認證
15、 重視數據生命周期管理
16、 重視企業內部的隱私管控
17、 檢查第三方供應商是否符合GDPR
18、 考慮設置專門的隱私保護人員
19、 具備其他安全合規性要求
20、 與專業安全公司保持緊密合作
企業高管的直接重視
無論是GDPR還是其他安全合規性的法規要求,更多的是與企業的管理/研發流程息息相關。而內部流程的推動更多的依賴企業高管的重視程度和實踐決心。推動壹項流程的正確實施需要自上而下有序進行,如果企業高管對推動合規性流程的意識不足或者重視程度不夠,往往會造成非常多的人力時間成本浪費,也會影響到正常業務的開展進度。所以我們把企業高管的重視程度放在第壹位。
合理區分數據控制者和數據處理者
GDPR中針對控制者和處理者有明確的描述。在實踐GDPR中,企業首先要明確自己到底是屬於數據的控制者還是處理者,這個定位非常重要。舉個例子:如果企業使用Google Analytics(或者其他第三方數據分析服務商)針對網站進行用戶行為分析,那麽企業就是數據控制者,Google Analytics就是數據處理者。當數據主體(消費者)依據GDPR中的要求執行“被遺忘權”的時候,企業有責任去履行用戶的合法要求,企業應當能夠刪除交給第三方數據分析服務商的用戶個人數據。
從設計之初保護隱私
萬丈高樓平地起。道理很簡單,安全是IT系統的基石,如果基礎的IT系統出現安全漏洞,特別是針對物聯網行業,通過批量的遠程升級往往都不能解決關於業務邏輯的安全問題。物聯網企業在設計系統架構之初就應該把安全因素納入架構設計範圍。讓安全從早期介入,才能避免後期因產生安全事故導致更嚴重的企業損失。
明確的獲得客戶的數據授權同意
GDPR在此處也有明確的描述,需要企業用非常明顯且直白的方式告訴客戶將會采集哪些數據(類似於APP的權限授權),特別是針對未成年人的物聯網產品(如兒童手表、兒童故事機等),必須獲得監護人的直接授權同意才可以收集相關數據。
識別數據存儲的位置
數據是企業IT資產的壹部分。當實踐GDPR之前,企業必須要做的壹件事就是識別數據存在哪了。物聯網的底層架構的是雲計算,雲計算會用不同的數據存儲技術來存儲不同類型的數據,比如用Redis來存儲緩存數據、用Hadoop來存儲離線的大型日誌文件、用Cassandra來存儲壹些碎片化的小文件。企業技術負責人必須清晰的意識到內部用到了哪些數據存儲的技術或者組件,不同的組件存儲了哪壹類數據,識別“數據戰場”是數據隱私保護的第壹步。
識別數據的類型和風險
當識別清楚數據存儲的位置之後,就需要對數據資產進行風險評估。思考企業所存儲的數據種類都有哪些:如個人身份數據、定位數據、行為數據、金融數據?數據的類型有哪些:整型?浮點型?布爾型?圖片/視頻? 不同數據的泄露風險有哪些:如會導致用戶信用卡被盜刷?會導致用戶遭受垃圾郵件攻擊?會導致用戶身份被仿冒?會要導致用戶行蹤被跟蹤?等等,依據企業建立的數據風險模型,可以為今後有針對性的部署安全解決方案提供有力支持。
識別數據的使用授權
在大部分的數據使用場景中,並不是只有企業自己對數據有完全的控制權和處理權。在大數據解決方案中,往往需要借助外部第三方企業的能力來對數據進行深入挖掘和分析,這時,對數據的使用授權管理就極為重要。企業需要明確的知道有哪些數據存在與第三方的數據服務交換或者直接把數據發送給了第三方。當有這種情況出現時,企業就變成了數據的控制者,如果由於第三方服務商出現了數據泄露問題,按照GDPR的法規約定,企業作為控制者也同時存在連帶責任。
識別數據的移植和傳輸能力
在GDPR中規定,數據主體(消費者)有權力將個人信息向其他個人或組織進行傳輸。這就要求企業在設計系統架構時,能夠支持數據的格式化處理,並且可移植,以及在多個供應商之間***享數據,同時還需要具備數據安全傳輸的解決方案,以實現在傳輸的過程之中確保數據的加密性、完整性和嚴格的雙向身份認證。
必要時能夠清除個人數據
數據主體的“被遺忘權”也在GDPR中也作為重點提出。企業必須有能力能夠刪除壹些用戶指定的或者用戶不再允許使用的數據。企業應當能夠具備快速的數據定位能力,並刪除定位出來的用戶數據,並且將這部分需要被刪除的數據通知給第三方的數據服務商(如果這部分數據被第三方使用的話)。
具備快速識別並及時報告數據泄露事件的能力
這個能力我覺得非常重要,並且有很大的難度。難點有二:1、企業如何能夠快速識別到自己的數據產生泄露了?縱觀歷史上或者近期的數據泄露案例,企業方基本都是後知後覺;2、企業是否有能力(魄力)在GDPR中規定的72小時之內及時向監管方及數據主體報告數據泄露事件?為什麽說這個能力很難,相信企業管理者都能夠感覺到,其實這並不完全是壹個技術能力。
