在萬物互聯時代,有一些職業可能對於大眾來說既熟悉又陌生,例如手機、家用電器、智能家居設備的工程師、產品開發者。隨著設備連接更多人們的生活,誕生的個人信息和數據也隨著大量增加,對於企業和產品開發者來說,無疑要面臨巨大的信息利用和安全管理危機。
物聯網產品開發,最容易忽視信息安全
據報告顯示,中國目前已超過10億互聯網用戶,而每個人可能同時有多種智能設備聯網,所以可能演變成50億臺,可能是100億臺的設備互聯,這麼多設備產生的數據會讓一個人變得越來越透明。當雲時代來臨,這些個人用戶信息能不能保證足夠的安全,這將決定一個物聯網產品的生命力,甚至嚴重影響一個企業的成敗。
在開發的過程,需對產品的代碼、系統接口監控、系統維護方案、數據監控、數據分析和清理等做出整體評估後才能正式發佈提供給客戶使用。而上線發佈後的信息調用、數據反饋、服務器監控跟蹤等流程,成為個人數據洩露或信息被入侵的一大途徑。
信息安全,簡單可以分成三層面:
信息層面:簡單來說是專注通信加密,密碼加固等傳統的安全領域。
用戶層面:也就是說用戶信息存儲到了服務器上,企業要如何保證隱私不受侵犯。
架構層面:就是如何保證信息不丟。
很多企業或者開發者,往往只在第一個信息層面進行了安全保護,而且還不一定採用了最新最高級的通信加密的技術標準或者協議,就對外宣佈產品的加密性極高,一旦被曝光漏洞,基本“背鍋”的就是產品開發相關人員了。
物聯網產品開發,最難是技術要求合規
有人常說,做產品最困難的是創意。
其實,創意無處不在,而對於做物聯網產品的來說,最難的是技術層面是否合規,往深一點去想,更慘的是告訴你不合規,你也不知道如何去改正。
在技術法規法律方面,其實早已推出一些重要的國際標準協議。BSI英國標準協會在2009年正式發佈個人信息管理體系(PIMS,BS 10012),是一套對個人信息進行保護的管理體系,主要針對管理或使用個人信息的企業或組織,目的是保護個人隱私。此標準具體說明了對個人信息管理體系的各項要求,降低組織運營與合規方面的風險。
歐盟即將於 2018 年5 月25 日全面實施《一般數據保護法案(GDPR)》,法案明確要求不論直接或間接識別到個人的資料,都屬於個人數據範圍,政府或者民間組織,均有義務保護因為業務需要,所蒐集、處理、利用的個人數據。
那麼,大家會以為,找一些法律顧問團隊,不就足夠完成信息安全了嗎?
舉例說,最近陷入信息安全風波的Facebook,在5月召開大會,推出“一鍵清除”的新功能,方便用戶快速清除瀏覽信息和大量減少接受廣告信息投放,並且還準備針對歐盟數據法案,發佈更多相應的隱私控制細節。
這樣的平臺巨頭,不缺產品創意,不缺用戶數量、不缺需求反映,卻摔倒在“信息安全”層面上。可想而知,在大數據時代,只靠一個法律顧問團隊,是遠遠不夠的。因為消費者完全不清楚自己把什麼數據交給了廠商,也不知道廠商如何處理這些數據,安全不能得到保障,一旦口碑被毀,那麼或者用戶將不再信任你,不敢選擇你,如果沒有從根本性的解決信息安全保護,必將付出慘重的代價。
所以,只瞭解歐盟個人隱私保護法律條款還不夠,因為目前企業最急需解決的問題——技術方面如何解決產品、服務合規這一難題。
那麼又會有人認為,信息安全就是互聯網安全公司乾的事,其實任何一家互聯網公司,包括現在做硬件的公司,都最終會變成一個互聯網服務型公司,用戶會使用這些設備產生大量的數據。所以,任何一家互聯網公司都有責任保護用戶信息的安全,要在雲端對用戶數據進行足夠強度的加密,包括安全存儲和安全傳輸,其中涉及到很多知識點和成本。
對於知識點來講,企業不知道自己所掌握的這些知識點和信息安全方法是不是足以滿足目前的法規或者標準要求;從成本上來講,做好這些防患於未然的準備工作是很耗費財力精力的,在不清楚標準要求,法規要求的前提下,不會也不應該貿然投入,以免導致資源浪費。
信息安全不是一家公司的問題,也不是幾家安全公司的問題,而是從巨頭到各互聯網公司以及產品供應商、服務提供商,大家要共同推動的事情。而隨著國內外交易與產品推廣的加速發展,信息安全領域的優化,迫在眉睫。
物聯網產品開發,更需從技術層面解讀GDPR法案
當一般企業或者個人在應對GDPR法案時,目前一些法務機構可以從法律層面上來解讀,企業的產品哪裡是合法的,哪裡是不合法的,但是從產品開發的技術角度來說,如何讓它變的合法,這就需要像SCA聯盟這樣的專業技術服務機構提供關於企業產品符合GDPR要求的產品開發技術合規性諮詢啦。
2018年6月11日在上海證大美爵酒店,即將召開由SCA聯盟主辦的“GDPR歐盟一般數據保護法案(歐盟個人隱私保護法)基礎解析會議”。從框架層面介紹如何從技術上滿足GDPR的要求。提升對於個人數據管理活動的瞭解,協助組織推動相關開發和管理工作,以及瞭解現行個人數據管理與國際標準和法律、法規之間的差異,持續強化管理能力。
歡迎從事管理體系活動、公司治理、產品技術開發、政策制定經理人、管理體系代表、審核員、運營風險管理相關經理人、法務與合規人員等人士報名參會。
關於SCA安全通信聯盟:
SCA安全通信聯盟簡稱SCA,由安全通信和安全身份認證產業鏈中不同業務層面的企業決策層人員共同發起組成的一箇中立、專業、開放的業務、技術、趨勢等信息交流和產品服務平臺,目前聯盟擁有來自6個國家的50多家企業成員。
SCA是全球首家牽頭制定符合國際信息安全標準ISO15408(Common Criteria)的智能家居信息安全國際技術規範的機構,與國際信息安全領域專家有著積極的溝通與交流。
閱讀更多 千家智客 的文章
