GDPR已进入第三个年头,遵守欧盟数据隐私条例仍然是组织需要解决的重要问题,尤其是在物联网(IoT)方面。
此外,随着远程工作目前成为常态,以及个人设备随后大规模集成到组织网络中,影子物联网将被企业中的个人广泛部署。作为新的新冠肺炎工作场所合规性政策的一部分,即将到来的返回办公室也将带来大量物联网设备,这些设备可能会安装在网络中。
数字化转型导致了这些连网设备的爆炸式增长。但是,尽管它们为提高业务生产力和增加连接性提供了巨大的机会,但它们也为数据保护和 GDPR 合规性带来了新的挑战。其中一些设备(例如医疗设备)可能会收集大量需要保护并受 GDPR 约束的个人数据。
GDPR 隐私设计
GDPR的隐私设计和安全设计侧重于物联网制造商和设备本身设计的合规性。此外,英国境内的所有物联网服务提供商和制造商都必须遵守《消费者物联网安全实践准则》中概述的以下原则:
- 不能有默认密码
- 实施漏洞披露策略
- 保持物联网软件的更新
- 安全存储凭据和敏感数据
- 安全通信,即远程管理和控制,必须加密
- 通过最小特权原则最小化暴露的攻击面
- 确保软件完整性
- 确保个人数据受到保护
- 监控系统遥测数据
- 让消费者可以删除自己的数据
- 使设备的安装和维护变得容易
- 验证输入数据
但是,这些指南给物联网设备的制造商带来了负担。企业自己可以做些什么来遵守 GDPR? 上面的许多原则都适用。
发现数据保护盲点
当今组织需要解决数据保护盲点,以确保合理的安全性,以保护消费者的私人数据并满足最低级别的网络安全要求。
尽管大多数数据安全标准要求组织确保技术是安全的和最新的,但这对大多数人来说是一个挑战。尽管它们是业务运营的关键部分,但连网设备的范围很广,而且经常运行过时的系统。它们的规模和多样性,以及网络连接能力带来了风险——每台设备都是潜在的攻击媒介,必须保护其免受网络攻击和潜在漏洞的侵害。
为了最大限度地降低这些风险并满足 GDPR 数据合规性和监管阈值,组织必须开发一种全面的方法来保护所有设备。这些包括:
- 发现和清点每一台设备:确保您知道并能够分析网络中的每一台物联网设备是实现安全的第一步。
- 了解可能泄露的风险和个人数据:为了遵守 GDPR,必须了解设备是否存在数据泄露风险(例如,运行过时的操作系统、支持弱密码或证书,或者设备本身有 PII 数据)。
- 了解设备在网络中做什么:建立基线并了解设备通信模式有助于您了解个人数据的处理或存储位置。例如,虽然医疗设备本身可能具有 PII,但与云中服务器通信的 IP 摄像头可能在云中存储数据。
- 监控异常通信:此最佳实践是关于识别已经发生的潜在危害,例如与恶意域的通信,以便您可以在过程中阻止数据泄露。
- 易受攻击设备的分割:实时发现、监控和行为分析是第一步。安全团队还可以使用人工智能和自动化来主动分割现有基础设施上易受攻击的物联网设备;这使得能够对设备进行适当的访问,同时限制网络安全攻击和潜在的数据保护漏洞。
通过利用自动化和正确的工具,安全团队可以提高对物联网风险的可见性,识别受GDPR约束的设备,并保护它们免受潜在的数据泄露。
让我们庆祝 GDPR 周年纪念日,以此提醒大家数据和连网设备所需的最佳实践。
