【IT168 评论】一年一度的RSA Conference信息安全峰会可以算是网络安全圈的一大盛典,吸引着全球的网络安全厂商、业界专家以及安全行业从业者。大家聚在一起分享新技术、探讨新趋势,互相学习、共同成长。2018年的RSAC,如果你没能去现场亲自感受盛典的精彩,就请跟随山石网科RSAC系列札记的脚步,一睹展会亮点,听资深安全专家分析厂商动态及安全趋势。
2018 RSAC札记系列之一 | 从GDPR看全球数据安全趋势
RSA Conference 2018顺利闭幕,如果说要为本届RSAC总结几个关键词,GDPR一定是其中之一,并且是排在第一位的。从Keynote主题演讲,到各主流安全厂商产品、方案,GDPR无不被大量提及,甚至有些与数据安全并无直接关系的厂商为了吸引观众驻足,特地设置Session与奖品来讲解GDPR,这足以说明GDPR有多热。
GDPR,全称General Data Protection Regulation(通用数据保护条例),是欧盟2016年4月通过的关于个人隐私信息与数据安全的一项法规。该法规将于2018年5月25日起正式执行,一旦开始执行,无论公司总部在哪里、数据存储与处理在哪里,只要涉及与欧盟进行商品交易,或收集、处理欧洲居民的个人信息或行为,就必须遵从GDPR。实际上,除非将欧盟市场排除在外,否则就在GDPR的管辖范围。这个规范厉害的地方就在于它的强制性,欧盟每个国家都成立了监管机构执行GDPR,一旦确认企业违法,将面临最高2000万欧元或全球年收入4%的罚款。正因为此,腾讯本月14号发布对外公告,将于5月20日起停止欧洲的QQ服务,在GDPR公布2年的缓冲期后,无所不能的腾讯面对GDPR,首要做的不是如何去合法,而是选择回避,这足以见得GDPR的威力。
相比GDPR的细节更值得研究的问题是:
为什么欧洲在这个时间点推出GDPR并强制执行?
GDPR会对全球其它的区域或国家造成怎样的影响?
对企业和用户来说意味着什么?
本月初,Facebook宣布在Cambridge Analytica数据泄露事件中受影响的用户数量是8700万,而此前Mark Zuckerburg在美国国会听证会上时表示他自己的个人数据也遭泄露。这次泄露事件对Facebook的影响首先体现在市值蒸发几百亿美元,其次就是即将面临的巨额罚款。再往前看,近两年内,国内外数据泄露事件数不胜数,国内的各大互联网公司也是轮流上榜,随便搜索一下就能找到很多,并且数据泄露事件的规模和密度有越来越严重的趋势,这从Verizon及IBM的研究报告中也可以看出来。
在数据安全领域,除去国家机密外,通常大家把数据分类为个人信息和商业信息。后者,通常是指企业的技术与经营信息,这些信息对企业非常重要,要是数据泄露,轻则损失收益与品牌信用,重则公司倒闭。同时,企业的技术和经营信息是属于企业的“私域”,政府一般无权管理,商业信息又是企业经营的命根,所以各个企业都有很强的动机来部署相关的数据安全方案来提高其安全性。但是在个人信息领域则不然,我们为了各种服务的方便,不得不把个人信息提交给服务商,甚至有时候在未经我们同意的情况下,有些手机App就在后台收集个人信息,甚至监听用户的文字、语音输入与上网行为,这里就不点名国内一些有着上亿用户的互联网公司了,这些被收集的个人信息美其名曰为了提升用户体验,实际做了什么,背后进行了什么交易谁知道呢?谁监督呢?就连百度李彦宏都在公开场合大胆地讲我们愿意用隐私换取便利。如果真要进行问卷调查,结果可能与李彦宏的说法相反,很多场景下不是愿不愿意的问题,而是在个人信息领域,个人相对于公司完全处于弱势地位,作为用户,你根本没有选择的余地。
正是出于这些背景欧盟站了出来,提出GDPR,重新确认了个人对于其隐私信息的权利,要求收集、处理个人信息的企业进行严格的数据保护,并对GDPR执行过程进行监督,对违规行为进行严格的惩罚。我们可以预见,欧盟的这一举措会对全球其它地区的个人信息安全保护起到带头作用,美国、中国可能很快会跟进,推出相关的法规并执行。如果要对这个事情进行评价,我们认为这对个人、企业都是好事,这可以保证个人信息在收集时从内容到用意得到个人明确的同意,也保证企业规范运作,在合法合规的框架下利用这些个人数据,防范数据被滥用或泄露。
我们再来看看本届RSA的创新沙盒竞赛。今年的创新沙盒冠军是一家位于以色列专注于数据安全的仅有16人的小公司BigID。BigID成立于2016年,它做数据安全的出发点是个人隐私信息保护,这部分正是GDPR的重心和监管红线。虽然BigID并没有对企业的商业信息进行安全防护,但RSA把冠军颁发给BigID既是对其数据安全产品的肯定,同时,更为重要的是对数据安全尤其是个人隐私信息安全的发展趋势的暗示。这种暗示表明,数据安全对于个人和企业越来越重要,这是未来的大势,如果向用户提供服务,并涉及用户个人信息的企业,若还没有部署数据安全方案的的话,现在是时候认真考虑数据安全的规划了,否则可能面临巨大的业务风险。同样,对于企业商业信息的数据安全也是大趋势,毕竟失去了敏感又重要的商业数据,对于一个企业来说还剩下些什么,又是否承受得起呢?