知識星球安永近日釋出的一份報告披露,來自全球17%的受訪企業表示,即使出現了影響到客戶資訊的漏洞,他們也不會通知所有客戶。10%的企業表示,他們甚至不會通知受到影響的客戶。
3月27日,《安永第20屆全球資訊保安調查報告GISS:重鑄網路安全,直面網路攻擊》(下稱《報告》)在上海正式釋出。該報告就網路安全管理工作最迫切的關註點,對近1200名全球企業高管進行了調研訪談。
安永多位資訊保安諮詢服務高管在與媒體交流時表示,網際網路公司與傳統企業相比,收集了更多的個人資訊,這樣的公司需要特別關註企業內部對資訊的管控,防止資訊洩露到企業之外。對會使用這些資訊的第三方,企業需要定期做一些盡職調查,保證第三方的資訊管控和企業內部相同標準。此外根據調查,大部分的企業對需要承擔的法律責任依舊模糊不清,沒有考慮過第三方執法因素。
防止使用者資訊洩露,網際網路企業應定期對第三方進行盡職調查
針對網路平臺近來高發的使用者資料洩露問題,安永風險諮詢服務合夥人胡立基表示,越是使用者個人資料多的公司,越要特別去關註企業內部是否有足夠的管控,防範企業內部的資訊洩露到企業之外。一旦洩露事件發生,企業有沒有相應計劃能把對公司和個人的影響降到最低,從而進行整改。
胡立基還提到,網際網路企業經常與第三方外包商合作,將大量使用者個人資料發給外包商處理。但後來安永發現,如果企業把資料發給外包商,外包商則應該對這些資料擁有和企業一樣的管控程度。因此企業需要對第三方進行管理,包括定期對第三方做一些盡職調查等,保證專案在外包商那裡是可行的。
普通使用者應該瞭解自己的個人隱私權利有哪些,閱讀網路平臺隱私條款
關於當下很多電子商務和社交平臺網站過多獲取了使用者的個人隱私資訊,安永資訊保安高管認為,安全和隱私是相輔相成的。一方面網路平臺作為使用者個人資訊的託管者,洩露了使用者資訊需要依法受到懲處,另一方面個人也應該瞭解隱私權作為我們個人的權利具體都是什麼,這也可以反過來推動平臺改善企業在使用者隱私方面的做法。
1月24日,《資訊保安技術個人資訊保安規範》全文在國家標準全文公開系統上線,即將於5月1日正式實施。該規範屬於推薦性國家標準,對個人資訊的收集、儲存、使用、轉讓等環節進行了規定。
針對網際網路公司透過大資料和演演算法,向用戶精準推送合適的內容,安永大中華區資訊保安諮詢服務合夥人阮祺康表示:安全跟隱私是相輔相成的。普通使用者應該知道自己個人隱私權利是什麼。他專門提到《資訊保安技術個人資訊保安規範》中對此都有詳細的標準。
阮祺康具體解釋道:使用者個人隱私權,包括使用者的資料必須要經過同意才能給企業;企業拿這些資料用於什麼目的,也需要告訴使用者。如果使用者不想讓企業分析自己的資料,也有權利讓企業刪掉。因此,使用者在用網路平臺的時候,必須要讀清楚隱私條款,並且可以不同意。比如同意隱私條款之後,平臺可能會向用戶推送一些廣告,那麼這些廣告要使用者同意才可以定向推廣,如果使用者不同意就不能推廣。
大多數企業沒有考慮過第三方執法因素
2017年6月《中華人民共和國網路安全法》生效,對企業的網路安全管理做出了要求;《資訊保安技術個人資訊保安規範》也將於5月1日正式實施。此外,《歐盟通用資料保護條例》(GDPR)將於5月25日正式生效。企業需要在這些資訊保安相關法律的指導下,確保自己的商業行為合規合法。
但根據《報告》調查統計的結果,雖然總體來說,全球有69%的企業都具備某種形式的安全事件響應能力,但很多企業對其需要承擔的法律責任依舊模糊不清。
17%的受訪企業表示,即使出現了影響到客戶資訊的漏洞,他們也不會通知所有客戶。10%的企業表示,他們甚至不會通知受到影響的客戶。
只有8%的企業在資訊保安事件應對計劃中,充分考慮過第三方執法的因素。56%的企業表示,對於導致資料外洩的安全事件,他們會在1個月內透過媒體發表公開宣告。安永認為這個反應時間依舊偏長。
此外,17%的受訪企業表示,即使出現了影響到客戶資訊的漏洞,他們也不會通知所有客戶。10%的企業表示,他們甚至不會通知受到影響的客戶。
企業防禦遭到攻破只是時間問題
阮祺康表示,現在的企業對資訊保安的投入是普遍增加的,其中有很多國外企業,為此投入了大量的預算。“相對來說,在中國我看到還可以再投入多一點。”
《報告》認為,企業的防禦網路遭到攻破只是時間問題,因此對企業來說響應機制十分重要。能夠認清這一點併在此基礎上運營的企業是明智的。如果企業具備一套能夠在發現漏洞時自動啟動的網路漏洞響應計劃(CBRP),特別是如果能在早期發現入侵事件,就能最大程度減輕網路安全事件的影響。
CBRP必須改寫整個企業,不僅限於傳統的技術部門,而涵蓋運營、技術、媒體、等多個部門,貫穿於企業經營流程始終,而且要有具有相關經驗和知識的人來管理企業在運營和戰略層面的響應。因此對相關人才,以及對員工的培訓要求提出了新的挑戰。
阮祺康解釋稱,傳統的企業做法是將資訊保安保護作為IT部門的一個分支,因此與IT的投入相比,資訊保安在以前投入不高,但現在資訊保安已經成為法律和風險管理的議題。公司除了技術,在管理方面也加大了投入。他還提到,如果員工有安全意識,比如收到比較敏感的郵件、檔案,不會亂髮出去,又或者網上銀行賬號設定比較複雜的密碼等,其他的工作相對就會事半功倍。我們認為資訊保安其實到最後人才是最重要的環節。
*來源:澎湃新聞
更多資訊
◈ 捷克將被指控入侵LinkedIn的駭客引渡到美國
http://t.cn/Rnrph11
◈ 微軟釋出補丁修補 Meltdown 補丁帶來的漏洞
http://t.cn/Rnrp7Yk
◈ 用加密貨幣對抗垃圾郵件也許並不是個好主意
http://t.cn/RnrpziA
◈ Adobe新活動將協助60家公司透過裝置追蹤使用者資料
http://t.cn/RnrpZ7c
(資訊來源於網路,安華金和蒐集整理)
