物聯網企業如何正視安全政策監管

劉詢

Facebook用戶隱私泄露、臺積電工廠病毒感染，“小黑盒”3s破解智能鎖、騰訊云“數據丟失”以及拼多多被“薅羊毛”等，在互聯網、移動互聯網和物聯網領域，有關網絡安全的案例總是不勝枚舉。

安全專家Bruce Schneier曾撰文表示增加網絡安全風險的：個方面，分別是：

系統的軟件控制：越來越多的設備聯網、被軟件控制，意味著可能受到攻擊的數量迅猛增長;

系統間的相互連接：當系統變得相互關聯時，一個系統的漏洞容易牽連其他系統受到攻擊;

自動或自治系統：當聯網設備普遍具有自主能力時，從安全的角度看，這意味攻擊的影響可以立即、自動和廣泛生效。

因此，隨著物聯網發展帶來的海量設備聯網，我們生活在一個更加不安全的網絡世界。

監管的作用

當數據變成金礦，對監管、數據保護和隱私的呼吁就越來越多。監管合規將成為網絡安全的重要因素。而在監管方面最嚴格、最完善的無疑是歐盟議會和歐盟理事會在2016年4月通過，2018年5月開始強制實施的規定——通用數據保護條例（GDPR）。

此處選取幾項條例說明：

企業在收集用戶的個人信息之前，必須以“簡潔、透明且易懂的形式，清晰和平白的語言”向用戶說明將收集哪些信息、如何存儲收集到的信息以及如何使用存儲的信息以及企業的聯系方式。

用戶享有對應的數據訪問權、被遺忘權、限制處理權以及數據攜帶權等權利。

在GDPR下存在2種罰款。第一，未能在發現數據泄露后的72小時內向ICO報告，組織將面臨高達年營業額2%或1000萬歐元的罰款;第二，若違反通用數據保護條例，違規公司將付出年度營業額的4%，或者2000萬歐元（以數目更高者為準）的罰款。

所以谷歌被罰款了，產生了GDPR實施以來的第一例罰款案例。

外媒報道，法國數據保護委員會以違反GDPR為由，對谷歌開出5700萬美元的罰單，稱其未向用戶正確披露其數據如何被收集并用于定向廣告。谷歌也對此回應：“將嚴格遵守透明度和用戶管理以及GDPR的要求，并采取下一步行動。”

對于GDPR是否適用國內企業，條例中也有說明：企業如果有歐盟國家的業務，或者有歐盟國家的用戶使用公司的軟硬件產品，就必須遵守GDPR規則。而且，對于國內企業來說，不只是GDPR，企業應當審視是否滿足《網絡安全等級保護條例》等一些其他安全合規要求。

換句話說，在經濟全球化，企業出海更加頻繁，政府法規趨向嚴格的當下，中國互聯網、物聯網企業十分有必要在數據保護與隱私方面做好準備、制定措施。

企業的安全意識

百度CEO李彥宏曾經提過：“中國人更加開放，或者說對隱私問題沒那么敏感，如果說用隱私來交換效率或者便捷性，很多情況下大家是愿意這么做的。”其實這句話不無道理，也代表一部分企業的態度，但并不意味著企業可以毫無節制，比如一款需要獲取用戶短信、通信錄權限的日歷軟件，用戶自然是要打個問號甚至反感的。

增減權限，這是技術上很好操作的事，但企業關于網絡安全保護的意識是安全建設的關鍵。

企業高管的直接重視

根據美國公司SaiIPoint的2018市場調查報告：“75%的員工承認在帳戶中重復使用密碼。”乍看起來，這似乎與物聯網安全無關，但它可以告訴我們在整體安全風險意識方面，員工依然沒有養成安全相關習慣。在這份報告中，86%的受訪者認為他們的企業需要提高對物聯網威脅的認識。

隨著與物聯網相關的威脅級別和安全挑戰的增加，嚴重的知識缺乏將使企業面臨巨大風險。因此，企業應著力在執行層面上創建安全意識，并培訓相關人員。通俗點說，搞清楚誰將為物聯網安全負責，是CIO，CTO還是CSO，其實是十分重要的一點。

當研究機構就“誰在組織中負責物聯網安全”提出問題時，33%的人選擇CIO，15%的受訪者表示沒有相關職能部門。

優先關注最需要的環節

在報告中，超過50%的IT和安全決策者表示，為了防止物聯網安全攻擊，他們會優先考慮安全解決方案中的一些關鍵功能，比如監控異常行為、漏洞管理等。

也有37%的受訪者表示，他們并不總是能在實施物聯網解決方案之前確定好安全需求。因此Gartner提出，到2020年，物聯網安全增長的最大抑制因素將歸于物聯網規劃中缺乏優先級，缺乏實施安全的最佳實踐和工具。并且因為這些，包含物聯網安全企業、安全標準組織和聯盟組織在內的各方，正在著手建立針對物聯網安全組件的技術標準，希望打造通用架構或者一致的安全策略，幫助用戶優先解決最薄弱的痛點需求。

與專業安全公司緊密合作

未來幾年，企業的業務更加趨向云化，黑客、黑產攻擊的形式越來越多樣，技術手段會越來越強。所以，阿里巴巴達摩院將“數據安全保護技術加速涌現”列入2019十大科技趨勢，一點都不過分。

而且，攻擊通常要比防御簡單得多。如果是攻擊，只要找一個方式就可以了，但如果是防御，就得想出無數的方法，來應對五花八門的攻擊。在這一點，企業與專業安全公司緊密合作就十分必要，一方面是獲得安全防護能力，另一方面是獲得必要的安全咨詢服務。

最后想說，技術的發展迭代永無止境，人的意識與決策才是影響發展的關鍵因素。