安永近日发布的一份报告披露,来自全球17%的受访企业表示,即使出现了影响到客户信息的漏洞,他们也不会通知所有客户。10%的企业表示,他们甚至不会通知受到影响的客户。
3月27日,《安永第20届全球信息安全调查报告giss:重铸网络安全,直面网络攻击》(下称《报告》)在上海正式发布。该报告就网络安全管理工作最迫切的关注点,对近1200名全球企业高管进行了调研访谈。
安永多位信息安全咨询服务高管在与媒体交流时表示,互联网公司与传统企业相比,收集了更多的个人信息,这样的公司需要特别关注企业内部对信息的管控,防止信息泄露到企业之外。对会使用这些信息的第三方,企业需要定期做一些尽职调查,保证第三方的信息管控和企业内部相同标准。此外根据调查,大部分的企业对需要承担的法律责任依旧模糊不清,没有考虑过第三方执法因素。
防止用户信息泄露,互联网企业应定期对第三方进行尽职调查
针对网络平台近来高发的用户数据泄露问题,安永风险咨询服务合伙人胡立基表示,越是用户个人数据多的公司,越要特别去关注企业内部是否有足够的管控,防范企业内部的信息泄露到企业之外。一旦泄露事件发生,企业有没有相应计划能把对公司和个人的影响降到最低,从而进行整改。
胡立基还提到,互联网企业经常与第三方外包商合作,将大量用户个人数据发给外包商处理。但后来安永发现,如果企业把数据发给外包商,外包商则应该对这些数据拥有和企业一样的管控程度。因此企业需要对第三方进行管理,包括定期对第三方做一些尽职调查等,保证项目在外包商那里是可行的。
普通用户应该了解自己的个人隐私权利有哪些,阅读网络平台隐私条款
关于当下很多电子商务和社交平台网站过多获取了用户的个人隐私信息,安永信息安全高管认为,安全和隐私是相辅相成的。一方面网络平台作为用户个人信息的托管者,泄露了用户信息需要依法受到惩处,另一方面个人也应该了解隐私权作为我们个人的权利具体都是什么,这也可以反过来推动平台改善企业在用户隐私方面的做法。
1月24日,《信息安全技术个人信息安全规范》全文在国家标准全文公开系统上线,即将于5月1日正式实施。该规范属于推荐性国家标准,对个人信息的收集、保存、使用、转让等环节进行了规定。
针对互联网公司通过大数据和算法,向用户精准推送合适的内容,安永大中华区信息安全咨询服务合伙人阮祺康表示:安全跟隐私是相辅相成的。普通用户应该知道自己个人隐私权利是什么。他专门提到《信息安全技术个人信息安全规范》中对此都有详细的标准。
阮祺康具体解释道:用户个人隐私权,包括用户的数据必须要经过同意才能给企业;企业拿这些数据用于什么目的,也需要告诉用户。如果用户不想让企业分析自己的数据,也有权利让企业删掉。因此,用户在用网络平台的时候,必须要读清楚隐私条款,并且可以不同意。比如同意隐私条款之后,平台可能会向用户推送一些广告,那么这些广告要用户同意才可以定向推广,如果用户不同意就不能推广。
大多数企业没有考虑过第三方执法因素
2017年6月《中华人民共和国网络安全法》生效,对企业的网络安全管理做出了要求;《信息安全技术个人信息安全规范》也将于5月1日正式实施。此外,《欧盟通用数据保护条例》(gdpr)将于5月25日正式生效。企业需要在这些信息安全相关法律的指导下,确保自己的商业行为合规合法。
但根据《报告》调查统计的结果,虽然总体来说,全球有69%的企业都具备某种形式的安全事件响应能力,但很多企业对其需要承担的法律责任依旧模糊不清。
17%的受访企业表示,即使出现了影响到客户信息的漏洞,他们也不会通知所有客户。10%的企业表示,他们甚至不会通知受到影响的客户。
只有8%的企业在信息安全事件应对计划中,充分考虑过第三方执法的因素。56%的企业表示,对于导致数据外泄的安全事件,他们会在1个月内通过媒体发表公开声明。安永认为这个反应时间依旧偏长。
此外,17%的受访企业表示,即使出现了影响到客户信息的漏洞,他们也不会通知所有客户。10%的企业表示,他们甚至不会通知受到影响的客户。
企业防御遭到攻破只是时间问题
阮祺康表示,现在的企业对信息安全的投入是普遍增加的,其中有很多国外企业,为此投入了大量的预算。“相对来说,在中国我看到还可以再投入多一点。”
《报告》认为,企业的防御网络遭到攻破只是时间问题,因此对企业来说响应机制十分重要。能够认清这一点并在此基础上运营的企业是明智的。如果企业具备一套能够在发现漏洞时自动启动的网络漏洞响应计划(cbrp),特别是如果能在早期发现入侵事件,就能最大程度减轻网络安全事件的影响。
cbrp必须覆盖整个企业,不仅限于传统的技术部门,而涵盖运营、技术、媒体、等多个部门,贯穿于企业经营流程始终,而且要有具有相关经验和知识的人来管理企业在运营和战略层面的响应。因此对相关人才,以及对员工的培训要求提出了新的挑战。
阮祺康解释称,传统的企业做法是将信息安全保护作为it部门的一个分支,因此与it的投入相比,信息安全在以前投入不高,但现在信息安全已经成为法律和风险管理的议题。公司除了技术,在管理方面也加大了投入。他还提到,如果员工有安全意识,比如收到比较敏感的邮件、文件,不会乱发出去,又或者网上银行账号设置比较复杂的密码等,其他的工作相对就会事半功倍。我们认为信息安全其实到最后人才是最重要的环节。