數據隱私保護

漕文華

承認數據隱私的重要性是一回事，但采取步驟找出可能破壞隱私的潛在方式，并制定解決問題的步驟，這完全是另一回事。

如今的數據如此之多，在為我們帶來便利和好處的同時也會帶來很多困擾和威脅。IBM最新的數據泄露報告顯示，在美國的平均數據泄露成本高達940萬美元。此外，60 %的小企業在數據泄露6個月內倒閉。同樣，2022年IDC關于的一份報告發現，83 %的組織經歷了勒索軟件攻擊導致的數據損壞，近60 %的組織因此經歷了無法恢復的數據災難。

保持數據隱私說起來容易做起來難，這里有一些專家的建議，可以幫助您在自己的數據隱私計劃上取得進展。

檢查云設置

希捷信息安全副總裁兼首席信息安全官（CISO）Brad Jones表示，數據正在以前所未有的速度和規模遷移到云，但云給數據隱私帶來了挑戰。

首先也是最重要的，用戶應該發現并修復云中的任何錯誤配置。“企業需要在其整個云基礎架構中優先考慮法規遵從性。云配置中的錯誤可能意味著員工只需單擊一下就會意外暴露整個數據庫，并使組織面臨監管風險和聲譽損害。用戶還可以通過對敏感數據進行屬性分類來增強隱私保護”。Jones說：“這可能很簡單，就像服務器或存儲位置上的標記映射到應用程序所包含的最敏感數據級別，或者一些平臺作為服務提供商提供的更細粒度的對象或數據庫級別。”

人類會犯錯

Poll Everywhere的業務合規總監Alec Nuez認為人為錯誤一直是并將繼續是數據安全問題的頭號原因。“最低權限原則是所有公司在降低數據安全風險時可以建立的一個重要基礎。這一概念表明，用戶或實體只能訪問執行任務所需的數據、資源和應用程序。換句話說，只為個人提供他們實際需要的訪問權限，這是一個基本的想法，但它將具有巨大的影響，應該滲透到組織的系統中。”

數據是頭等大事

視頻會議平臺Zerify的聯合創始人兼執行副總裁George Waller表示：“記住我們試圖保護的內容很重要，那就是數據。今天最有價值的商品是數據。組織使用視頻會議討論并購、法律、醫療保健、知識產權和其他主題，甚至是公司戰略。幾乎所有這些數據都屬于合規監管機構，因為它們被認為是敏感的、私密的，甚至是機密的。這樣的數據丟失對公司、員工和客戶來說可能是災難性的。”

人是關鍵

電信欺詐預防公司CertifID的首席執行官Tyler Adams表示，花時間思考人員和流程很重要，而不僅僅是技術。

Adams警告說：“社會工程可以繞過任何數據隱私技術。制定一個多層次的防御策略，其中包括在不可想象的事情發生時的快速反應計劃。并且，培養一種文化，用教育降低人為錯誤而不是懲罰，這是我們變得更好的唯一途徑。”

檢查安全策略

NetBrain工程部高級副總裁Song Peng表示：“安全和隱私是相互關聯的，薄弱的安全政策可能會無意中引發組織對隱私的擔憂。希望更好地保護客戶數據的組織應該考慮如何驗證其安全策略、控制和配置。即使是最好的安全硬件和軟件，隨著時間的推移也會產生漏洞，這通常是其他IT活動的意外后果。隨著基于云的服務產生了更大的攻擊面，需要不斷驗證安全配置文件是否完整。”

啟動數據治理項目

Informatica市場營銷副總裁Dharma Kuthanur表示，延遲實施數據治理項目的風險自負。當今大多數企業都在處理數百甚至數千個數據源（而且有跡象表明，數據源只會不斷增加）。因此，一個全面的數據治理框架和同樣嚴格的數據管理不應該有任何中斷或懈怠。他說：“為了幫助降低聲譽風險和財務風險，并維護客戶的信任和忠誠度，各組織必須投資一個數據管理解決方案，該解決方案能夠在其數據生態系統中始終如一、可靠地自動化數據隱私、保護和治理。”

采用PET

隨著數據隱私需求的增長，我們在該領域的技術能力也在增長。

integrate.ai首席技術官Karl Martin表示：“最有希望關注的新技術之一是隱私增強技術（Privacy-Enhancing technology，PET）。隨著隱私法規的發展，PET日益成熟和使用，在降低移動大量數據的固有風險和成本方面取得了重大進展。采用通過設計體現隱私框架的組織，包括促進互操作性而不需要數據移動的聯合學習操作，使數據科學具有高度的隱私保護性，并防止未來對法規的更改。PET有潛力促進基于信任的數據交換，同時仍能確保法規遵從性。”

沒有萬能藥

加密解決方案提供商Vaultree的首席運營官兼聯合創始人Tilo Weigandt表示：“數據隱私是一個復雜的問題，沒有適合所有人的通用解決方案。“例如，由人工智能和機器學習支持的零信任框架并不是最好地保護數據的唯一解決方案。其他方法包括使用加密、實施嚴格的訪問控制以及定期監控和審計系統，組織應咨詢專家，以確定滿足其特定需求和要求的最佳方法，尤其是在數據隱私規則肯定會更加嚴格的情況下。”

日趨嚴格的法規

Egnyte首席治理官Jeff Sizemore表示，預計到2024年，全球7 5%的人口將受到現代數據隱私法規的保護。他說：“越來越多的人認為數據隱私是一項全球人權，侵犯數據隱私會帶來嚴重后果。在美國，5個州（加利福尼亞州、弗吉尼亞州、科羅拉多州、康涅狄格州和猶他州）今年已經制定或計劃制定數據隱私立法。而制定聯邦法律只是時間問題，因為已經看到了《美國數據隱私和保護法（ADPPA）》的積極勢頭。毫無疑問，隨著政府實體和監管機構對數據隱私越來越感興趣，可以預期會有更強的執法機制。法規的執行將變得更加嚴格，罰款和違規訴訟預計會增加。”

讓每一天都成為“數據隱私日”

Skyhigh Security全球云線程負責人Rodman Ramezanian表示，設立“數據隱私日”甚至“數據隱私周”都很好。但是，讓每天都是數據隱私日怎么樣？

與大多數新年立志一樣，數據隱私保護的這些努力不能僅僅持續一周或在一年之初。必須以堅定不移的承諾，全年優先考慮這些努力。可悲的是，當組織“目光不集中”，注意力不集中時，可能會損害其寶貴數據的隱私和安全。”