前言:前几期,我们谈了数字化转型的方法论和上云的考虑。那么,安全问题谁来负责?厂商们头头是道,我们有最好的技术、最严格的流程规划还有最好的安全专家。可为什么数据安全还是数字时代的最大问题?

如果你不知道什么是云系列的安全问题,看了最近的热门话题就知道了。

“我是不是要给你钱,你才能不泄露我的个人信息?”

“你知道你的用户协议烂透了吗?”

“剑桥分析事件之后,Facebook是否就告知用户进行了讨论?”

“Facebook是整个事件的受害者吗?8700万用户呢?”

“用户离开平台后数据还会保存多久?”

此刻的Facebook CEO 扎克伯格焦头烂额,他正在为“Facebook数据泄露丑闻”接受国会议员们的接连发问,他那些顾左右而言他、且没有信服力的回答显然不能让国会议员们、媒体以及广大公众满意。

无独有偶,英国伯明翰前著名大毒贩aka.Big Time在结束四年刑期接受采访时吐槽:“一部智能手机揣在裤兜里简直就当相当于身上绑了一枚定时炸弹,它甚至比亲妈都了解你。干我们这一行的只使用老款诺基亚,远离那些乱七八糟的APP,远离网络和大数据。”

这位英国大毒贩如果知道中国最近发生的大数据杀熟事件,估计会更加感同身受。这些年国内外频频爆发的数据隐私泄露或者滥用事件,为公众、企业、政府机构敲响了警钟:面对一个已经来临且越来越庞大的数字世界和云世界,数据安全、数据隐私该如何得到保护?

2B和2C界限不同

《经济学人》在《数据是未来的石油》中谈到,数据就是数字时代的优势,而Facebook、Google们全都是以数据为核心的公司,它们以免费的方式为客户提供各种服务,与此同时也尽可能多的收集数据、经营数据、通过数据进行盈利,随着这些公司对数据的掌控力越来越强,消费者在数据上的弱势地位已经愈发明显。

这里要说明一点。互联网公司以“免费”的方式为消费者提供服务的目的是,通过“数据”变现,这是2C领域通常的做法。现在法律法规的界限较为模糊,一般是出了问题之后再推动法律完善。而2B领域的云服务则有完善的法律法规界限,只是提数据服务,而不能“窃取”合作伙伴或者最终消费者的数据变现。这是底线。如果打破了这个底线,或者有意识模糊这个界限,那么这家云计算厂商的安全就有问题,比如…你想到哪家?如果这些厂商以2C的思路经营2B客户,那,赶紧远离。

正因为处于安全问题的模糊地带,Facebook可以在“剑桥分析事件”爆发之后连是否告知用户都不用讨论;亚马逊不征询用户就考虑将Alexa设备内音频数据共享给第三方开发者;就因为这样,国内一些OTA、出行公司可以肆无忌惮地利用手中的数据和大数据技术对消费者进行疯狂的杀熟……

一点点进步

在各行各业都在走向数字化的今天,意味着我们今后越来越多的行为、轨迹都将数字化。从个人角度而言,因自身各种行为而产生的数据其实就代表着自己的数据隐私,Facebook这些在线服务提供商们当然可以通过免费的服务来换取个人用户的数据,但是数据的主导权不应该完全由这些大公司所主宰,个人起码需要对数据有知情权,知道自身的数据会被服务提供商用在什么地方。

与此同时,政府机构需要加快对数据垄断这种新型的反垄断立法,让这些在线服务巨头们的数据收集、使用过程更加透明化;同时,还需要让属于个人那部分的数据权力更加清晰化和公平化。值得关注的是,今年5月25日,全球第一步大数据时代保护个人数据隐私的法案《通用数据保护法案》将正式实施,这部法规由欧盟委员会制定。在数据隐私事件频发的今天,这部方案的推出具有重要的意义,将为未来全球的数据隐私保护奠定基础。

政府机构加强数据隐私的监管已经成为大势所趋。今后,科技公司把数据使用说明放入词典般厚的用户协议里的小伎俩肯定是行不通了。

时刻绷紧这根弦

时下热门的数字化转型、数字经济,其本质就是传统行业与云计算、大数据、人工智能、物联网等新一代信息通信技术的融合,通过这些新技术来实现彻底的数字化、智能化,完成行业的重塑。

因此,数字化转型是所有企业迈向未来的必经之路,而数据作为一种新型的生产要素将是整个数字经济的基础,企业未来所有的业务都将会围绕数据而展开,数据也将成为企业们积累和沉淀的重要资产。不过在企业数字化转型的过程中,也需要谨防数据隐私的陷阱。

首先,重视数据安全。数据作为最宝贵的资源,企业需要在合法合规的前提下进行数据的采集、处理和使用,提升企业自身的数据隐私自律,在监管逐渐走向完善之时,企业如果不重视数据隐私,一味追求所谓的数据价值,那终将为之付出惨痛的代价。另外,企业在数据保护方面面临的外部环境也将更加复杂,利用大数据和人工智能技术进行的网络攻击已经开始增多,一些传统的数据保护安全措施将无所适从。

就像有人所言:相信行业自律等于相信虚无缥缈的海市蜃楼。这充分说明在利益诱惑面前,人性的脆弱。是否会有治标又治本的方法来让企业更好地避免数据隐私陷阱呢?

其次,采用更加先进的技术,以先进技术来约束行为和构筑保障。以区块链为例,现在已经有一些科技公司开始尝试利用去中心化不可篡改的区块链技术来做数据防泄漏和防攻击,利用区块链来构建高度安全的数据隐私保障系统。相信未来,将会有更多更加完善的数据隐私保护解决方案出现。

另外,像IBM这样的科技巨头也在开发全新的安全技术,这种称为格加密的技术将数据隐藏在复杂代数结构中,并且是全同态加密,使得文件处于加密状态还能对数据进行计算,这种技术有效地防范了黑客各种先进的攻击手段,从而让企业的数据得到保护。

第三,这是一个系统工程。根据调研情况显示,很多企业存在着受到攻击无法保证业务连续、安全规划和准备不足、没有网络安全事件响应计划这三大困扰,每年因为网络攻击和数据泄露带来的总成本不断攀升,这其实需要企业具备应对数据安全、数据风险的全生命周期管理,涵盖定义、保护、检测、响应和恢复五大阶段,从识别并定义企业网络安全风险开始,能够快速评估当前状态、流程和形势,并统筹安排和自动执行监控、运维和恢复工作。只有这样,企业的数据安全这个系统工程才能发挥出重要作用。

有一个方法论就是Cyber Resiliency,这是以全生命周期框架为用户提供完整的数据安全解决方案,从风险的定义和快速评估,到终端及网络的保护,未知危胁和弱点的检测,再到安全事件导致的故障而提供的快速处理和响应机制,以及关键数据、系统以及应用的快速回复,有效地满足了企业用户对于数据安全的全生命周期管理的需求,为用户的数据安全提供一个系统和全面的保障。

以上这五个维度2018年企业面临的主要安全问题。其实,要从大方面来说,混合云的安全也值得注意。

未来,数据联系着政府机构、企业、组织、个人,数据隐私不仅仅应该受到个人的关注,也应该得到企业和组织们的重视。那些只看重短期利益、以身试法的企业未来必然将穷途末路;而那些尊重数据隐私,善于利用先进技术挖掘数据价值和来构筑保障的企业,未来必然将率先完成数字化转型。