新型冠状病毒(COVID-19)的大流行加速了信息技术的许多趋势,这些趋势在全球疫情爆发之前就已经很显而易见,包括远程办公、基于云的托管和远程学习。但是,并非所有加速趋势都是积极的。其中之一就是网络攻击者对秘密信息的关注。
“我认为,对秘密信息的保护的优先级将超过对私人信息的保护,这将是网络安全的下一件大事。”
显然,信息盗窃并不是一个新现象,但是,最广为人知的攻击是针对个人数据的攻击,导致数百万人的隐私受到侵犯。另一种类型的数据盗窃行为是对商业机密的网络攻击。我认为现阶段除了保护隐私之外,保护秘密的重要性也大大提升了。
图片来源于摄图网,版权归摄图网所有
为什么是现在?最主要的因素是政府在攻击其他国家的工业机密。不无关系的是,我们正处在国际贸易冲突不断加剧的时期,这大大增加了保护和窃取商业秘密两方面的可能性。此外,大流行使许多国家树立了前所未有的障碍。另一个令人担忧的问题是内部人员实施网络攻击的事件频发,以及一些高科技公司渴望收集他们能获得的所有信息。
综上所述,这些因素对工业和政府机密构成了一种新的严重威胁,并提供了通过网络攻击获取机密的手段。我认为,对秘密信息的保护优先级将超过对私人信息的保护,这将是网络安全的下一件大事。(为了避免我在信息安全领域的兄弟姐妹会强烈抨击我的变节行为,我绝不是在低估盗窃个人信息、使用勒索软件和其他操纵性和破坏性攻击所带来的问题。我只是想表达,一个新问题要添加到列表中。)
显然,信息的秘密性和隐私性是相关的。在最基本的层面上,两者都基于机密性,即防止信息项的传播。隐私意味着数据主体在关于其个人的信息中保留利益。(请注意,隐私仅指关于人的信息。)秘密性是数据所有者在限制外界了解某些信息方面的更高层次的利益。
显然,这两个概念之间有些重叠。一些私人信息也可能是秘密的,而某些秘密信息也可能与人有关。例如,间谍机构提供的有关其间谍身份的信息可归为这两类,尽管我认为秘密信息优先。但是,目前还不清楚隐私权控制对于秘密是否同样有效。也许更仔细地检查这两者的属性会提供一些启示。美国注册会计师协会(AICPA)和今天被称为加拿大特许专业会计师(CPA)的机构开发了一个框架,被称为“公认隐私原则”(GAPP)。为了便于讨论,我在下面简要列出了其十项原则: 3. 选择和同意-向个人提供选择,包括对于收集、使用和披露的默示或明示的同意。 6. 使用,保留和处置-在同意的情况下仅出于通知中所指定的目的使用数据;仅在必要时保留数据,然后在不需要时处置数据。 7.向第三方披露-仅出于通知中的目的并经同意披露。 对于此列表,我借鉴并扩展了美国专利商标局提供的定义: 在我看来,这些属性中的某些仅适用于隐私,比如管理、通知、选择和同意以及访问。独特性仅适用于秘密。然而,在其它方面则有显著的共同点: • 对本刊读者来说不言而喻的是,安全性是一个共同的属性,尽管其并未作为秘密的一条属性被提及。没有它秘密就不能被保守。 • “利用(Utilization)”只是表示“使用(use)”的一个五音节单词,所以我认为“使用,保留和处置”在隐私和秘密之间大致相等。重要的是,信息的存储和处置方式对于创建信息的目的至关重要。信息的目的一般通过对其进行处理来证明。正如纸上写的秘密不能留在桌面上一样,电子等效物也需要安全地存储和擦除。 • 向第三方提供(或不提供)信息的方式决定了接收者可能拥有的优势。换句话说,有人悄悄地说,“别告诉别人,玛丽会被解雇的”,这既侵犯了隐私,也违反了保密性。电子版本的“分享”秘密信息也是如此。 • 信息的价值本质上与其准确性有关。如果被解雇的是乔而不是玛丽,那么耳语的流言根本不是秘密。 • 所有信息安全(包括隐私)都需要监控。秘密的区别在于执行的程度。秘密要求信息的所有者采取额外的、具体的措施,以确保安全性得到维护。如果要访问所有信息仅需要用户名和密码,则尽管这些是秘密信息所必需的,但这个保护程度是不够的。必须做更多的事情来保护真正的秘密。重申一下,无论网络安全采用何种安全措施,都应坚持下去。根据我先前给出的分析,在我看来,秘密和隐私的重叠要求扩展现有的隐私计划,假设组织已经有了隐私计划。如果没有,它都应当至少遵守相关法律法规。
然后,一个组织应该确定它所拥有的哪些信息,实际上是秘密。有些秘密具有巨大而持久的保密要求;如何制造大规模毁灭性武器肯定属于这一类。另一方面,应在几天内公开发布的财务信息也是秘密,尤其是它可能影响到股价时。广义上,几乎每个组织和政府机构都有一些应该密切掌握的信息。面临的挑战是确定它是什么和在哪里。 与私人信息不同,秘密不太可能在结构化文件和数据库中找到。更可能隐藏的地方是在非结构化数据中,例如文件共享、文档(包括电子文档)以及协作工具(例如Microsoft的SharePoint)。“在我看来,保密和隐私的重叠要求扩展现有的隐私计划,假设组织已经有了隐私计划。” 一个秘密计划,出于隐私考虑,需要…… 哦,我的编辑告诉我本文篇幅过长了。我将在下一篇文章中揭示秘密。 编者注:本文出自ISACA Journal 2021年第1期。尾注略。根据译者对原文的理解略作增删后翻译。文章内容仅代表作者本人观点。 作者:Steven J. Ross,CISA,CDPSE,AFBCI,CISSP,MBCP,是Risk Masters International LLC的执行负责人。自1998年以来,他一直是《ISACA Journal》最受欢迎的专栏作者之一。 翻译:李京(Randy Li),CGEIT,ISACA微信公众号特邀通讯员,关注IT治理、信息安全。 校稿:尹杭宇,CISM,PMP,ISACA微信公众号特邀通讯员。