文|藍河
數據安全水深火熱的四月終於過去了,巧的是,一步入五月,GDPR(通用數據保護條例)就要來了。
回顧下四月裡發生在數據安全身上的大事,一個是Facebook事件的持續發酵,一個則是BigID在RSA創新沙盒大賽上摘得桂冠。
事實證明,人們的擔憂並不是無跡可尋,因為就連Facebook事件也不過只是近年來數據安全問題上的九牛一毛而已。
荷蘭SIM卡製造商金雅拓公司於4月16日公佈了一份調查報告,顯示2017年全球失竊、丟失或洩露數據總量達到了26億條,與前年相比同比增長了88%,幾乎翻了一倍。
自2013年數據洩露違規指數調查以來,首次突破20億條。
即便GDPR早已於2016年4月27日就被歐洲議會通過,但是在等待生效的兩年時間裡,全球數據安全顯然愈發動盪,數據洩露事件規模日益擴大,發生日益頻繁。
數據安全和保護問題已然被推上了風口浪尖,成為了超越傳統安全,全球最為重視的安全領域,而這一點,從BigID在RSA大會上奪冠就可以看得出來。
BigID為何能奪冠
在RSA舉辦之前的各種預熱和報道中,沒有人看好過BigID——一家來自以色列專做隱私數據保護的公司。
這家公司成立於2016年,全公司上下只有16人,目前僅有一款平臺類分析產品。為什麼僅憑16個人搗鼓出的默默無聞的產品,就能擊敗在RSA上受到如此的追捧?我們還是得從GDPR說起。
GDPR號稱史上最嚴格的數據保護法案,核心是為了保護歐盟居民的個人數據與隱私。
首先,在該法案中的違規企業將面臨鉅額處罰,最高罰款額可高達2000萬歐元或上一財年公司全球總收入的4%(以較高者為準)。這意味著,就以Facebook事件為例,小扎就要為此面臨鉅額的罰款。
其次,根據GDPR條款,未來涉及用戶數據的企業活動,必須在徵得用戶許可的前提下進行。目前企業常用的獲取用戶數據-分析-設置算法-定向投放-再次收集反饋的模式或許不可持續。
同時,該法案更加明確了消費者對於數據的權力。明確定義了組織內接觸、管理數據的角色和責任,包括:數據控制員(Datacontroller)、數據處理員(Dataprocessor)以及數據保護官(DataProtectionOfficer)。這就使得企業組織架構和崗位的權責必須更加清晰。GDPR還要求企業為消費者提供更加安全便利的服務。根據法案,消費者有權要求,組織刪除或轉移個人數據等等。
而且GDPR的管轄範圍涉及全球,因為無論是哪國的企業,但凡與歐盟公民的數據掛了鉤,那就必須遵從GDPR的監管。
據BigID的官方網站顯示,它的分析產品可以很好的應對GDPR、PI、PII等歐美合規要求,幫助企業更好的確保他們所擁有敏感數據的私密性,減少數據洩露,強化數據的合規保護。
所以,網上有人把這個產品當作是數據沙盒與國際主流的數據合規要求相結合的一款產品。用一句話來總結,就是數據驅動的數據和隱私保護(Data-driven Data Protection & Privacy)。
因此,從這個角度來看,BigID的奪冠就成為了必然之勢。
從這幾年RSAC的熱詞來看,數據安全的關注度一直居高不下,這就足以看出整個大會、整個業界對數據安全的重視程度。伴隨著Facebook事件的醞釀和發酵,以及迎合即將到來的GDPR,BigID這個僅有16人的創業團隊,就這樣帶著他們瑕不掩瑜的產品,站在了數據安全的風口浪尖。
數據安全專家全知科技CEO方興
他表示,自己曾經在阿里負責過觀察創新公司的投資,尤以數據安全方向為主。2017年的時候,他開始關注BigID,並在同年6月前往以色列與BigID的CEO有過交流。整體而言,BigID的創業者是來自於做合規諮詢的團隊,所以在GDPR出臺後直接鎖定了這個方向,敏銳發現要適配GDPR的要求,對數據流的追蹤非常重要,提供了企業數據流追蹤能力。
