在上壹篇文章(深度整理|歐盟通用數據保護法案(GDPR)的核心要點)中,我為大家分享了GDPR法案的核心要點,讓企業直觀地了解GDPR是什麽,以及它會對未來的業務產生什麽影響。本文將圍繞GDPR的核心觀點,深入分析物聯網產業中的企業應該如何應對。這裏的應對方案涉及到很多環節,比如系統架構、人員管理、流程管理、風險評估、業務邏輯、應急響應等。由於不同企業的具體經營情況不同,以下內容可以作為物聯網企業自查的分析方法。
物聯網行業的特殊性在於很多設備沒有聯網,因此不存在用戶隱私泄露的風險。現在設備聯網是大勢所趨。數據的控制者和處理者會直接或間接接觸到大量的個人用戶數據,如姓名、性別、年齡、身份證號、手機號等。另壹方面,因為需要對設備和用戶數據進行運營畫像和監控,會收集更多關於用戶行為的隱私數據。因此,GDPR對物聯網企業的影響仍然非常深遠和重要。
作為壹家物聯網安全解決方案公司,青聯雲在網絡安全、雲安全、黑客攻防對抗、數據隱私保護等領域積累了多年的經驗,為國內物聯網企業在實施GDPR後總結了以下幾點,可以作為企業踐行GDPR合規的參考方向,與大家分享。
國內物聯網企業應對GDPR的建議:
1,企業高管的直接關註
2.合理區分數據控制器和數據處理器。
3.從設計開始就保護隱私。
4.明確獲得客戶的數據授權同意。
5.識別數據的存儲位置。
6.識別數據的類型和風險。
7.使用身份數據的授權
8.移植和傳輸識別數據的能力
9.必要時可以清除個人數據。
10,具備快速識別並及時報告數據泄露事件的能力。
11,遵循數據最小化原則。
12.匿名化數據。
13.確保網絡通信的保密性和數據完整性。
14,確保網絡通信的強認證。
15,重視數據生命周期管理
16.重視企業內部的隱私控制。
17.檢查第三方供應商是否符合GDPR。
18.考慮設立專門的隱私保護人員。
19,符合其他安全要求。
20.與專業保安公司保持密切合作。
企業高管的直接關註
無論是GDPR還是其他法規對安全合規性的要求,都與企業的管理/R&D過程更密切相關。內部流程的推進,更多的取決於企業高管的重視和實際決心。推動壹個流程的正確實施,需要自上而下有序進行。如果企業的高管沒有意識到或不夠重視推動合規進程,往往會浪費大量的人力時間和成本,也會影響正常業務的進度。所以我們把企業高管的重要性放在第壹位。
合理區分數據控制器和數據處理器
控制器和處理器在GDPR有清晰的描述。在GDPR的實踐中,企業首先要明確自己是屬於數據的控制者還是處理者,這壹點非常重要。舉個例子,如果壹個企業使用Google Analytics(或者其他第三方數據分析服務提供商)來分析網站的用戶行為,那麽這個企業就是數據的控制者,Google Analytics就是數據的處理者。當數據主體(消費者)根據GDPR的要求執行“被遺忘權”時,企業有責任履行用戶的法律要求,企業應當能夠刪除交給第三方數據分析服務提供商的用戶個人數據。
從設計開始就保護隱私
每棵橡樹都必須是橡子。原因很簡單。安全是IT系統的基石。如果基礎IT系統存在安全漏洞,特別是對於物聯網行業,關於業務邏輯的安全問題不是批量遠程升級就能解決的。物聯網企業在系統架構設計之初就應該將安全因素納入架構設計的範圍。讓安全從前期介入,避免後期因安全事故造成更嚴重的企業損失。
明確獲得客戶的數據授權同意。
