2021年隱私保護(hù)和網(wǎng)絡(luò)安全的預(yù)測(cè)分析

2021年，隨著企業(yè)組織都需要過渡到一種新常態(tài)，F(xiàn)orrester預(yù)測(cè)數(shù)據(jù)隱私問題將變得更加緊迫，而潛在的預(yù)算問題和不斷變化的國(guó)際關(guān)系也將影響網(wǎng)絡(luò)安全專業(yè)人員。

Forrester公司高級(jí)分析師Enza Iannopollo確定了三種與隱私相關(guān)的趨勢(shì)，這些趨勢(shì)將支持企業(yè)組織完成向新常態(tài)的過渡：

· 企業(yè)組織越來(lái)越需要從消費(fèi)者和員工處收集、處理和共享敏感的個(gè)人數(shù)據(jù);

· 盡管經(jīng)濟(jì)不景氣，但基于價(jià)值的消費(fèi)者將越來(lái)越傾向于和有道德的企業(yè)接觸，并將其個(gè)人數(shù)據(jù)委托給這些道德企業(yè);

· 與數(shù)據(jù)隱私相關(guān)的監(jiān)管和合規(guī)復(fù)雜性將進(jìn)一步增加;

Forrester公司首席分析師Heidi Shey表示，

因?yàn)楸仨氁鎸?duì)經(jīng)濟(jì)不確定性、社會(huì)動(dòng)蕩以及不斷變化的地緣政治格局，各企業(yè)組織將需要不斷適應(yīng)新的業(yè)務(wù)模式以及不斷變化的客戶期望。這將對(duì)全球的信息和IT安全專業(yè)人員產(chǎn)生重大影響。

隱私預(yù)測(cè)

隱私問題的緊迫程度或許從美國(guó)大選中兩項(xiàng)重要法案相繼出臺(tái)便可見端倪。據(jù)悉，選舉日（11月3日）當(dāng)天，加利福尼亞州選民投票通過了第24號(hào)提案，即《加州隱私權(quán)法案》（CPRA）;密歇根州的選民則投票通過了第2號(hào)提案，這是一項(xiàng)州憲法修正案，該修正案禁止執(zhí)法人員在沒有搜查令的情況下搜查電子數(shù)據(jù)。

而有關(guān)2021年的隱私發(fā)展預(yù)測(cè)具體如下：

與隱私相關(guān)的法規(guī)及監(jiān)管行動(dòng)將會(huì)增加

由于企業(yè)組織希望利用消費(fèi)者和員工的個(gè)人數(shù)據(jù)，所以，預(yù)計(jì)未來(lái)與員工隱私相關(guān)的法律和監(jiān)管行動(dòng)將增加100%。

其中，像是巴西、印度和泰國(guó)等國(guó)家/地區(qū)將遵循歐洲監(jiān)管機(jī)構(gòu)提出的員工數(shù)據(jù)監(jiān)管和保護(hù)條例。因此，企業(yè)組織在處理員工的個(gè)人數(shù)據(jù)時(shí)，需要采取“隱私設(shè)計(jì)”（Privacy by design，PbD）的新方法，這是目前國(guó)際隱私保護(hù)實(shí)踐中所推崇的理念，該理念可理解為“透明度”、“用戶控制力”和“數(shù)據(jù)安全”三個(gè)方面，具體包括：

1）確定要求;

2）評(píng)估特定的隱私和道德風(fēng)險(xiǎn);

3）與員工進(jìn)行透明地溝通

零方數(shù)據(jù)收集將迎來(lái)發(fā)展機(jī)遇

我們都很清楚，第一方數(shù)據(jù)是那些品牌自己從客戶關(guān)系中或者與品牌發(fā)生過接觸的TA處收集來(lái)的信息;第二方數(shù)據(jù)是品牌從其他機(jī)構(gòu)或者合作伙伴處購(gòu)買、整合來(lái)的數(shù)據(jù);第三方數(shù)據(jù)是那些不屬于本品牌的，但是品牌在營(yíng)銷活動(dòng)中可以對(duì)其加以利用的數(shù)據(jù);

