身份數(shù)據(jù)=企業(yè)的燙手山芋�?
2018年01月05日
數(shù)據(jù)持有成本越來(lái)越高,首要原因在于網(wǎng)絡(luò)攻擊數(shù)量的持續(xù)提升�����。黑客會(huì)從企業(yè)手中大量盜取用戶(hù)身份信息�,并將其銷(xiāo)售至各個(gè)地下黑市。
以美國(guó)三大征信巨頭之一的Equifax公司為例��,2017年10月該公司1.43億用戶(hù)當(dāng)中有250萬(wàn)名遭遇身份信息泄露�����。自2017年5月第一輪網(wǎng)絡(luò)入侵以來(lái)���,黑客們不斷利用同樣的軟件缺陷對(duì)Equifax進(jìn)行攻擊����,該公司則因此持續(xù)遭受身份信息丟失的困擾。2017年5月至9月期間�����,Equifax公司因安全事故蒸發(fā)了約48億美元(約合人民幣312億元)��,并直接導(dǎo)致其商業(yè)聲譽(yù)受損甚至迫使CEO選擇辭去職務(wù)�。Equifax公司數(shù)據(jù)泄露事故只是當(dāng)前嚴(yán)峻形勢(shì)下的冰山一角���。
數(shù)字安全企業(yè)Gemalto公司發(fā)布的最新違規(guī)指數(shù)(簡(jiǎn)稱(chēng)BLI)顯示����,自2013年以來(lái)�����,累計(jì)數(shù)據(jù)記錄泄露量約達(dá)92億條�,在這92億條被盜記錄當(dāng)中,僅有3.68億條是在黑客使用數(shù)據(jù)編碼技術(shù)的情況下所丟失���。
更令人震驚的是����,有價(jià)值身份信息的泄露以3500條/分鐘的速度外泄。在過(guò)去五年當(dāng)中���,約有23%的數(shù)據(jù)泄露事故涉及消費(fèi)者的身份信息�����,例如姓名����、出生日期�����、居住地址以及帳戶(hù)密碼�。而企業(yè)受害者則包括雅虎、eBay以及摩根大通等知名公司�����。
網(wǎng)絡(luò)攻擊活動(dòng)在數(shù)量與復(fù)雜程度方面的持續(xù)增長(zhǎng)���,使得掌握有敏感身份數(shù)據(jù)的企業(yè)高層管理人員對(duì)安全事務(wù)倍感焦慮����。
持續(xù)增長(zhǎng)的監(jiān)管成本除了網(wǎng)絡(luò)攻擊之外,企業(yè)還面臨著日益升級(jí)的監(jiān)管要求��。根據(jù)所在管轄區(qū)的規(guī)定��,當(dāng)企業(yè)在其它國(guó)家開(kāi)展業(yè)務(wù)時(shí)�,亦需要遵守對(duì)應(yīng)的國(guó)際性標(biāo)準(zhǔn)。
銀行業(yè)的合規(guī)性成本正以驚人的速度上漲�。一份報(bào)告發(fā)現(xiàn),2016年全球銀行在合規(guī)性方面花費(fèi)的投入已經(jīng)接近1000億美元(約合人民幣6500億元)���,而為了滿(mǎn)足監(jiān)管要求而投入的開(kāi)銷(xiāo)在過(guò)去四年當(dāng)中已經(jīng)由15%增長(zhǎng)至25%。合規(guī)性帶來(lái)的這種瘋狂的成本增長(zhǎng)勢(shì)必壓縮企業(yè)產(chǎn)品開(kāi)發(fā)的空間�����。
根據(jù)嚴(yán)苛的歐盟《通用數(shù)據(jù)保護(hù)條例(簡(jiǎn)稱(chēng)GDPR)》指導(dǎo)方針�����,掌握有歐盟公民信息的企業(yè)必須采取控制機(jī)制以保護(hù)其個(gè)人數(shù)據(jù)�����。GDPR在本質(zhì)上是對(duì)現(xiàn)有隱私保護(hù)手段的一種強(qiáng)化。
