数据隐私问题在2016年的受关注度达到了***的高度,这主要归因于这几个因素:年初苹果公司与FBI围绕加密的iPhone展开了旷日持久的争论,欧洲出台了新法规,以及人们一直担忧美国国家安全局和政府访问爱德华·斯诺登披露的个人信息。
JD·谢里(JD Sherry)是总部位于丹佛的解决方案提供商Optiv Security公司的副总裁,他说:“毫无疑问,数据隐私是向云端迁移时最关注的问题。”
这个障碍对许多公司的收入来说是个关键问题,因为据研究公司Gartner声称,向云转移预计会在未来五年带来1万亿美元的直接或间接支出。同样,研究公司IDC预测,到2020年,一半以上的IT基础设施支出将投入到云。
艾伦·福尔肯(Allen Falcon)是总部位于马萨诸塞州韦斯特伯勒的解决方案提供商Cumulus Global的***执行官,他表示,每当他与客户谈论迁移到云端,总是会谈到安全或隐私这个话题,这个话题有时由客户自己提出,有时由Cumulus Global提出。
如果接受教育,客户在隐私和安全方面的顾虑更容易打消,但是“不够迅速”,他说。查尔斯·拉迪(Charles Radi)是总部位于波士顿的云解决方案提供商Cloud Technology Partners的副总裁兼***云架构师,该公司服务于企业市场。据他声称,***的企业客户同样存在那些顾虑。
拉迪说:“我们在处理几乎每一个客户的[隐私]问题。这是个永远绕不开的话题。”拉迪表示,Cloud Technology Partners的企业客户尤其在政府访问、隐私法规以及将安全工具从内部环境迁移到云环境等方面顾虑重重。
独立安全顾问兼《保护云安全》作者维克·温克勒(Vic Winkler)表示,这种顾虑主要是由混淆和困惑引起的。
温克勒在接受CRN的采访时说:“如今很难站在一个深思熟虑的角度来探讨网络安全的这些话题,原因是一大堆的虚假信息和不同观点令人困惑。说到如何打消客户的这些顾虑,以便扩大业务,云服务提供商确实面临挑战。如果它们想要扩大业务,势必要打消这些顾虑。”
但是,说到公共云的数据隐私,这些顾虑的根据又有多充分?如果你问一问各大云服务提供商本身,它们说:根据不是很充分。
微软公司副总裁兼副法律总顾问尼尔·萨格斯(Neal Suggs)说:“这是你的数据。这不是我们的数据。通常来说,我们设计的系统和流程确保将数据当作是你的数据,而不是我们的数据。微软的运作有赖于信任。”
萨格斯表示,微软制定的云战略基于四大支柱,数据使用、控制和隐私共同构成了一大支柱,另外三大支柱是安全、合规和透明。那些支柱并不仅仅局限于设计公司的系统、已到位的流程、加密技术、审计流程,以及这种文化:“尊重客户生成的内容是客户的内容,未经客户同意,我们无权使用。”
詹尼弗·林(Jennifer Lin)是谷歌云平台主管云安全和网络的产品管理主管,他赞同这种观点,表示安全和数据隐私是客户考虑向云迁移时提出的三大优先事项之一。因而,她表示“安全和数据隐私日益成为谷歌考虑解决方案的一大差异化优势。”
林说:“用户数据是用户数据,我们想要确保自己保护用户的数据......我们要赢得客户的信任,我们要向客户表明我们并不访问客户数据。我认为,我们在面向公众的官方网站上对这一点非常明确,还明确了我们如何定义云迁移。”
亚马逊网络服务(AWS)没有安排一名高管接受本文的采访。
服务条款:同意还是不同意?
