滿足立法者和機構頒布的不斷變化的監管要求已成為一項艱鉅的任務。科技領域的快速變化和指數級成長為威脅行為者入侵系統、洩露寶貴機密資料提供了機會。科技業面臨的風險可能比以往任何時候都更大,對網路安全的關注也比以往任何時候都更加迫切。
雷‧庫茲韋爾(Ray Kurzweil) 在其1999 年出版的《精神機器時代》一書中聲稱,「在21 世紀,我們不會經歷100 年的進步,而會更像是20,000 年的進步(以今天的速度)。
各州目前正在製定自己獨特的資料隱私法,這些法律通常超出了聯邦政府制定的法規。技術營運部門也必須敏銳地意識到,國際網路安全措施適用於大洋彼岸。這些零散的規則使得監管合規變得極為棘手。更糟的是,美國證券交易委員會(SEC) 可以對違反其《消費者金融資訊隱私和個人資訊保護法》的行為處以最高「1,098,190 美元或三倍於金錢收益」的民事罰款。除非採取特別的警惕措施,否則爆炸式增長的IT 保護可能會變得越來越具有挑戰性。
什麼是監理合規性?
科技業的監管合規性涉及達到或超過立法者和機構制定的資料保護標準。美國國會、州立法機構和監管機構(如美國證券交易委員會、食品藥物管理局、聯邦貿易委員會(FTC)、金融業監管局、北美電力可靠性公司)以及海外組織制定了全球公司必須遵守的數據隱私權和保護政策。
值得注意的是,美國國家標準與技術研究所(NIST) 等機構以顧問身分制定了網路安全措施,這些措施經常被聯邦政府採用。不遵守這些規定可能會導致巨額罰款、執照被吊銷,甚至被禁止在特定行業開展業務。
隨著企業跨越州際和國際擴張,其監管合規責任與不同司法管轄區規定的責任重疊。這意味著企業必須實施新的網路安全政策和流程才能成長。在科技快速發展的時代,嚴格遵守資料保護法規通常需要整個專家部門或外包給具有網路安全專業知識的第三方管理IT 公司。
IT 合規法規的基本組成部分
IT 合規法規的主要內容是保護資料不受各種軌跡點的影響。標準著重於網路安全、隱私和資訊系統的結構完整性。根據數位資訊的類型,立法者和監管機構制定有關適當保護方法的規則。這些是IT 合規法規的基本目標之一。
資料安全:法規要求公司實施技術、設備和專業人員來確保敏感資料不受外洩。 保護隱私:客戶、委託人和病患在與組織分享資訊時都期望獲得隱私。資料保護規定就是為了實現這一目的。 風險管理:資料安全法規通常要求公司進行風險評估。此過程突顯網路安全優勢和弱點。通常由具有網路安全專業知識的第三方管理IT 公司執行,全新的視角可以發現內部技術人員習慣看到但有時會忽略的問題。 事件回應:法規遵循涉及組織對迫在眉睫的威脅做出快速反應的能力。組織通常必須具備快速識別、限制和消除數位資訊風險的能力。 管理供應商:沒有一家公司在真空中運作。與同行業的企業互動可能會為駭客打開大門。資料保護法規通常涉及數位資訊的共享、儲存和傳輸方式。 網路安全意識培訓:風險評估過程中經常出現的問題之一是員工缺乏網路安全知識。資料隱私法規可以要求所有存取、儲存或傳輸數位資訊的人接受網路安全意識培訓。
透過實施適當的技術產業營運規定,未經授權的使用者將面臨強大的安全措施。未達到安全預期的企業只不過是唾手可得的果實,等待著普通駭客的收割。
未能維持監管合規的成本
未能保持監管合規性通常會在網路安全事件發生後暴露出來。毋庸置疑,外國駭客一直在增加攻擊次數和逃避偵測的方法。近年來,物聯網設備和技術為不法分子提供了竊取商業資料的新玩意和新工具。
據Statista 稱,75% 的美國首席資訊安全長(CISO) 表示,他們的公司在2023 年面臨重大網路攻擊風險。 2022 年,針對企業的攻擊次數上漲至48 萬次,預計2024 年損失將超過4,520 億美元。這些是企業因不合規而遭受的其他類型的損失。