那么，零方數(shù)據(jù)又是什么呢？

“零方數(shù)據(jù)”（Zero-party Data）一詞最早見于Forrester2018年發(fā)布的一份報(bào)告之中，指客戶/消費(fèi)者為了獲取個(gè)性化服務(wù)/廣告主動(dòng)分享給品牌的數(shù)據(jù)。例如，某人明確表示在日韓娛樂頻道中屏蔽韓劇只看日劇，或者只喜歡吸貓而不希望自己的寵物頻道推薦中出現(xiàn)狗或豬等等。

如今，隨著第三方Cookies的逐漸失寵，到2021年，將有25%的首席營(yíng)銷官（CMO）希望投資于授權(quán)與偏好管理。這將有利于上下文相關(guān)的零方數(shù)據(jù)收集，并允許營(yíng)銷團(tuán)隊(duì)管理客戶的同意條款，包括選擇退出和不出售客戶偏好數(shù)據(jù)。

此外，這種技術(shù)還可以改善企業(yè)組織的數(shù)據(jù)洞察力，并有助于增強(qiáng)客戶體驗(yàn)（CX）。

更多隱私安全主管將直接向CEO匯報(bào)

隨著隱私問題對(duì)企業(yè)收入的影響越來(lái)越大，直接向CEO匯報(bào)的隱私領(lǐng)導(dǎo)者的比例預(yù)計(jì)將從2019年的23%增加到2021年的40%。

隨著組織希望將隱私保護(hù)嵌入客戶體驗(yàn)之中，這將促使數(shù)據(jù)隱私的主要負(fù)責(zé)人員可以從企業(yè)高管團(tuán)隊(duì)獲得更多支持。

CCPA 2.0將推動(dòng)美國(guó)的聯(lián)邦隱私立法

雖然《加利福尼亞州消費(fèi)者隱私法案（CCPA）》制定了美國(guó)最強(qiáng)有力的數(shù)據(jù)隱私法規(guī)，但其薄弱之處卻始終是行業(yè)和隱私權(quán)倡導(dǎo)者們爭(zhēng)論不休的焦點(diǎn)。就目前情況而言，CCPA確實(shí)存在一些對(duì)大型科技公司有利的實(shí)質(zhì)性漏洞。其一是將其簡(jiǎn)單地重新歸類為“服務(wù)提供商”而不是“廣告商”的能力，這使得一些公司能夠避開許多有關(guān)個(gè)人數(shù)據(jù)銷售的規(guī)定。此外，有關(guān)“個(gè)人信息”的概念也有一些模糊的定義，以至于在銷售條件和數(shù)據(jù)泄露后果方面可以排除在某個(gè)時(shí)刻公開的信息。

而《加州隱私權(quán)法案》（CPRA）意在填補(bǔ)現(xiàn)行《加州消費(fèi)者隱私法》（CCPA）的諸多漏洞，CPRA結(jié)合了共享、出售和貨幣化數(shù)據(jù)的概念。它要求公司披露他們從用戶處收集的信息，以及他們銷售或共享數(shù)據(jù)的第三方，除此之外，它還賦予加州居民一些新的權(quán)利，比如更正“不準(zhǔn)確的”個(gè)人信息以及限制敏感個(gè)人信息的使用和披露的權(quán)利。

CPRA創(chuàng)建了一個(gè)新的敏感個(gè)人信息（SPI）類別，包括廣泛的數(shù)據(jù)元素，例如駕駛執(zhí)照、護(hù)照和社會(huì)安全號(hào)碼、金融賬戶信息、地理位置、種族、民族、宗教、個(gè)人通訊、遺傳和生物識(shí)別數(shù)據(jù)、健康數(shù)據(jù)以及有關(guān)性生活或性取向方面的信息。如果企業(yè)組織計(jì)劃收集、共享或出售這些SPI信息，他們必須要提前向用戶披露。一旦被告知，用戶則有權(quán)利阻止公司共享其SPI。

此外，CPRA還將成立一個(gè)新的機(jī)構(gòu)——加州隱私保護(hù)機(jī)構(gòu)（California Privacy Protection agency，CPPA），并向其撥款1000萬(wàn)美元，賦予其充分的行政權(quán)力、特權(quán)和管轄權(quán)來(lái)執(zhí)行這項(xiàng)法律。該機(jī)構(gòu)將調(diào)查并舉行聽證會(huì)，以確定企業(yè)、服務(wù)提供商或承包商是否符合CPRA的要求，并對(duì)違規(guī)行為進(jìn)行處罰。

