互联网用户的隐私不容轻视

  • A+
所属分类:云安全

特殊时期,适合宅在家里思考,思考安全、思考工作、思考人生!

公共安全和互联网信息安全是有共通之处的,这次病毒爆发,人人自危,因为涉及到了人的生命安全,每个人都在害怕生命的消失,因为生命只有一次。

互联网信息的特点是可以复制,瞬间可以复制很多份,每个人的信息会被复制很多份分布在不同的网站或者 APP 中,如果其中任意一份被窃取,那么个人的信息就是被泄漏,所以对于个人而言,信息的泄漏变得没有那么重要,因为不致命。

相比个人身份信息、住址信息、联系方式这些固定的信息,其实隐私数据对于人而言才更需要保护,或者更加重要,因为你一定不想让自己的隐私公之于众,比如:病历、喜欢吃什么、喜欢用什么、经常去哪里等等。

之前发送数据泄漏的一家酒店,2000 万的开房数据,这些数据对于用户而言一定是要保密的,因为很有可能影响家庭的和谐,从而引发一系列不可预测的后果,危害极大。

对于企业而言,安全团队做什么?要做到什么程度?取决于大领导对于安全的重视程度和预算投入,毕竟做安全不是件容易的事儿,这就涉及向上管理的问题,结合企业自身的情况,讲明因为安全问题可能给企业带来哪些危害,能够造成多大的损失,这是老板比较关心的,也是直接决定能够投入多少钱做安全防御的关键。

用户使用互联网产品,就要把自己的个人信息更新上去,这就把自身敏感信息给复制一份到该平台,然后用户在使用过程中,会留下使用痕迹,这些痕迹是属于用户自己隐私,数据都被上传至产品平台,这些数据如果得不到很好的保护就会导致用户隐私泄漏。

用户的隐私是可以带来经济价值的,也是很多人关注的,平台和网站本身会分析用户的行为来确定其喜欢什么,然后相应的推送广告或者销售产品,来提升经济效益,其他竞争对手对于这些数据也是非常感兴趣的,但是这些数据对于用户而言,很多时候是无感知的,用户无法决定数据的走向,对于数据的保护更无从下手。

关于用户隐私数据,用户是处于劣势方,完全不知道自己的隐私会去向何方,任人宰割,谁来保护用户的隐私呢?只有国家政策或者法律法规了。如今的等级保护、ISO 27001 就是强制的措施用来约束企业做好安全防御,保护用户的隐私数据。

安全之于企业是成本中心,安全三原则:保密性、完整性、可用性,企业为了持续不断的产生价值,获得经济利益,对于完整性和可用性要求比较高,这部分基本上都是运维来保障,做好备份、故障处理,平台不出问题,用户正常使用是老板最关注的,因为一旦影响可用性和完整性是可以直接导致经济损失的,而保密性,互联网的特性是信息可复制,就算企业数据被盗,也只是数据被复制走了一份,一点不影响企业的收入,即使数据被泄漏出去,也就是对企业声誉造成一定影响而已,通过 PR 一样可以解决这个问题,这也是国内大多数公司使用的策略。

做 To B 的企业,B 端用户可以要求企业达到一定的安全标准我才使用你家的产品,而 C 端用户对于企业而言是劣势方,根本没有能力和话语权对企业作出要求,爱用不用这是企业对于 C 端用户的态度,互联网同一领域很难同时存在多个巨头,每个领域都有独角兽,企业做不做安全、做到什么程度完全取决于企业,所以就有了国家出面,制定等级保护制度,如果出国上市的话需要满足国外对于上市公司的安全要求。

安全制度能够约束企业对于安全增加投入,虽然拿到了等级保护的证书、过了 ISO27001 的认证,也不见得就很安全,安全领域国外走的比国内快,欧盟的 GDPR 对于用户隐私保护力度很大,有很多大型互联网公司因为隐私数据泄漏遭到巨额罚款,这也给了企业做好安全的理由,更能说服领导对于安全上的投入,虽然企业没有因为隐私数据泄漏遭到损失,但是国家的政策要求违反巨额的罚款也是一项巨大的损失,安全在申请预算的时候自然要好很多,安全建设的成熟度和高度自然很高。

对于用户隐私数据保护,除了国家监管外,国民对于自身隐私数据的保护也需要有自己的要求,国外就有因为企业泄漏个人隐私数据而被集体诉讼,让泄漏用户隐私数据的企业付出代价,而国内这方面就显得很弱,很多次的用户隐私数据泄漏的事件,也没见到有人站出来维护自己的权益,这也是国内企业不重视用户隐私数据的原因。

最后,企业做安全主要目的就是保障业务正常运转,数据安全,不要因为安全问题而导致企业遭受不必要的损失,保护用户的隐私数据,用户是为企业创造经济价值的群体,需要我们花大力气进行保护。

一方面企业可能因为安全问题导致直接的经济损失,比如:业务系统不可用、数据丢失不完整、正常活动被薅羊毛等

一方面满足国家的要求,因为企业对于用户数据的保护没有那么强烈的愿望,所以需要国家站出来为保护用户的隐私数据而制定相关规范,强制要求企业完成安全建设的义务,保护数据安全的义务,做到安全上的投入

最后就是作为为企业提供价值的用户自身,自己的个人敏感信息和隐私数据都是属于自己的,使用你的产品只是给你做了授权,相当于将自己的隐私放到了企业的保险柜,保护隐私数据是企业的职责,如果有一天企业泄漏了用户的隐私,那么就应该因此付出代价,也需要用户有这方面的意识,不能任自己的隐私遭人践踏,随意丢弃。

以上,与所有安全从业者共勉,自己的一点小小思考,希望对大家有用。

互联网用户的隐私不容轻视

本文始发于微信公众号(信安之路):互联网用户的隐私不容轻视

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: