新思科技：保护数据隐私需要“一把标尺”

作者：新思科技软件质量与安全部门资深策略策划师Taylor Armerding

用户数据隐私泄露事件屡见不鲜，其背后原因包括对隐私信息的不重视、知识欠缺或者缺乏可用工具等。此前，由于法律环境宽松或者没有面向数据隐私的具体规定，总体来说，企业并不愿意投入太多在隐私数据保护上。但随着隐私权越来越受到关注，如何遵循陆续发布的相关法律法规成为了企业的新课题。

很多企业也正在寻求合适的测试工具作为“一把标尺”，衡量在利用数据过程中是否合规，帮助查找产品、流程等方面在隐私保护上的漏洞，进而提高安全合规性。

新思科技建议：首先需要保护软件和系统不受网络攻击和防止数据泄露。如果软件不够安全，则不要指望信息保密。

欧盟的通用数据保护条例（GDPR）是迄今为止最著名的相关法规，非常关注隐私。美国加州消费者隐私法案（CCPA）也已经生效。通常，这些法律规定可以收集哪些数据、可以保存多长时间以及如何与“合作伙伴”“共享”数据。它们还为用户提供了有关如何收集和使用其数据的各种权限，以及删除数据的权利。 CCPA还禁止公司向拒绝收集和共享其信息的用户提供较低级别的服务。

网络安全是隐私的关键组成部分，不可或缺。如果企业系统遭到攻击，客户或用户个人数据泄露，那隐私合规就无从谈起。

不遵守隐私规定的后果不仅限于罚款

GDPR对违规行为最严厉的现行处罚是年收入的4%。不是利润，不是收益，而是总收入。对于一些全球性行业巨头来说，罚款高达数十亿美金也不出奇。

新思科技软件质量与安全部门高级安全架构师杨国梁指出除了罚款，企业还可能面临补偿，此外重新建立一个良好的企业形象更是一个漫长且成本未知的事情。他表示：“品牌口碑可以直接影响最终用户的选择偏好。违反隐私规定，发生信息泄露会导致企业在公众中的信任度下降，影响企业的业务拓展。可以说信息安全问题关乎到企业的外部竞争力。”

杨国梁介绍道中国已经发布了《网络安全法》，并且《个人信息保护法》预计今年也将生效。无论是开发商、厂商还是消费者都可以依法可循，更加明确职责和权益。

网络安全的黄金时代会随着隐私法的颁布而到来吗？

不要对此抱有太高的期望。即使高额罚款有一定威慑作用，但如果企业配合监管机构，在发生网络安全问题后进行整改，则罚款也会大幅减少。

GDPR现已生效近20个月，迄今为止最高额的“建议”罚款是对英国航空公司的2.3亿美元。是的，这笔钱不菲，但这仍然只占公司年收入166亿美元的1.3％。

此外，对网络安全要求的细节不够清晰。

新思科技副总顾问Adam Brown指出当谈到软件安全时，这些法规要么说“考虑采用最新技术来提升软件安全性”，要么更含糊地说“合理的行政、技术和保障”。

Adam Brown表示：“除此之外，现实中担起合规重任的人往往不具备充足的软件知识，相关经验有限。他们可能将软件安全和安全防护软件混为一谈。因此他们会将一些声称是最新技术但实则缺乏安全性的软件视为解决方案。”

如何做到遵循隐私法规？

世界上没有一蹴而就的安全解决方案。但是企业可以避免因不遵守日益严格的隐私法而受到上诉处罚的潜在法律费用。他们可以将这笔钱，或者更少的钱，用在一些更实在的举措上：软件安全计划（SSI），以帮助保护其数据。

正如新思科技销售工程师Ian Ashworth指出的那样，软件是提高安全性的核心，因为“应用程序已成为网络攻击的首选目标” 。

他表示：“我相信软件安全解决方案提供商希望更多人能关注这些风险，并乐意与政府合作，为制定最佳方案出谋献策。”

“向左移”，软件更安全

安全“向左移”已经是业界共识，倡议将安全贯穿在整个软件开发生命周期（SDLC），从软件构建之初就开始安全测试。这些测试工具包括SAST（静态应用安全测试）、DAST（动态应用安全测试）、IAST（交互式应用安全测试）、RASP（运行时应用程序自我保护）和渗透测试等，所有这些都有助于开发商交付更安全的产品，尽管这些产品不是无懈可击（没有产品可以做到），但也不会被不法分子列入“易攻击”名单。

10多年前，新思科技发起了软件安全构建成熟度模型（BSIMM）项目，每年发布一版BSIMM报告，在2020年将发布第11个版本。BSIMM是一款“描述性”模型，涉及多个垂直领域，旨在帮助企业规划、执行、完善和评估其SSI。2019年发布的BSIMM10反映了122家公司的软件安全计划，涵盖金融服务、高科技、独立软件供应商（ISVs），云、医疗保健、物联网、保险及零售业。

BSIMM并不是建议每个企业都以相同的方式进行SSI，不会提出需要“做什么”或“怎么做”。BSIMM的数据是从真正建立SSIs的公司收集而来，量化了119项活动的发生，来展示许多计划的共同点以及彰显个性的不同之处。BSIMM数据显示高成熟度的计划是全面的，涵盖该模型所描述的全部 12项实践中各种各样的活动。企业可以采用BSIMM来比较计划并且决定哪些额外活动可能对支持其整体战略有意义。

简而言之，更高的软件安全性可以实现。如果没有软件安全，企业则无法符合陆续推出的与隐私有关的法律法规。