遵循數據最小化原則
在安全架構設計中有壹個重要原則:最小化權限。即針對業務進行風險評估,僅僅提供能夠滿足業務運行的最小化權限,如盡量少開端口,禁用Root權限等。GDPR中的明確規定了數據最小化的原則,即,盡量少的收集用戶數據,能夠滿足業務需要即可。通俗來講:功能少了,風險自然就少,在數據安全方面也是同理。
針對數據進行匿名化處理
GDPR中對“匿名化”有明確的官方定義。其中有兩次含義:1、以青蓮雲的系統架構舉例,針對用戶和設備不同類型的數據,進行分庫/分類加密存儲,以避免當出現數據泄露的情況下,壹次性泄露全部且完整的用戶個人數據;2、針對敏感數據進行匿名化處理,比如記錄身份證號時,隱藏中間的生日數據段,避免因數據泄露而直接能夠定位或指向某壹個可識別的自然人。
保證網絡通信的機密性和數據完整性
這裏有兩個要點:機密性和完整性。青蓮雲的系統架構中內置自研的物聯網安全接入網關系統,網關不僅僅可以提供多種數據加密方式(AES/DES/SSL等),更能夠針對每壹個數據包進行安全簽名和合法性校驗,從而保證數據在加密傳輸的過程中,能夠抵抗黑客發起的設備重放攻擊行為,實現安全穩定的物聯網數據傳輸。
保證網絡通信的強身份認證
身份認證壹定是雙向而非單向的。對於物聯網行業來說,身份認證主要包含設備與雲端、設備與設備端、客戶端與雲端、客戶端與設備端、雲端與第三方接口以及雲端本身的身份認證幾個方面。在青蓮雲的系統架構中,也是由物聯網安全接入網關系統來實現這壹系列身份認證機制,能夠抵抗黑客發起的設備偽造及其他數據偽造攻擊行為。
重視數據生命周期管理
針對企業的研發流程,微軟提出了SDL(安全開發生命周期),壹***分為7個部分,從培訓到最終的應急響應。針對數據也是如此,企業應當自查,從定義數據格式到采集數據,再到分析展現,直至持久化存儲的生命周期中,是否能夠做到安全可控。畢竟在生命周期的不同環節都面臨不同的安全風險,能夠有效的管理數據生命周期,是企業必備的安全能力之壹。此處建議企業技術負責人仔細學習微軟的SDL流程。
重視企業內部的隱私管控
隱私管控不僅僅限於GDPR,企業應當自查是否具備隱私管控的流程或者技術能力。此處包括但不限於:針對數據存儲的隱私管控、針對OA系統的隱私管控、針對銷售系統的隱私管控、針對辦公網絡的隱私管控、針對移動辦公的隱私管控、針對離職員工的隱私管控、針對存儲數據進行硬件銷毀的隱私管控能力等。
檢查第三方供應商是否符合GDPR
以青蓮雲舉例:青蓮雲為物聯網企業提供安全可信的物聯網私有雲/公有雲服務,但是無論是公有雲還是私有雲,青蓮雲產品作為壹套物聯網安全軟件系統,必須依賴某個雲計算IaaS服務商。因此,企業在考慮第三方供應商是否滿足GDPR合規要求的同時,不僅要考慮第三方供應商自己的安全能力(青蓮雲可以提供真正端到端的物聯網安全解決方案),更需要考慮底層雲計算廠商的GDPR合規性。以雲計算代表亞馬遜AWS和阿裏雲來說,兩家廠商都有標準的GDPR合規性要求說明,同樣值得企業關註。
考慮設置專門的隱私保護人員
在實踐GDPR中,企業不僅僅需要高管人員的重視,同時需要培養專門的隱私保護人員,如首席隱私官(Chief Privacy Officer,CPO),或者是GDPR中明確提出的數據保護官(DPO)。即便企業沒有該職位設置,也應當針對技術負責人、核心員工進行專門的隱私保護培訓,建立相應的隱私保護流程,以滿足GDPR的合規性要求。
具備其他安全合規性要求
企業的信息安全建設絕非壹朝壹夕能夠完成。在關註GDPR之前,企業應當審視是否滿足了國家的其他安全合規要求,比如:網絡安全等級保護。至少在物聯網應用層面,也應當具備壹定的安全防禦能力,並不能理解為我用了阿裏雲,安全就是阿裏雲來保障,更不能認為我的數據是加密的,就等於安全了。安全漏洞的產生更多的是跟業務邏輯相關,不止體現在針對數據的保護上,青蓮雲可以為物聯網企業提供專門的安全咨詢服務(安全培訓+安全測試+物聯網安全解決方案)。
與專業安全公司保持緊密合作
術業有專攻,安全來自於長期的經驗積累和真實的黑客攻防對抗。很多物聯網企業自身不具備組建專業安全團隊的能力,企業應當更關註自身的業務和產品發展,並與安全企業建立長期合作夥伴關系:壹方面可以提升自身業務的安全防護能力,另壹方面也可以通過與安全企業的合作提升員工的安全意識,將安全漏洞扼殺在研發和測試流程中,從而提升量產產品的安全性。