GDPR在這裏也有明確的描述,要求企業用非常明顯直白的方式(類似於APP的授權)告訴客戶會收集哪些數據,尤其是針對未成年人的物聯網產品(如兒童手表、兒童故事機等)。),相關數據只能在監護人直接授權的情況下收集。
確定存儲數據的位置
數據是企業IT資產的壹部分。在實施GDPR之前,企業必須做的壹件事是確定數據存在於何處。物聯網的底層架構是雲計算,使用不同的數據存儲技術存儲不同類型的數據,比如Redis存儲緩存數據,Hadoop存儲離線的大日誌文件,Cassandra存儲壹些碎片化的小文件。企業技術負責人必須清楚地認識到內部使用的是哪些數據存儲技術或組件,不同的組件存儲的是什麽樣的數據。識別“數據戰場”是數據隱私保護的第壹步。
識別數據的類型和風險
當數據存儲的位置被清楚地識別時,有必要評估數據資產的風險。想想企業存儲的數據類型:比如個人身份數據、定位數據、行為數據、財務數據。數據的類型有哪些:整數?浮點型?布爾型?圖片/視頻?不同數據的泄露風險有哪些:比如用戶的信用卡會被盜刷嗎?會導致用戶受到垃圾郵件的攻擊嗎?會導致用戶身份被假冒?會不會導致用戶行蹤被追蹤?等等,根據企業建立的數據風險模型,可以為未來安全解決方案的針對性部署提供有力支持。
使用身份數據的授權
在大多數數據使用場景中,企業並不是唯壹對數據擁有完全控制權和處理權的企業。在大數據解決方案中,往往需要借助外部第三方企業的能力,對數據進行深度挖掘和分析。這時,數據使用的授權管理就顯得極為重要。企業需要清楚的知道有哪些數據存在才能和第三方交換數據服務或者直接發送數據給第三方。當這種情況發生時,企業就成了數據的控制者。如果因為第三方服務商而出現數據泄露問題,根據GDPR的規定,作為控制方的企業也負有連帶責任。
識別數據遷移和傳輸的能力
GDPR規定,數據主體(消費者)有權將個人信息傳輸給其他個人或組織。這就要求企業在設計系統架構時支持數據格式化和可移植性,並在多個供應商之間共享數據。同時,他們還需要有壹套數據安全傳輸的解決方案,保證數據在傳輸過程中的加密性、完整性和嚴格的雙向認證。
必要時可以清除個人數據。
數據主體的“被遺忘的權利”也是GDPR提出的壹個重點。企業必須能夠刪除用戶指定的或用戶不再允許使用的壹些數據。企業應該能夠快速定位數據,並刪除定位的用戶數據,並通知第三方數據服務提供商要刪除的數據(如果該數據被第三方使用)。
具備快速識別和及時報告數據泄露事件的能力。
我覺得這個能力很重要,也很難。有兩個難點:1。企業如何快速認識到自己的數據被泄露了?縱觀歷史或近期的數據泄露案例,企業基本都是知曉的;2.企業是否有能力(勇氣)在GDPR規定的72小時內向監管機構和數據主體報告數據泄露事件?為什麽這個能力很難?相信企業管理者都能感受到。其實也不完全是技術能力。
遵循數據最小化的原則
安全架構的設計有壹個重要原則:最小化權限。也就是說,對業務進行風險評估,只提供能夠滿足業務操作的最低權限,比如盡量少開端口,禁用Root權限等。GDPR明確規定了數據最小化原則,即在滿足業務需求的情況下,盡可能少地收集用戶數據。壹般來說,功能越少,風險自然就越少,數據安全也是如此。
匿名化數據。
在GDPR,“匿名”有壹個明確的官方定義。有兩個意思:1。以青蓮雲的系統架構為例,對用戶和設備的不同類型數據進行數據庫/分類加密存儲,避免壹次性泄露用戶全部、完整的個人數據,以防數據泄露;2.對敏感數據進行匿名化處理,如記錄身份證號時隱藏中間生日數據段,避免因數據泄露而無法直接定位或指向可識別的自然人。
