標籤: GDPR

釐清企業營運關鍵資產

趨勢科技 TrendMicro

釐清企業營運關鍵的資訊資產,對於設計一套有效的資安架構至關重要。因為這樣才能知道哪些資產需要最強的防禦和保護。

資訊和資料的保護,從未像今日這麼重要。歐盟通用資料保護法 (General Data Protection Regulation -GDPR)) 與電子隱私法 (ePrivacy Regulation,簡稱 ePR) 等嚴格的資料與隱私保護規範,不僅再次確立了資料的重要性,也提高了資料蒐集、處理與儲存者可能面臨的法律風險。而從未停歇的資料外洩新聞,更加劇了這項隱憂。

釐清企業營運關鍵的資訊資產,對於設計一套有效的資安架構至關重要。因為這樣才能知道哪些資產需要最強的防禦和保護。

根據 IBM 的一份研究指出,資料外洩的成本持續攀升,2018 年單一資料外洩的平均成本高達 386 萬美元。然而,企業因違反資料保護法規所必須付出的罰鍰甚至可能更高,例如:英國航空 British Airways (被罰 2.3 億美元)、Marriott (被罰 1.24 億美元) 以及 Equifax (被罰 5.75 億美元) 等案例。這些活生生的案例一再證明:資料外洩的威脅無所不在、資料外洩的代價昂貴,以及資安漏洞是資料外洩的元兇。

身處這樣的情勢,企業應該開始重新檢討自己所蒐集、儲存、處理的資料是否投入了充分的資安資源來加以保護。

什麼是企業的關鍵資訊資產?

繼續閱讀

從日本新創 ONE FINANCIAL談起:萬物聯網時代,區塊鏈如何讓資料的掌控權回歸使用者?

趨勢科技 TrendMicro

一款由日本 17 歲天才高中生山內奏人所開發的 App 「ONE」,吸引消費者主動出售購物收據及清單, 引起日本民眾爭相下載並且由於反應太過熱烈而暫停服務,以重新確定商業模式後再出發。該平台 的核心概念,成功地將消費者的隱藏資訊和價值的非對稱性,轉化為消費者自主性的販售行為,並 且在行銷包裝上擺脫了個資侵犯的疑慮,這對於以區塊鏈技術所搭建的數位資產及資料交易中心服 務,不啻為一個值得研究的個案探討與市場趨勢。 如今個資保護的意識抬頭,使用者常常不自覺地默認社交媒體廣告提供商連結自身的瀏覽內容記錄, 然而在號稱史上最嚴格的個資保護法規 GDPR 於2018五月正式上路後,任何軟體平台服務都必須更謹小慎微的檢驗自身取用的消費者資訊以及重新思考其商業應用模式。

基於區塊的使用者資料交易及處理平台與對應的生態圈。
圖片來源:One Financial 官網

你所認知的個資真的是 GDPR 所定義的個資 – 區塊鏈的因應之道

GDPR規範服務提供商必須確保用戶對資料的存取權(Right to Access)、被遺忘權(Right to Be Forgotten)及遷移權(Right to Data Portability),因此,當一個服務要使用消費者資料時,必須清 楚說明資料將用於何處、如何被使用,且有義務進行資料保護,並允許用戶完全刪除資料或停止使 用該資料,甚至決定是否授權資料共享。 這三大賦予使用者的權利在表面上看來都與區塊鏈的技術有某程度的隔閡與抵觸,但表面不足以為論,仔細深究GDPR對個人資料的定義:只要資料具備個人可識別資訊(Personally Identifiable Information, PII)或可被辨識為自然人的條件,就符合GDPR保護傘下規範的個資。

因此個人相關資 料如姓名、地址、電子郵件等固不待言,個人所屬電子設備的Cookie ID、MAC位址等甚或與個人身 份有關聯的假名資料(Pseudonymous Data)亦屬於保護個資。以前述的App 「One」為例,使用者 的消費發票只要連結上使用者傳送設備的IP及地理資訊,也有可能關聯成為PII資料,但該服務卻 成功而透明的讓使用者自己選擇是否交易其資料引為其他商業用途。 如此說來,在基於區塊鏈技術發展的平台上,我們實不必糾結於技術天性的適切與否,而是每個平 台服務商都對本身的商業模式如何引用消費者資料的模式行為做好極細緻的分析與分類:屬於GDPR保護的個資則劃分出來回歸消費者掌控;而非GDPR規範的個人資料,則在商業模式的引導下成為 區塊鏈分散帳本上的紀錄資料。 繼續閱讀