曠日持久的訴訟:當公司未能充分保護敏感資料時,監管機構會提起民事訴訟,通常會導致商定罰款。受影響的客戶和外圍企業也可能向法院提起訴訟。個人資訊被洩露的人會尋求高額的金錢法庭判決,需要昂貴的律師來辯護。 業務中斷:停機不僅會影響公司的直接利潤。被迫到其他地方購買商品和服務的客戶可能不會再回來,造成未來的損失。
這些以及其他慘痛的損失不一定包括監管機構的罰款和長期聲譽損害。
不遵守規定的代價高昂
去年,位於拉斯維加斯的米高梅國際酒店集團(MGM Resorts International) 發生重大網路安全漏洞,造成的損失超過1 億美元。米高梅是全球最大的博彩和休閒營運商之一,在遭到一群Z 世代駭客攻擊後,該公司網路被迫使用剪貼簿和紙質收據。聯邦調查局(FBI) 展開調查,旨在識別網路犯罪分子並將他們繩之以法。相較之下,聯邦貿易委員會(FTC) 則展開了自己的調查,以確定米高梅是否未能達到監管標準。在聯邦貿易委員會要求提供大約100 類資訊後,米高梅最近成交量入了一場阻止該聯邦機構的民事訴訟。這些是其他財力雄厚的公司,除了最初的損失外,還被處以高額罰款。
摩根大通:因員工使用WhatsApp 和其他平台逃避聯邦記錄保存法規的監管,該公司與美國證券交易委員會協商後被罰款125 美元,並向商品期貨交易委員會支付7,500 萬美元。 萬豪:這家旅館業巨頭因違反歐盟《一般資料保護規範》(GDPR)而支付了高達1.24 億美元的罰款。據報道,超過3.39 億筆客人記錄被洩露。 英國航空公司:超過50 萬客戶的資料遭到洩露,該組織面臨2.3 億美元的監管罰款。
據報道,Equifax 在2017 年開出了一張5.75 億美元的支票,而Uber 因未能按照監管標準保護機密資訊而被罰款150 美元。未能滿足資料保護要求將打開真正的潘朵拉魔盒,帶來財務損失、聲譽受損和民事訴訟。這就是為什麼科技業和其他行業的商業領袖必須竭盡全力實現並保持對所有適用法規的遵守。一些大型跨國公司每年花費數百萬美元用於內部網路安全,以遵守不斷變化的要求。
營運內部安全營運中心(SOC) 的成本
SOC 是全天候保護寶貴機密資訊的最佳方式之一。公司聘請優秀的IT 和網路安全專家來擔任行政和監控職位。關鍵職位通常包括以下職位。
分類員:此入門級職位涉及分析警報並確定其優先順序。分類員還可以為處理故障和忘記密碼的同事提供支援。 網路安全調查員:經驗豐富的專業人員通常會處理可信任的威脅,並深入挖礦網路以識別異常和其他潛在資料外洩的跡象。許多人會採取迅速措施來減輕風險並消除威脅。 高級安全分析師:技術精湛的網路安全專家負責SOC 維護並搜尋固有系統漏洞。高級安全分析師執行稱為「威脅搜尋」的操作並不罕見。 首席資訊安全長(CISO):SOC 團隊負責人負責監督和技術監管。此人是公司領導階層的溝通管道,負責規劃降低風險的關鍵後續步驟。
持續的SOC 警戒總成本每年可達數百萬美元。持續的網路安全教育和培訓等隱性成本往往會使內部SOC 的價格飛漲。人員流失也是一個因素,因為2023 年全球認證網路安全專業人員的短缺人數接近400 萬人。
對於能夠負擔內部SOC 高昂費用的組織來說,考慮到潛在的財務損失、聲譽損害、民事訴訟以及因不遵守法規而徵收的巨額罰款,這樣做是合理的。無法合理證明這筆支出合理的企業通常會利用可擴展的vSOC 服務。事實證明,外包全天候網路安全具有成本效益,企業領導者可以建立必要的實踐以超越法規合規性。
SOC 或vSOC 滿足資料保護標準的優勢
對於科技業營運而言,持續的資料安全警戒非常重要。一次失誤、一次資料外洩以及由此造成的後果可能會對整個組織造成災難性的後果。當該行業的客戶和合作夥伴對一家公司能否保證其資料安全失去信心時,決策者可能會開始重新考慮這種關係。幸運的是,SOC 或vSOC 提供了主動優勢,使企業能夠超越州、聯邦和國際法規。
