資料安全新法上路,企業準備好了嗎?

New Laws on Data Privacy and Security Are Coming. Is Your Company Ready?
安德魯.博特 Andrew Burt
瀏覽人數:1054
缺乏資料安全的後果,影響的不只是形象而已。

3月26日,二十多歲的工程師強納森.萊楚(Jonathan Leitschuh)發出電子郵件給Zoom,通知說他發現該公司軟體的一個漏洞,可讓心懷不軌的人,暗中使用這項受歡迎的視訊會議服務用戶的相機。Zoom花了將近三個月才解決這個問題。為了一勞永逸,蘋果公司(Apple)發布自己的軟體更新來解決這個問題。

萊楚第一次發電郵給Zoom三個星期之後,Zoom的股票上市,是2019年至今最成功的股票首次公開發行之一。換句話說,在市場以金融獎勵來酬謝Zoom的同時,一位年輕軟體工程師發現了它的一項弱點,足以危害它幾乎所有用戶的隱私和安全。

這兩個現實怎麼可能同時存在?

答案是:企業沒有足夠能力銷售安全的軟體,因為他們缺乏這麼做的誘因,而消費者也沒有足夠能力這麼要求。

不過,這種市場失靈(market failure)不會持續很久。各國政府正在通過和實施新的法律,以確保軟體安全和資料隱私採取更高標準,這代表科技公司未能充分測試軟體安全和隱私漏洞的時代,即將告一段落。例如,去年年底,加州成為美國第一個頒布物聯網軟體基本標準的州。美國在各州層級提議的隱私與安全的立法清單,加上聯邦層級的許多提案,都將提高對隱私或安全失效導致傷害的處罰。從印度、巴西到其他地方,全球各地都在推動類似的做法。

雖然這些新法律不會很快到來,畢竟,法規因應新科技挑戰而調整的速度,是眾所周知的慢,但它們的確已經在進行當中,而軟體公司及它們的企業客戶不該空等而不採取行動。首先,他們不應只是依據安裝的補救措施或回應的事件,來衡量他們的安全等級,還應考慮他們用來防止隱私和安全漏洞,而持續進行的勞力密集流程。這代表保護企業資料的一項核心指標將會是「時間」:投入測試公司所創造和購買的軟體的時間,以及一旦安裝之後,用於維護這套軟體的時間。

這和目前常見的做法大為不同;目前的常見做法,是把工作交給資源不足的品質保證團隊去發現漏洞,然後把測試外包給多半成效不彰的資安回報獎勵計畫(bug bounty program)。

從某種意義上來說,這種新方法是我們廣泛採用數位科技之後,不可避免的後果:我們花愈多時間使用以軟體為基礎的系統,我們就集體需要花更多心力來確保這些系統安全無虞。這代表更多隱私和安全人員必須投入更多時間和資源,保護我們使用的所有軟體。

創造和建置軟體的企業,可以採用下列兩種策略,來做好準備。

首先,他們必須聚焦在盡早且盡量將安全流程,嵌入軟體設計和建置的生命週期中。他們可以利用既有的幾項方法來這麼做。軟體供應商可參考所謂的DevSecOps運動(開發–安全–營運)之類的例子,這是更廣為人知的DevOps(開發–營運)的類似做法;DevSecOps把安全人員直接安插在開發和營運的過程中(因此得名)。購買軟體的企業,可持續追蹤攻擊面,確保模擬攻擊者的「紅隊」等人員,有在積極探測公司的網路,監控安全情況。

企業不論選擇哪一種方法,都必須證明安全和隱私控制不只是事後想法,而是本身的核心要求。因此,企業會被要求審慎追蹤他們投入多少時間和資源,以測試和保護他們創造或管理的所有軟體。

其次,企業也必須把他們投入在隱私和安全上的資源,與他們設法保護的程式碼數量與複雜度連結在一起。隨著任何一個軟體系統中程式碼行數的增加,或是隨著用戶群的擴增,組織也必須更加努力保護用戶的隱私和安全。

把資料保護計畫的強度,與基礎安全需求的數量和複雜度連結在一起,正是頒布和提議的法律所要求的;其中許多法案,包括美國俄亥俄州的《資料保護法案》(Data Protection Act)和紐澤西州的一項法案的提案,都要求具體、基於證據、順應變化的資料保護計畫。這種方法,與大量研究的結果一致,這些研究顯示出現軟體漏洞的可能性,與程式碼複雜度和數量有關聯。

這類型的法規監管回應,軟體業不應感到太意外。例如,在發生重大資料安全漏洞事件之後,監管機構「已經」強制某些違規最嚴重的供應商採用這種方法,要求高度勞力密集的稽查、測試和檢討。7月初,全球網路巨擘友訊科技(D-Link)與美國聯邦貿易委員會(Federal Trade Commission)達成的協議,便證明了這一點;友訊科技同意採用流程導向、嚴密稽查、會持續二十年的「軟體安全計畫」。 最近,臉書(Facebook)和聯邦貿易委員會達成協議,後者要求臉書實施龐大的新隱私監督計畫,就是這種方法的另一個例證。

不久之後,把安全測試工作交給世界各地像強納森.萊楚這類人的想法,不只會成為公共關係上的麻煩,也會是嚴重的法律漏洞。

(蘇偉信譯)



安德魯.博特

安德魯.博特 Andrew Burt

Immuta公司隱私長(chief privacy officer)暨法律工程師。


本篇文章主題安全與隱私