GDPR將于2018年5月25日起開(kāi)始實(shí)施���,未能遵守GDPR要求的企業(yè)可能面臨高達(dá)2000萬(wàn)歐元(約合人民幣1.6億元)或者全球年銷(xiāo)售額的4%的高額罰款(以二者中較高的為準(zhǔn))�。
堅(jiān)持新的監(jiān)管要求與流程對(duì)于企業(yè)而言已經(jīng)是一種沉重的負(fù)擔(dān)�,特別是對(duì)于那些擁有多元化業(yè)務(wù)且業(yè)務(wù)之間存在交集的公司。據(jù)相關(guān)預(yù)測(cè)�,為了購(gòu)買(mǎi)技術(shù)方案以堅(jiān)守GDPR標(biāo)準(zhǔn)并回避高額罰款,全球五百?gòu)?qiáng)企業(yè)將平均投入100萬(wàn)美元(約合人民幣650萬(wàn)元)�。除此之外,各公司還需要考慮長(zhǎng)期人員配置與法律咨詢(xún)費(fèi)用��,從而了解一整套監(jiān)管標(biāo)準(zhǔn)所需要的總體支出情況���。如此夸張的合規(guī)性成本將迫使大型企業(yè)探索其它更具成本效益與創(chuàng)新屬性的監(jiān)管技術(shù)���,或?qū)⒋呱鲂碌摹⑴畈l(fā)展的市場(chǎng)空間�����。
該當(dāng)如何解決?在保護(hù)身份資產(chǎn)的成本遠(yuǎn)大于存儲(chǔ)成本的情況下,企業(yè)必須采取行動(dòng)以緩解或消除相關(guān)風(fēng)險(xiǎn)���。以這方面工作較為完善的銀行業(yè)為例��,為了確?��;乇苤Ц犊ㄌ幚砹鞒讨锌赡艽嬖诘姆N種風(fēng)險(xiǎn),相關(guān)解決方案將卡片信息集中在企業(yè)內(nèi)部進(jìn)行處理��,并以最低限度的明文水平進(jìn)行信用卡號(hào)碼管理�����。其它行業(yè)中的實(shí)體要如何采取類(lèi)似的方法來(lái)保護(hù)自身持有的身份數(shù)據(jù)?這很難想象����。
不過(guò),以比特幣為代表的加密貨幣亦帶來(lái)了解決這類(lèi)難題的潛在技術(shù)手段���。在此類(lèi)模式當(dāng)中,人們可以選擇集中的實(shí)體(例如銀行)管理自己的身份���,但與此同時(shí)又相當(dāng)于實(shí)現(xiàn)了身份自我管理�����。分散的身份模式正在形成�����,與此相對(duì)應(yīng)的分散化網(wǎng)絡(luò)亦在快速壯大��。
對(duì)于個(gè)人及傳統(tǒng)身份服務(wù)供應(yīng)商而言�����,要將這一切轉(zhuǎn)化為現(xiàn)實(shí)(包括更為廣泛地采用點(diǎn)對(duì)點(diǎn)——P2P——信任模式)仍面臨著一系列挑戰(zhàn)����。盡管網(wǎng)絡(luò)攻擊所帶來(lái)的損失以及合規(guī)性遵從成本的暴漲,但同時(shí)也敦促著各大企業(yè)放棄對(duì)大規(guī)模身份信息的直接控制��。
文章來(lái)自:安全資訊
江蘇國(guó)駿信息科技有限公司在信息網(wǎng)絡(luò)安全����、運(yùn)維平臺(tái)建設(shè)、動(dòng)漫設(shè)計(jì)���、軟件研發(fā)�、數(shù)據(jù)中心領(lǐng)域具備十多年的行業(yè)沉淀。公司遵循信息安全整體性的IATF模型��,從“人員素養(yǎng)”����、“制度流程”、“技術(shù)產(chǎn)品”三個(gè)視角提供全面��、可信的方案�,業(yè)務(wù)涵蓋咨詢(xún)、評(píng)估�����、規(guī)劃���、管控��、建設(shè)�����、培訓(xùn)等��。
江蘇國(guó)駿信息科技有限公司——全面可信的信息安全服務(wù)商!