不過他認為,數據安全的創新與認知應該是國內走在世界前列才對,因為新的數據安全體系和數據業務化息息相關,GDPR是站在主體權利角度提出了要求,但IT時代和DT時代完成GDPR合規是完全不同的能力要求。
國外數據安全認知其實並不在認知前列,比如沒有人去挑戰數據生命週期提出貫徹數據流動全局的方法論,本質原因還是歐美的數據業務化進程其實因為各種要求是落後於國內的。阿里超前的認知與實踐也是因為阿里的數據業務化走的最早最深帶來的。
包括在他和BigID創始人交流的過程中,BigID團隊也始終沒意識到新的數據安全體系,只是單純從滿足企業GDPR合規角度去推導自己產品的功能。而RSA獲獎,實際上只是國際上把BigID作為隱私保護廠商提供了對GDPR合規支持而給予的,並不是認知到新的數據安全體系。
所以雖然BigID奪得了沙盒競賽的冠軍,但實際技術能力並不出眾,只是恰逢其時,又恰逢其事。
如何對數據進行合規保護
GDPR條例中規定,非歐盟成員國公司(包括免費服務)一旦滿足“為了向歐盟境內可識別的自然人提供商品和服務而收集、處理他們的信息”和“為了監控歐盟境內可識別的自然人的活動而收集、處理他們的信息”這兩個條件,就將會受到GDPR的管轄。
這就意味著,這個條例將對中國企業的移動應用安全以及數據收集、處理和交易產生重大影響,而在歐盟境內的中資銀行、商貿機構,以及與歐盟有業務往來的跨境電商平臺需嚴陣以待。
那麼中國企業該如何採取積極有效的措施來應對即將生效的GDPR,方興表示,目前中國的數據業務化其實是走在全球前列的,對數據安全的實踐與認知,特別是阿里,其實也是走在全球前列的。
但數據作為生產資料流動帶來的隱私、主體權利保護、國家安全、業務故障等業務過程風險卻不僅僅只是依靠信息安全cia要素能覆蓋描述和解決的。
其實這些新型的風險,已經開展數據業務化的企業,已經可以逐步碰觸到,只是國內隱私等保護相對於國外較弱。不過目前國內已加強這方面的立法,未來對國內企業特別是數據業務化的企業提出了更多要求。
在DT時代,數據安全和隱私保護這些,已經不僅僅是企業意願問題,更是企業能力問題,當數據形成複雜的流動關係,一個沒有能力追蹤數據流動的企業,是談不上保護自己用戶隱私的。
企業,特別是準備把大數據作為企業戰略的企業,如果想要能夠經得起GDPR的考驗,就必須建立起數據來源去向與血緣流動的追蹤能力是數據業務化的基礎能力,即使還沒到數據業務化階段的企業,對數據使用和流動也需要建立起監控能力。
GDPR催生數據安全新認知
在方興看來,GDPR將會引領全球聚焦數據安全,而對於數據安全的認知上也將會發生一定的變化。
GDPR從更大範圍和視角催生了對新的數據安全的認知(以前說的數據安全本質只是信息在數據載體上的信息安全),而不僅僅只依靠數據業務化走在前面的企業被倒逼的實踐。
越來越多的企業通過GDPR開始認知到無法把數據只當作資產進行安全的管理,必須從各種風險視角追蹤數據在各個系統之間流動的風險。
IT時代的數據安全的理念和方法論、產品體系其實都遠遠滯後於DT時代的需求,極其需要創新的視角和產品,數據安全也會迎來一個嶄新的廣闊天地
“數據安全是我認為目前在cyber安全體系中,未來在需求廣度上可以和信息安全比肩,但還處於完全藍海階段的方向。”
總而言之,GDPR絕不僅僅只是一個挑戰,更為中國企業提供了一個可以審視自己並能獲得更大發展的全新機遇和方向。
閱讀更多 安在信息安全新媒體 的文章
