有很多关于加密的神话:它的管理非常复杂,它会显著降低应用程序或网络性能,它是毁灭性的昂贵,等等。另一个神话是,欧盟的《通用数据保护条例》(GDPR)于2018年5月生效,规定加密是强制性的:它并没有,事实上,规则的作者几乎没有提到加密。但是,部署加密技术来保护敏感数据,作为更广泛的合规策略的一个重要方面,非常有意义。
GDPR吸引了大量关注,这不仅仅是媒体或行业炒作。这是数十年来数据保护立法方面的最大变化,因为相关法规大幅收紧,对不合规行为的处罚也相当严厉。GDPR已经改变了对个人身份信息保留和管理的态度,随着案件的起诉,将采取更多的防御性行动。
GDPR规则是一把双刃剑,因为它们会对内部、员工和外部、与客户和合作伙伴相关的存储或传输数据产生影响。从本质上讲,GDPR在组织可以持有哪些信息以及可以将这些信息用于何处方面的规定要严格得多。丢失敏感数据可能会导致与数据保护机构(dpa)进行一些严肃的对话,dpa是作为GDPR监管机构的独立公共机构。
实际措施
这就是加密的用武之地。数据可能会被故意泄露,例如,通过犯罪分子和心怀不满的员工,他们急于获取有价值的信息或让公司难堪。或者它可能会意外丢失(例如,由于员工的粗心大意或不知道转发客户详细信息)。
通过培训和更安全的工作流程,后者更可控。但当数据离开工作场所时
在通往互联网或云服务提供商的路上,很难确保它不会被窥探。这部分是因为互联网和云计算是基于开放协议和共享基础设施的。当数据离开大楼时,很难保证数据以安全的方式流动,因为公共互联网共享管道、机柜、光纤和其他公共元素。
加密不是万能的灵丹妙药,但如果使用得当,它肯定会让数据更安全。可以将其视为在恶意或意外泄漏事件中支持安全性的另一层—在这两种情况下,通过加密置乱数据可以降低数据被滥用的风险。
不要相信我的话,GDPR的作者明确提到了“减轻这些风险的措施,比如加密”,“适当的保障措施,可能包括加密”,“个人数据的假名化和加密”,以及让数据“对任何未经授权访问的人来说都无法理解,比如加密”的工具。
已知和未知因素
然而,谈到GDPR,仍有一些未知和灰色地带。例如,我们不知道各个dpa将如何解释这些规则,也没有关于加密强度应该有多强的官方指导,也没有提及加密数据是在静止(存储)还是在传输(数据传输)的上下文中被引用。
但是一些dpa,如英国信息专员办公室(ICO)已经详细讨论了使用加密的积极影响,包括2016年3月提供的加密指导。在当时的一篇博客中,它清楚地表明了自己的立场:
“ICO认为,在缺乏加密导致数据丢失的情况下,可能会采取监管行动。自2010年以来,我们发布的大量罚款都与未能正确使用加密作为技术安全措施有关。如果数据没有得到适当的保护,就更有可能发生丢失、盗窃或不适当的访问。”
显而易见的是,对数据进行加密(当然也要充分注意加密密钥)最终是一种明智的预防措施——如果数据丢失了,它仍然是相对安全的,因为数据将被打乱,因此是无用的。这至少可以说服dpa在更广泛的数据泄露事件中更加宽容。
也就是说,对于GDPR来说,加密并不是“免费出狱”的通行证,我们看到越来越多的公司在考虑其他策略,比如使用更多的私有以太网或光学连接和设备。对员工和合作伙伴进行更多的培训和教育当然也是明智的,作为获得专业知识和最佳实践的一种方式,托管服务可能会变得更受欢迎。显而易见的是,责任由组织承担。有鉴于此,应该全面考虑加密作为当前和未来良好数据治理的一个组成部分,而不是定义特征。
本博客来源于GDPR:Report,如果您想查看原文,请点击在这里
柯尔特技术服务
2019年1月4日
最近的帖子