警覺監控:精心設計的SOC 或vSOC 能夠提供持續監控。當駭客坐在另一個時區的咖啡館試圖在半夜入侵時,有人隨時準備好即時回應。 增強視覺性:將所有網路安全元素中心化到一個房間或虛擬安全營運中心,可以實現雷射聚焦。虛假威脅被清除,可信任威脅則由網路安全專業人員迅速處理。 SOC 或vSOC 可提高可視性並縮短反應時間。 中央樞紐:透過中心化監管安全工作,各部門可將資訊直接傳遞給網路安全專家。這消除了可能導致延遲響應可信任威脅(例如有針對性的網路釣魚攻擊)的任何猜測。
過渡到虛擬或內部SOC 提供了一個重新思考敏感和寶貴資料保護方式的機會。這種方法還允許CISO 納入適用的州、聯邦和國際資料隱私法規中概述的所有做法。
企業需要因應的監管措施
說資料保護法規的清單很長,其實一點也不為過。加州、維吉尼亞州、康乃狄克州、科羅拉多州、猶他州、愛荷華州、印第安納州、田納西州、俄勒岡州、蒙大拿州、德州、德拉瓦州、佛羅裡達州、紐澤西州和新罕布夏州等州都制定了廣泛的數位隱私法。預計未來幾年,這份清單還會繼續增加,在這些州和其他州開展業務的公司必須滿足這些要求。
一般資料保護規範(GDPR)
許多人認為,GDPR 是衡量資料消費者資訊保護法規的試金石,它影響收集歐盟居民個人資訊的組織。為處理信用卡購買等目的收集資訊的公司必須告知歐盟公民收集資料的原因和目的。公司必須證明他們遵守GDPR 中概述的嚴格資料隱私保護。
加州消費者隱私法案(CCPA)
加州繼續推動嚴格的資料隱私法,其他州也紛紛效法。 CCPA 賦予加州居民特定權利,規定他們個人資訊的收集、儲存、傳輸和使用方式。該措施要求公司承擔某些義務,例如發布透明度通知。即使公司在其他州收集信息,加州也會執行CCPA。
健康保險流通與責任法案(HIPAA)
醫療保健產業是駭客最常被攻擊的產業之一。這主要是因為組織收集、儲存和傳輸大量寶貴的機密資訊。信用卡、銀行帳戶、姓名、地址、出生日期甚至社會安全號碼都儲存在醫療保健系統中。維持HIPAA 合規性是最嚴格的監管標準之一。
格雷姆-里奇-比利雷法案(GLBA)
《金融服務法》專注於金融機構,為保護數位資訊制定標準。它明確限制貸方對個人資訊的處理,並要求公司提供隱私權聲明。金融機構努力遵守《金融服務法》的監管規定,並將資料保護外包給擁有網路安全專業知識的託管IT 公司,這種情況並不罕見。
支付卡產業資料安全標準(PCI DSS)
信用卡和金融卡是駭客的高價值目標,他們希望透過在暗網上出售資訊來快速賺錢。 PCI DSS 規定為公司如何處理、儲存和傳輸持卡人資訊制定了指導方針。其最終目標是透過確保公司滿足維護安全網路所需的標準來防止盜竊和濫用。
關於如何最好地保護寶貴機密數據,一些新想法正在進入推進新法規和更新現有法規的討論。例如,愛荷華州《消費者資料保護法》計劃於2025 年1 月1 日生效。蒙大拿州《消費者資料隱私法》將於10 月上線。該法案仿照去年生效的康乃狄克州法律,賦予居民選擇退出可能合法出售的名單的權利。
《俄勒岡州消費者隱私法案》將於7 月生效,該法案解決了與生物特徵資料相關的問題。俄勒岡州於2023 年通過該法案,成為第六個通過此類立法的州,其他州也可能採取類似措施。隨著人工智慧和機器學習在數位時代發揮越來越重要的作用,公司可以預見立法者和機構制定監管合規措施的方式將會發生巨大變化。
科技業公司可以採取哪些措施來實現監理合規
科技業無法免受普通駭客和進階持續性威脅的攻擊,這些威脅試圖竊取敏感資料。為了實現監管合規,第一步通常需要進行全面的風險評估。了解系統漏洞和員工缺乏網路安全意識知識是一個起點。
一旦行業領導者了解了他們的營運弊端,就可以治癒它們。 vSOC、網路安全大修和持續的意識訓練等解決方案對於防禦企業的攻擊面至關重要。數位安全的技術營運可以阻止威脅行為者,維護其聲譽,並避免監管罰款和民事訴訟。
資訊來源:由0x資訊編譯自SOCIALNOMICS。版權歸作者John Funk所有,未經許可,不得轉載