马克·古德曼(Marc Goodman)是全球安全顾问、未来学家兼《未来的犯罪》一书作者,他表示,隐私问题主要出现在隐私政策和客户与云服务提供商签订的服务条款协议。他表示,那些服务条款大不一样,因提供商而异;免费服务与收费服务的服务条款更是大相径庭。
谷歌、微软、亚马逊网络服务及其他大公司的云解决方案的收费版本往往“非常明确地表示”:用户拥有数据,而不是云提供商拥有数据。他表示,免费的云服务就不是这样,比如谷歌的Gmail和Google Drive。
古德曼说:“如果你不掏钱,你就不是客户,而是产品。大大小小的公司需要关注它们使用的所谓的免费服务和服务条款......‘我已阅读并同意服务条款’可谓是网上***的谎言。”
比如在谷歌的《数据处理修正案》中,该修正案概述了总部位于加州芒廷维尤的这家公司针对通过Google Apps服务存储的数据制定的政策,包括解决方案提供商销售的Google For Work解决方案,该公司明确表示不会将客户数据用于客户规定的范围之外的任何用途,包括用于广告目的。
微软和总部位于西雅图的亚马逊网络服务(AWS)在各自的隐私政策和服务条款协议中也有类似条文,CRN审视了它们的政策和协议。
比如说,这与谷歌针对消费者谷歌帐户的隐私政策形成了鲜明对比,谷歌在隐私政策中表示,由于众多原因,包括改善服务、开发新服务,并且为用户提供“更精准的搜索结果和广告”,它收集关于服务使用的信息、针对特定设备的信息以及位置信息。
这是否意味着使用收费服务的公司企业就没有公共云隐私和安全方面的顾虑呢?完全不是。
虽然客户可能已全面审核了云服务提供商,但实际上,“有些使用云的公司熟悉云,而有些使用云的公司不熟悉云。”古德曼如是说。
古德曼表示,这方面的一个主要例子是员工规避公司批准的解决方案,改而使用配置起来更容易的常常免费的个人云服务。
据Gartner声称,到2020年,95%的云安全故障最终归咎于客户的错误。许多人无法支持云安全的共同责任模式:客户自己负责确保数据安全,云服务提供商负责确保基础设施安全。
古德曼说:“你的数据可能存储在员工的云端,而你浑然不知......即使你使用Box或AWS――这些优秀公司有规范的服务条款,现在你的员工拿来机密的季度报告、客户线索、即将投放市场的产品的知识产权,存储在云服务提供商处;由于你的员工存储这些信息,提供商被授予了各种各样的权限和访问权。”
对解决方案提供商来说,这是个现实的问题。比如说,Cumulus Global的福尔肯表示,他在自己的客户那里看到过无数这种例子,包括公司数据丢失,或者事后认识到自己违反了监管法规。比如说,一个客户的员工使用文件共享服务的个人版本。福尔肯表示,员工离开公司后,这个客户却无法访问该员工存储在个人云帐户上的企业数据。
另一个客户的员工使用Dropbox的消费者版本,而Dropbox最近曝出了数据泄密事件。该员工将同一个密码用于其Dropbox帐户和工作电子邮件。福尔肯表示,然后黑客使用该密码登录到企业电子邮件帐户,向该员工的所有联系人发送依附在电子邮件中的恶意软件。
在另一个例子中,一个客户的一名员工与家人使用同一个帐户,她使用的个人文件共享服务也与家人共享。结果,该员工的孩子删除了各种敏感的公司文档。福尔肯表示,这些事件只是众多例子中的几个而已。
福尔肯说:“我们对客户的忠告是,如果有企业级服务,别使用免费服务;他们不该使用消费者服务,无论是不是免费。”
作为解决方案提供商,福尔肯表示他的任务就是为客户提供***信息和建议,帮助客户在数据隐私方面做出决定。他表示,这包括评估业务需求、信息访问、政策、法规要求、日常监控和管理及更多环节。
据福尔肯声称,大多数公司选择遵循Cumulus Global在数据隐私方面的建议。不过,他也遇到一些客户使用免费消费级服务,而不是购买企业级服务,宁愿在数据隐私方面冒险。他表示,Cumulus Global对拒绝购买使用可靠数据隐私标准的解决方案的客户避而远之,如果涉及监管方面的问题更是如此。
福尔肯说:“这会带来责任。我们的观点是,贵公司的价值足够值得你购买企业级工具。”
为私人信息而战
今年,公共部门与私营部门之间的隐私争论显得尤为突出,先是苹果公司与FBI围绕去年参与圣贝纳迪诺枪杀案的恐怖分子使用的一部加密的iPhone的隐私展开了一场非常公开的较量。FBI最终破解了iPhone,而不是继续寻求法律手段、迫使苹果解锁手机。