建構更妥善的資料保護,避免違反 GDPR 歐盟資料保護法規範(含資料圖表)

趨勢科技 TrendMicro

一般資料保護規則 (GDPR) 經過四年審議之後於 2016 年 4 月通過,目前已經實施。這項規範成為全球各地的熱門話題,其中採用更嚴格的資料保護標準,並訂定高額罰款,而最令人注意的是涵蓋範圍相當廣大。GDPR 對持有歐盟公民個人資料的任何組織造成影響,不論其規模或地點為何。位於亞洲地區的公司,以及分公司遍佈歐洲的跨國企業,只要收集及處理歐盟公民資料,就要負責遵循法規。

這項規範也描述受影響組織的資料保護義務,其中包括採用最先進的安全措施,乃至於讓使用者對自己的資料享有更多的存取及控制權利。由於需要全面變革才能遵循法規,歐盟主管機關提供兩年的時間,讓各會員國及組織有時間做好準備。現在過渡期已經結束,GDPR 正式實施。

現在會發生什麼事情?

實施法規代表組織應已依據 GDPR 處理個人資料,包括當事人權利條款在內。歐盟會員國的資料保護主管機關 (DPA) 也已能夠針對未遵循法規的組織開罰。視會員國而定,主管機關可採取立即行動因應任何未遵循法規事件。不過部分規範組織計畫以更溫和的態度,處理已經開始但尚未完成法規遵循工作的企業及組織。

最糟情況是什麼?組織要為未遵循法規造成的損害負責,並遭受對應的行政罰款。罰款最重高達 2 千萬歐元或 4% 年度營業額,以較高者為準。

最理想情況是什麼?若組織完全遵循 GDPR,或使用規範作為起始點超越最低標準,將享有重大優勢。其中部分效益包括:安全無虞的寶貴資訊、以適當的封存及資料管理提升營運效率,以及加強客戶及使用者的信任度。

雖然 GDPR 適用於歐盟公民的個人資料,但也引發全球各地變革隱私權規範。2018 年實施 GDPR 之後,有多個國家也加強本身國內法規,例如英國澳洲在內的多個地區,也更新了本身的資料保護法。這代表 GDPR 法規遵循提供一項大好機會,不論是跨國企業還是小型組織,都能趁此跟上全球在資料隱私及先進安全技術方面的進展。

組織應如何應對?

在理想情況下,組織現在應已完成法規遵循的所有基礎工作,也應已完成法規遵循核對清單的所有項目。組織應能提供各項產品或服務,因應 GDPR 概述的客戶權利。使用第三方應用程式或供應商的組織應留意「被遺忘權」及更嚴格的使用者同意標準等議題的最新內容,確保能夠適當運作。多項法律軟體變更也預期自即日起或未來幾個月內生效,組織應做好準備面對任何必要變更。 繼續閱讀

為 GDPR 做好準備:強化易受攻擊的郵件系統

趨勢科技 TrendMicro

歐盟通用資料保護條例(GDPR)的目的是保護歐盟居民的個人資料,無論位在何處。該法規強制企業遵守關於如何收集、儲存和使用資料的隱私規定,包括數位識別資料(如電子郵件地址),通過郵件交換的訊息及郵件聯絡人列表(大多數電子郵件都涵蓋在“GDPR”所要保護的“個人資料”內 )。

趨勢科技2018年第一季封鎖了近95億筆的威脅 – 其中有82%與電子郵件有關

電子郵件對企業來說是特別脆弱的一環,因為它是一種溝通工具,同時也是網路犯罪份子最愛用的威脅載體。趨勢科技的Smart Protection Network在2018年第一季封鎖了近95億筆的威脅 – 其中有82%與電子郵件有關。

電子郵件會成為主要的攻擊途徑是因為這是種無處不在且被廣泛利用的通訊方式。根據市場調查公司Radicati Group在2017年所進行的研究顯示,該年每天發送了2,690億封電子郵件。除了數量外,電子郵件也被各種人士所使用,從年輕學生到跨國企業執行長都有。它已經成為日常生活的一部分,人們經常會打開電子郵件,滑動內容或點擊連結。網路犯罪分子也利用這樣的習慣來嘗試各種手法攻擊使用者:

