GDPR 周年快樂:物聯(lián)網(wǎng)影響和合規(guī)實用技巧
GDPR已進入第三個年頭,遵守歐盟數(shù)據(jù)隱私條例仍然是組織需要解決的重要問題,尤其是在物聯(lián)網(wǎng)(IoT)方面。
此外,隨著遠程工作目前成為常態(tài),以及個人設(shè)備隨后大規(guī)模集成到組織網(wǎng)絡(luò)中,影子物聯(lián)網(wǎng)將被企業(yè)中的個人廣泛部署。作為新的新冠肺炎工作場所合規(guī)性政策的一部分,即將到來的返回辦公室也將帶來大量物聯(lián)網(wǎng)設(shè)備,這些設(shè)備可能會安裝在網(wǎng)絡(luò)中。
數(shù)字化轉(zhuǎn)型導(dǎo)致了這些連網(wǎng)設(shè)備的爆炸式增長。但是,盡管它們?yōu)樘岣邩I(yè)務(wù)生產(chǎn)力和增加連接性提供了巨大的機會,但它們也為數(shù)據(jù)保護和 GDPR 合規(guī)性帶來了新的挑戰(zhàn)。其中一些設(shè)備(例如醫(yī)療設(shè)備)可能會收集大量需要保護并受 GDPR 約束的個人數(shù)據(jù)。
GDPR 隱私設(shè)計
GDPR的隱私設(shè)計和安全設(shè)計側(cè)重于物聯(lián)網(wǎng)制造商和設(shè)備本身設(shè)計的合規(guī)性。此外,英國境內(nèi)的所有物聯(lián)網(wǎng)服務(wù)提供商和制造商都必須遵守《消費者物聯(lián)網(wǎng)安全實踐準則》中概述的以下原則:
- 不能有默認密碼
- 實施漏洞披露策略
- 保持物聯(lián)網(wǎng)軟件的更新
- 安全存儲憑據(jù)和敏感數(shù)據(jù)
- 安全通信,即遠程管理和控制,必須加密
- 通過最小特權(quán)原則最小化暴露的攻擊面
- 確保軟件完整性
- 確保個人數(shù)據(jù)受到保護
- 監(jiān)控系統(tǒng)遙測數(shù)據(jù)
- 讓消費者可以刪除自己的數(shù)據(jù)
- 使設(shè)備的安裝和維護變得容易
- 驗證輸入數(shù)據(jù)
但是,這些指南給物聯(lián)網(wǎng)設(shè)備的制造商帶來了負擔(dān)。企業(yè)自己可以做些什么來遵守 GDPR? 上面的許多原則都適用。
發(fā)現(xiàn)數(shù)據(jù)保護盲點
當今組織需要解決數(shù)據(jù)保護盲點,以確保合理的安全性,以保護消費者的私人數(shù)據(jù)并滿足最低級別的網(wǎng)絡(luò)安全要求。
盡管大多數(shù)數(shù)據(jù)安全標準要求組織確保技術(shù)是安全的和最新的,但這對大多數(shù)人來說是一個挑戰(zhàn)。盡管它們是業(yè)務(wù)運營的關(guān)鍵部分,但連網(wǎng)設(shè)備的范圍很廣,而且經(jīng)常運行過時的系統(tǒng)。它們的規(guī)模和多樣性,以及網(wǎng)絡(luò)連接能力帶來了風(fēng)險——每臺設(shè)備都是潛在的攻擊媒介,必須保護其免受網(wǎng)絡(luò)攻擊和潛在漏洞的侵害。
為了最大限度地降低這些風(fēng)險并滿足 GDPR 數(shù)據(jù)合規(guī)性和監(jiān)管閾值,組織必須開發(fā)一種全面的方法來保護所有設(shè)備。這些包括:
- 發(fā)現(xiàn)和清點每一臺設(shè)備:確保您知道并能夠分析網(wǎng)絡(luò)中的每一臺物聯(lián)網(wǎng)設(shè)備是實現(xiàn)安全的第一步。
- 了解可能泄露的風(fēng)險和個人數(shù)據(jù):為了遵守 GDPR,必須了解設(shè)備是否存在數(shù)據(jù)泄露風(fēng)險(例如,運行過時的操作系統(tǒng)、支持弱密碼或證書,或者設(shè)備本身有 PII 數(shù)據(jù))。
- 了解設(shè)備在網(wǎng)絡(luò)中做什么:建立基線并了解設(shè)備通信模式有助于您了解個人數(shù)據(jù)的處理或存儲位置。例如,雖然醫(yī)療設(shè)備本身可能具有 PII,但與云中服務(wù)器通信的 IP 攝像頭可能在云中存儲數(shù)據(jù)。
- 監(jiān)控異常通信:此最佳實踐是關(guān)于識別已經(jīng)發(fā)生的潛在危害,例如與惡意域的通信,以便您可以在過程中阻止數(shù)據(jù)泄露。
- 易受攻擊設(shè)備的分割:實時發(fā)現(xiàn)、監(jiān)控和行為分析是第一步。安全團隊還可以使用人工智能和自動化來主動分割現(xiàn)有基礎(chǔ)設(shè)施上易受攻擊的物聯(lián)網(wǎng)設(shè)備;這使得能夠?qū)υO(shè)備進行適當?shù)脑L問,同時限制網(wǎng)絡(luò)安全攻擊和潛在的數(shù)據(jù)保護漏洞。
通過利用自動化和正確的工具,安全團隊可以提高對物聯(lián)網(wǎng)風(fēng)險的可見性,識別受GDPR約束的設(shè)備,并保護它們免受潛在的數(shù)據(jù)泄露。
讓我們慶祝 GDPR 周年紀念日,以此提醒大家數(shù)據(jù)和連網(wǎng)設(shè)備所需的最佳實踐。