最近,微软在6月份赢得了重大胜利,案子的焦点是政府是否有权访问存储在美国境外的数据中心中的客户电子邮件。在这起案子中――微软在曼哈顿第二美国巡回上诉法院中赢得了3-0的裁决,微软对要求访问存储在该公司在爱尔兰都柏林一台服务器上的电子邮件的搜查令提出了质疑,表示这将为执法部门访问存储在国外的美国电子邮件开一个危险的先例。
Optiv的谢里称这一隐私裁决是“云计算行业的巨大胜利”,表示政府访问公共云信息是“一大挑战”,对考虑转移到云端的客户来说是个障碍。他表示,对全球性客户来说尤其如此。
尤其是微软在云隐私问题上采取了强硬立场。今年4月份,该公司对美国司法部提起了诉讼,主张政府想要访问客户数据时,自己有权告知客户。
那些问题非常切实而又重大,微软声称自己在过去18个月接到了5624份联邦搜查令和2576份禁声令。
谷歌在最近的《透明度报告》中表示,从2015年7月至12月,它在美国接到了12523次数据请求,在79%的情况下出示了数据。
亚马逊表示,从2015年1月至5月31日,它收到了813张传票、25份搜查令、13次法庭指令以及国家安全部门的249次数据请求。
微软在4月份的诉讼中表示,它在这个问题上采取强硬的立场,是由于政府暗自访问云端数据引发的隐私问题“破坏了公众对云隐私的信心,并削弱了微软在客户面前力求透明的权利。”微软的萨格斯表示,问题的核心是客户信任:微软仍将是数据的“管家”,而不是数据的所有者。他表示,微软会继续要求政府访问云端客户数据方面做到透明,因为信任是其商业模式的关键,这就好比客户信任银行:他们的钱很安全,需要时又能取出来。
萨格斯说:“我们认为,我们使命的核心是信任感,如果我们无法赢得这种信任,就无法拓展业务。信任是我们关注的焦点。”
三大云服务提供商在各自的隐私政策中对于政府访问都有具体的条文,声称只有在法律上必要时才允许访问,会努力尽快向客户告知访问请求,除非法律禁止这么做。
Cloud Technology Partners的拉迪表示,要求访问公共云数据的隐蔽传票这个问题是企业客户“最担心的”。他表示,客户的法律部门在努力把具体的条文写入到云提供商合同中,保护自己,避免要求访问数据的隐蔽传票。他表示,解决方案提供商有助于落实某些控制措施,防止云服务提供商能够访问数据。比如说,Cloud Technology Partners建议加密所有的云端数据,并且在本地管理加密密钥,而不是交由云服务提供商。
各国政府也在扮演更重要的角色,开始监管云端数据隐私。欧盟最近出台了《通用数据保护条例》,更新了如何保护数据、国家之间如何共享数据方面的标准。条例规定,公司必须告知个人为何收集他们的数据,并提供访问其数据的方法。这还防止数据被***保存,需要为大量数据设立数据保护官。云服务提供商同样受制于这些条例,条例于2018年5月生效。
隐私挑战给合作伙伴带来了机会
企业战略集团(ESG)跟踪分析云安全的高级分析师道格·卡希尔(Doug Cahill)表示,混乱带来了机会,说到驾驭云方面的数据隐私和监管问题方面更是如此。许多公司越来越意识到,它们在数据隐私方面存在问题,却不知道如何开始解决,卡希尔称这个因素为“云安全就绪缺口。”
“我认为,许多公司很清楚地意识到存在问题,这就是为什么对渠道商来说是大好机会。有能力帮助客户的合作伙伴能够帮助客户在向云迁移的过程中一开始就整合安全。”
Cloud Technology Partners的拉迪表示,这很重要,因为许多公司已经期望加快采用云。他表示,企业开始把大量的客户数据、机密数据和个人身份信息数据迁移到云端。解决方案提供商有责任帮助它们顺利迁移,同时满足安全和隐私要求。
作者古德曼表示,提供用户教育和培训也是合作伙伴要扮演的重要角色。他表示,这对于将关注和认识转化为实际行动来说尤为重要。
他说:“人们甚至不知道向外包的IT人员提出的问题,所以人们在这方面需要好好补补知识......董事会层面的培训很关键,管理团队层面的培训很关键,培训对你的所有员工来说很关键。”
谢里同意这一观点,表示公司用户在期望向云迁移时,Optiv等解决方案提供商扮演“可信赖的顾问”这一重要角色,通过设计、咨询、厂商合作和先进的云安全功能,“与客户肩并肩”。
谢里表示,站在可信赖的顾问这个立场很重要,他预计,在今后6至18个月,云计算的发展会迎来“剧变”。她表示,许多公司在安全和数据隐私方面公司仍然滞后。
谢里说:“最终,我们在竭力鼓励客户信任我们,把我们当作在向云迁移的过程中是其可信赖的安全顾问。”