  • 網路釣魚(Phishing)
    這是種古老卻仍被廣泛應用的攻擊方式,網路犯罪分子會冒充公司同事來向目標受害者索取個人資料或帳號內容。網路釣魚有時也被用來取得深入企業網路的權限。電子郵件只是網路釣魚攻擊的眾多形式之一。
  • 變臉詐騙攻擊或稱為商務電子郵件入侵 (Business Email Compromise,簡稱BEC)
    在BEC詐騙中,網路犯罪分子會入侵高階主管的電子郵件帳號,並且試圖誘騙員工或財務長將資金轉到詐騙用帳戶。
  • 垃圾郵件(Spam) :
    垃圾郵件是另一個老舊但仍在使用中的技術。根據我們在2016年的調查結果,有71%的勒索病毒透過垃圾郵件散播。網路犯罪分子會製作看似合法的電子郵件(從工作相關郵件到行銷郵件都有)加上附加惡意檔案或連結。可以用來散播各種惡意軟體來危害使用者或企業的系統。

繼續閱讀

以 GDPR 的隱私始於設計 (Privacy by Design) 保障資料安全

趨勢科技 TrendMicro

資料外洩已成為主流資安事件,每次新出現的外洩事件似乎都比之前更嚴重。近期外洩事件的嚴重程度,讓資料保護成為近年來立法領域討論最多的話題,促成了各國的嚴格立法,例如歐盟的一般資料保護規則 ( General Data Protection Regulation ( GDPR) 以及世界各地,包括英國、美國、澳洲中國

這些事件的詳細資訊,向大眾展示了他們的個人資訊遭到使用或濫用的各種方式 – 用於分析、精準行銷、公然盜用身分等等。而大眾開始更加關注企業如何收集與保護他們的個人資料。光是去年一年,我們已經看到企業如何儲存資料儲存失當缺乏適當更新的安全性,並且輕率處理存取權限,導致第三方得以不當使用資料。這個情況顯示,雖然大多數企業已經制訂並改善了資料收集與使用政策,但並未將資安納入考量。

企業資料安全狀況

越來越多的大規模隱私暴露事件以及後續引發的結果,促使企業增加了資安解決方案的開支。根據 Gartner的資料顯示,今年全球資安支出將達到 960 億美元;到了 2020 年,超過 60% 的企業將投資多種資料安全解決方案。調查受訪者表示,這些支出決策背後的主要推動力是資料外洩的風險。

但是部署尖端資安技術,只是周全有效的資料保護計畫中的一小部分。另一個重要部分是改變保障隱私做法的實際方法。涉及個人資料的任何計畫或專案,一開始就必須將隱私納入首要考量,而非將其視為附加功能。企業應該儘早在所有技術、流程及系統的設計階段納入隱私原則,這是一種主動而非被動的避險方法。

企業要如何進行改善?

組織需要採納隱私始於設計 (Privacy by Design) 的架構,在最初階段就對隱私及資料保護問題進行預測及因應。世界各地的主管機關已經體認到這種方法的優點,由近期如 GDPR 等法規的制訂可見一斑。遵循法規是朝著正確方向邁出的一步。遵循 GDPR 不僅是處理歐洲公民資料的必要要求,而遵守規則也為任何收集及處理個人資料的組織樹立了良好的典範。企業若希望將隱私全面整合至其基礎架構中,還應該注意由 GDPR 推動的重要資料隱私原則:資料最少化 (data minimization) 及匿名化 (pseudonymization)。

資料隱私從明確定義兩件事開始:要收集的個人資料類型,以及收集資料的用途。一些組織正在收集超出其真正需要的資料,並用於未明確告知使用者的用途。一種避免這種情況的方式,是資料最少化:僅向客戶收集需要的資料,用於使用者同意的用途,並遵循適當的資料保留政策,或在達成預期目的後刪除資料。

另一方面,匿名化資料能夠讓個人資料無法直接識別出特定人士。要將個人資料連結到特定某人的唯一方法,是將它與分開儲存及保護的其他資料組合在一起。這表示組織仍然可以處理個人資料並繼續為客戶提供服務,同時保護他們的隱私權。 繼續閱讀