確保網絡通信的保密性和數據完整性。
這裏主要有兩點:保密性和完整性。青蓮雲的系統架構中內置了自主研發的物聯網安全接入網關系統。該網關不僅可以提供多種數據加密方法(AES/DES/SSL等。),還要對每個數據包進行安全簽名和合法性檢查,從而保證數據在加密傳輸過程中能夠抵禦黑客發起的設備重放攻擊,實現安全穩定的物聯網數據傳輸。
確保網絡通信的強身份認證。
認證必須是雙向的,而不是單向的。對於物聯網行業,身份認證主要包括設備與雲、設備與設備、客戶端與雲、客戶端與設備、雲與第三方接口,以及雲本身的身份認證。在青蓮雲的系統架構中,這壹系列的身份認證機制也是通過物聯網安全接入網關系統來實現的,可以抵禦黑客發起的設備偽造等數據偽造攻擊。
重視數據生命周期管理
針對企業的R&D過程,微軟提出了SDL (Safety Development Lifecycle),分為七個部分,從培訓到最後的應急響應。數據也是如此。企業要檢查從定義數據格式到采集數據,再到分析展示,再到持久存儲的生命周期中,是否能夠做到安全可控。畢竟生命周期的不同環節面臨不同的安全風險,有效管理數據生命周期是企業必備的安全能力之壹。這裏建議企業的技術負責人仔細研究壹下微軟的SDL過程。
重視企業內部的隱私控制。
隱私控制不僅限於GDPR,企業應該檢查自己是否有隱私控制的流程或技術能力。包括但不限於:數據存儲隱私控制、OA系統隱私控制、銷售系統隱私控制、辦公網絡隱私控制、移動辦公隱私控制、離職員工隱私控制、存儲數據硬件銷毀隱私控制能力等。
檢查第三方供應商是否符合GDPR。
以青蓮雲為例:青蓮雲為IOT企業提供安全可信的私有雲/公有雲服務,但無論是公有雲還是私有雲,青蓮雲產品作為壹套物聯網安全軟件系統,都必須依托於壹家雲計算IaaS服務商。因此,企業在考慮第三方供應商是否滿足GDPR合規要求時,不僅要考慮第三方供應商自身的安全能力(青聯雲可以為物聯網提供真正端到端的安全解決方案),還要考慮底層雲計算廠商的GDPR合規性。以雲計算為代表的亞馬遜AWS和阿裏雲,兩家廠商都有標準的GDPR合規要求,也值得企業關註。
考慮設立專門的隱私保護人員。
在GDPR的實踐中,企業不僅需要高層管理者的重視,還需要培養專門的隱私保護人員,如GDPR明確提出的首席隱私官(CPO)或數據保護官(DPO)。即使企業沒有這個崗位,也要對技術負責人和核心員工進行專門的隱私保護培訓,建立相應的隱私保護流程,滿足GDPR的合規要求。
有其他安全合規要求。
企業的信息安全建設永遠不可能壹蹴而就。在關註GDPR之前,企業應檢查其是否滿足其他國家安全合規要求,如網絡安全級別保護。至少在物聯網的應用層面,我也應該具備壹定的安全防禦能力。不能理解為我用的是阿裏雲,安全是阿裏雲保證的。我不能認為我的數據被加密了,就意味著安全。安全漏洞的出現更多的是與業務邏輯有關,而不僅僅是在數據的保護上。青聯雲可以為物聯網企業提供專業化的安全咨詢服務(安全培訓+安全測試+物聯網安全解決方案)。
與專業保安公司保持密切合作。
術業有專攻,安全來自長期的經驗積累和真實的黑客攻防對抗。很多物聯網企業本身不具備組建專業安全團隊的能力。企業應該更加重視自身的業務和產品開發,與安防企業建立長期的合作夥伴關系:壹方面可以提高企業的業務安全防護能力,另壹方面也可以通過與安防企業的合作,增強員工的安全意識,在R&D和檢測過程中扼殺安全漏洞,從而提高量產產品的安全性。