645
政府安全資訊精選 2017年第四期:聚焦美國網絡安全新動態
Uber被指控侵犯用戶數據 美政府要求接受20年隱私係統審核 點擊查看全文
概要:美國聯邦貿易委員會(下稱FTC)經調查稱,Uber失實報告了對雇員提取乘客和司機個人信息的監測程度,且未采取適當措施保護用戶數據。FTC稱,Uber甚至未采取低成本的防止入侵措施,例如要求工程師使用區分的密鑰,或要求多重因素認證。此外,Uber還把地理位置等敏感用戶信息,在數據庫存為普通可讀文本。Uber和FTC達成協議,將在在180天內取得獨立第三方的隱私審核,今後每兩年進行一次審核,持續20年。
點評:許多快速發展的初創企業都麵臨此類風險。初創企業專注於業務的發展,通常會在保障用戶數據安全和隱私方麵缺少投入。相關監管部門可以引導並支持初創企業增加安全投入,在公司整體架構之初就把安全當作重點,培養員工的安全意識,通過製度和技術保障數據的安全性和隱私性,避免公司壯大後出現更大的安全隱患。
【全球政策趨勢】
美科技公司建議對執法部門獲取位置數據設更高門檻 點擊查看原文
概要:蘋果,臉書,穀歌,SNAP等美國科技巨頭聯名向美國最高法院建言,希望提高政府部門和警方通過智能電話來直接固定使用者位置的門檻。各大公司的意見是消費者不應該在買一個智能電話的同時就可能被無限製的監視位置,而相關政府部門應當有足夠的理由才應該能通過智能電話定位用戶。美國最高法院將在今年秋天審議該意見。
點評:這一提議體現了科技公司在依法配合執法部門要求與保障用戶數據隱私之間的平衡,也反映了消費者對個人隱私保護的重視。
歐盟《網絡與信息安全指令》和GDPR將同時生效 點擊查看原文
概要:《網絡與信息安全指令》(下稱NIS指令)將要求某些類別的關鍵基礎設施提供商采取措施來應對越來越多的網絡威脅。NIS指令不適用於所有企業,隻適用於能源,運輸,銀行,金融市場基礎設施,衛生部門,水和數字基礎設施部門的“基本服務運營商”。一般來說,要求這些組織實施適當的安全措施,並將事件通知主管機關。但具體細節將由各成員國決定,尚未確定。符合NIS指令目前更具挑戰性,因為尚未指定最終的細節。
點評:雖然關注度不及GDPR,但是NIS指令的重要度同樣很高,且將與GDPR同時生效。NIS和GDPR的前身,現在的數據保護指令是同一種形式, 雖然不是法律法規,但是要求各成員過按照指令要求滲透到本國法律中去。
【雲上視角】
美國商務部計劃將三個網絡安全項目遷移上雲 點擊查看原文
概要:美國商務部計劃將企業安全運營中心(Enterprise Security Operations Center)、企業網絡安全監控與運營(Enterprise Cybersecurity Monitoring and Operations)和持續診斷與緩解項目(Continuous Diagnostic and Mitigation systems)遷移到雲上。美商務部上個月麵向行業征集上雲最佳方案。
點評:美商務部希望將這三個項目遷移上雲,主要是看重雲環境中管理與拓展的靈活性、安全性和成本的透明度。美商務部要求有意向的雲服務商提供對遷移可操作性的分析、完整供應鏈的風險評估、雲托管架構和運維管理方式。這個項目是對雲服務商安全能力的極大考驗,最終花落誰家、如何實現,值得持續關注,並借鑒其精華。
金融、政府、遊戲安全資訊精選會通過雲棲社區專欄,
如果您是阿裏雲用戶,
最後更新:2017-08-21 10:32:48