對(duì)于企業(yè)如何“分享”個(gè)人數(shù)據(jù)，CPRA同樣給出了嚴(yán)格限制。CPRA規(guī)定了一項(xiàng)新的跨語(yǔ)境行為廣告選擇退出機(jī)制，其定位為“基于消費(fèi)者的個(gè)人信息而針對(duì)特定消費(fèi)者的廣告，該個(gè)人信息是通過消費(fèi)者的各項(xiàng)商業(yè)活動(dòng)、個(gè)性化網(wǎng)站、應(yīng)用或服務(wù)而獲得的，不同于消費(fèi)者通過其他商業(yè)、個(gè)性化網(wǎng)站、應(yīng)用或服務(wù)而有意進(jìn)行的交互行為”。從事這些活動(dòng)的企業(yè)需要在網(wǎng)站上設(shè)置“限制使用個(gè)人敏感信息”按鈕，以確保用戶有權(quán)從披露和廣告過程中退出。

而如果企業(yè)向第三方出售或共享個(gè)人信息，或僅僅出于商業(yè)目的向服務(wù)提供商或承包商披露此類信息，雙方必須簽署一份包含特定數(shù)據(jù)處理?xiàng)l款的協(xié)議，例如，限制使用條款、違約通知和補(bǔ)救權(quán)利等。

根據(jù)Forrester的說(shuō)法，作為當(dāng)前《加利福尼亞州消費(fèi)者隱私法案（CCPA）》的演進(jìn)版本，《加利福尼亞州隱私權(quán)法案（CPRA）》將增加聯(lián)邦政府對(duì)用戶隱私的保護(hù)力度。

由此一來(lái)，企業(yè)組織需要熟悉適用于他們的新法規(guī)的各個(gè)方面，并確定它們是否比州立法者通過的法規(guī)更加積極有效

英國(guó)將成為數(shù)據(jù)保護(hù)事務(wù)的“第三國(guó)”

Forrester預(yù)測(cè)，自2021年1月開始，就數(shù)據(jù)保護(hù)角度而言，英國(guó)將正式成為“第三國(guó)”。

鑒于此，那些在英國(guó)境內(nèi)存儲(chǔ)企業(yè)或員工數(shù)據(jù)的企業(yè)組織，將需要把這些數(shù)據(jù)遷移到可以提供充分保護(hù)的其他地方，或者遵守標(biāo)準(zhǔn)合同條款（SCC，是歐盟個(gè)人數(shù)據(jù)出境的常規(guī)路徑之一）。

除此之外，企業(yè)組織還需要關(guān)注以下三個(gè)關(guān)鍵行動(dòng)：

1）評(píng)估自身是否符合英國(guó)數(shù)據(jù)保護(hù)要求，包括英國(guó)GDPR;

2）明確在決策缺失的情況下，整個(gè)生態(tài)系統(tǒng)中的數(shù)據(jù)傳輸將會(huì)發(fā)生何種影響;

3）開始制定過渡策略。

網(wǎng)絡(luò)安全預(yù)

由內(nèi)部人員引起的數(shù)據(jù)泄露事件將增加

根據(jù)Forrester的預(yù)測(cè)，到2021年，內(nèi)部人員事件（無(wú)論是偶然的還是惡意的）將占所有數(shù)據(jù)泄露事件的三分之一，而現(xiàn)如今這一比例為25%。

造成這一現(xiàn)象的原因包括，新冠疫情（Covid-19）大流行期間，各企業(yè)組織開始迅速過渡到遠(yuǎn)程辦公模式，相應(yīng)的安全措施尚未到位;員工擔(dān)心失業(yè)，動(dòng)了其他心思，以及數(shù)據(jù)傳輸?shù)拈T檻降低，導(dǎo)致攻擊面激增等等。

因此，企業(yè)組織應(yīng)該優(yōu)先考慮威脅防御和員工敬業(yè)度等相關(guān)問題，同時(shí)牢記信任并不是控制。

對(duì)非美國(guó)網(wǎng)絡(luò)安全企業(yè)的風(fēng)險(xiǎn)投資將增加

2020 年 7 月，歐洲對(duì)外關(guān)系委員會(huì)（ECFR）發(fā)布《歐洲的數(shù)字主權(quán)：中美對(duì)抗背景下從規(guī)則制定者到超級(jí)大國(guó)》報(bào)告，表示歐盟不能繼續(xù)依賴其監(jiān)管力量，而必須憑借自身實(shí)力成為科技超級(jí)大國(guó)。此外，歐委會(huì)還在考慮出臺(tái)新規(guī)，要求蘋果公司向?qū)κ珠_放iPhone支付技術(shù)，并將在新規(guī)中闡明何為支付領(lǐng)域的基礎(chǔ)設(shè)施，及如何授予訪問基礎(chǔ)設(shè)施的權(quán)限。

