2018年01月05日
數據持有成本越來越高,首要原因在于網絡攻擊數量的持續提升。黑客會從企業手中大量盜取用戶身份信息,并將其銷售至各個地下黑市。
以美國三大征信巨頭之一的Equifax公司為例,2017年10月該公司1.43億用戶當中有250萬名遭遇身份信息泄露。自2017年5月第一輪網絡入侵以來,黑客們不斷利用同樣的軟件缺陷對Equifax進行攻擊,該公司則因此持續遭受身份信息丟失的困擾。2017年5月至9月期間,Equifax公司因安全事故蒸發了約48億美元(約合人民幣312億元),并直接導致其商業聲譽受損甚至迫使CEO選擇辭去職務。Equifax公司數據泄露事故只是當前嚴峻形勢下的冰山一角。
數字安全企業Gemalto公司發布的最新違規指數(簡稱BLI)顯示,自2013年以來,累計數據記錄泄露量約達92億條,在這92億條被盜記錄當中,僅有3.68億條是在黑客使用數據編碼技術的情況下所丟失。
更令人震驚的是,有價值身份信息的泄露以3500條/分鐘的速度外泄。在過去五年當中,約有23%的數據泄露事故涉及消費者的身份信息,例如姓名、出生日期、居住地址以及帳戶密碼。而企業受害者則包括雅虎、eBay以及摩根大通等知名公司。
網絡攻擊活動在數量與復雜程度方面的持續增長,使得掌握有敏感身份數據的企業高層管理人員對安全事務倍感焦慮。
持續增長的監管成本除了網絡攻擊之外,企業還面臨著日益升級的監管要求。根據所在管轄區的規定,當企業在其它國家開展業務時,亦需要遵守對應的國際性標準。
銀行業的合規性成本正以驚人的速度上漲。一份報告發現,2016年全球銀行在合規性方面花費的投入已經接近1000億美元(約合人民幣6500億元),而為了滿足監管要求而投入的開銷在過去四年當中已經由15%增長至25%。合規性帶來的這種瘋狂的成本增長勢必壓縮企業產品開發的空間。
根據嚴苛的歐盟《通用數據保護條例(簡稱GDPR)》指導方針,掌握有歐盟公民信息的企業必須采取控制機制以保護其個人數據。GDPR在本質上是對現有隱私保護手段的一種強化。
GDPR將于2018年5月25日起開始實施,未能遵守GDPR要求的企業可能面臨高達2000萬歐元(約合人民幣1.6億元)或者全球年銷售額的4%的高額罰款(以二者中較高的為準)。
堅持新的監管要求與流程對于企業而言已經是一種沉重的負擔,特別是對于那些擁有多元化業務且業務之間存在交集的公司。據相關預測,為了購買技術方案以堅守GDPR標準并回避高額罰款,全球五百強企業將平均投入100萬美元(約合人民幣650萬元)。除此之外,各公司還需要考慮長期人員配置與法律咨詢費用,從而了解一整套監管標準所需要的總體支出情況。如此夸張的合規性成本將迫使大型企業探索其它更具成本效益與創新屬性的監管技術,或將催生出新的、蓬勃發展的市場空間。
該當如何解決?在保護身份資產的成本遠大于存儲成本的情況下,企業必須采取行動以緩解或消除相關風險。以這方面工作較為完善的銀行業為例,為了確保回避支付卡處理流程中可能存在的種種風險,相關解決方案將卡片信息集中在企業內部進行處理,并以最低限度的明文水平進行信用卡號碼管理。其它行業中的實體要如何采取類似的方法來保護自身持有的身份數據?這很難想象。
不過,以比特幣為代表的加密貨幣亦帶來了解決這類難題的潛在技術手段。在此類模式當中,人們可以選擇集中的實體(例如銀行)管理自己的身份,但與此同時又相當于實現了身份自我管理。分散的身份模式正在形成,與此相對應的分散化網絡亦在快速壯大。
對于個人及傳統身份服務供應商而言,要將這一切轉化為現實(包括更為廣泛地采用點對點——P2P——信任模式)仍面臨著一系列挑戰。盡管網絡攻擊所帶來的損失以及合規性遵從成本的暴漲,但同時也敦促著各大企業放棄對大規模身份信息的直接控制。
文章來自:安全資訊
江蘇國駿信息科技有限公司在信息網絡安全、運維平臺建設、動漫設計、軟件研發、數據中心領域具備十多年的行業沉淀。公司遵循信息安全整體性的IATF模型,從“人員素養”、“制度流程”、“技術產品”三個視角提供全面、可信的方案,業務涵蓋咨詢、評估、規劃、管控、建設、培訓等。
江蘇國駿信息科技有限公司——全面可信的信息安全服務商!