今年，在東盟峰會(huì)及相關(guān)會(huì)議期間，區(qū)域全面經(jīng)濟(jì)伙伴關(guān)系協(xié)定（RCEP）正式簽署。15個(gè)國(guó)家（東盟十國(guó)和中國(guó)、日本、韓國(guó)、澳大利亞及新西蘭）簽署了史上最大規(guī)模的貿(mào)易協(xié)定，其中承諾在新冠疫情下提高全球約三分之一人口的收入并給予全球化支持者希望，使其振興世界貿(mào)易與合作并對(duì)抗特朗普的保護(hù)主義成為可能。

在上述種種因素的綜合作用下，F(xiàn)orrester預(yù)計(jì)，2021年，面向美國(guó)以外市場(chǎng)的風(fēng)險(xiǎn)投資（VC）金額將增加20%。

與此同時(shí)，跨國(guó)公司的安全與風(fēng)險(xiǎn)（S&R）專業(yè)人員將需要考慮基于區(qū)域的點(diǎn)解決方案，首席信息安全官（CISO）應(yīng)通過關(guān)注初創(chuàng)企業(yè)來(lái)尋求區(qū)域性安全技術(shù)的機(jī)會(huì)。

致命的安全文化將成為終止首席信息安全官（CISO）的理由

Forrester預(yù)計(jì)，到2021年，CISO的角色將面臨巨變，由于更多監(jiān)管行動(dòng)的展開，一種“致命的”安全文化將變得更加公開，這將導(dǎo)致全球500強(qiáng)企業(yè)中擔(dān)任首席信息安全官的人員被迫終止合同。

在Forrester列出的網(wǎng)絡(luò)安全“十大坑”中 ，有八項(xiàng)與領(lǐng)導(dǎo)層的失誤有關(guān)。這就意味著，在該領(lǐng)域建立積極健康的安全文化比以往任何時(shí)候都更加重要。

由于直接面向消費(fèi)者，零售和制造行業(yè)將出現(xiàn)更多安全違規(guī)行為

到2021年，更多品牌將需要直接面向消費(fèi)者，而不再通過零售商和分銷商構(gòu)成的傳統(tǒng)供應(yīng)鏈。這就意味著企業(yè)將需要使用更多的應(yīng)用程序來(lái)改進(jìn)其業(yè)務(wù)參與模式，而此舉將導(dǎo)致攻擊面急劇增加，隨之而來(lái)的就是更多的數(shù)據(jù)泄露事件。

正因如此，面臨這種業(yè)務(wù)轉(zhuǎn)型需求的品牌將需要優(yōu)先考慮其產(chǎn)品安全性，并建立起開發(fā)者激勵(lì)計(jì)劃以及尋求更強(qiáng)大的漏洞和攻擊模擬工具。

審計(jì)工作和預(yù)算壓力將迫使企業(yè)采用風(fēng)險(xiǎn)量化技術(shù)

由于經(jīng)濟(jì)發(fā)展的不確定性，許多組織開始大幅削減了人員和技術(shù)投資，由此也導(dǎo)致合規(guī)性問題變得越發(fā)困難。

到2021年，審計(jì)和預(yù)算壓力的持續(xù)增加將意味著CISO們必須努力尋求可以解決潛在的審計(jì)問題和風(fēng)險(xiǎn)的方式，風(fēng)險(xiǎn)量化技術(shù)或?qū)⒂瓉?lái)發(fā)展機(jī)遇。

參考及來(lái)源：

https://www.wired.com/story/one-clear-message-voters-election-more-privacy/

https://www.information-age.com/forrester-releases-privacy-cyber-security-predictions-2021-123492371/

如若轉(zhuǎn)載，請(qǐng)注明原文地址：https://www.4hou.com/posts/Vl1X。
責(zé)編AJX