多年来,公司几乎免费地利用了海量的数据。但时代变了,“数据越多越好”的概念正在消失,因为数据已经从一种商品变成了公司的一种沉重负担。
当我与初创公司和其他相对较新的公司交谈时,我经常听到他们不收集用户数据,也不使用运营业务所需的最低限度信息。然而,有了GDPR(通用数据保护规则)和全球类似的法规,客户现在意识到他们的数据属于他们,如果有人想使用他们的数据,那么他们应该得到相应的报酬。
对于传统业务,情况有点不同。多年来,他们尽可能的收集了更多的数据,只是为了在某个过程中能将这些数据货币化。
在网络安全领域有20多年经验的里克·赫德曼(Rick Hedeman)认为,每家公司最终都必须将它们收集和用于商业目的的数据最小化。如果他们不愿意这么做,政客和监管机构就会用新的方法介入。
英国数据保护机构最新发布的数据匿名、假名和隐私增强技术指南,似乎是减少公司对不必要数据渴望的措施之一。
数据匿名化和假名化
英国信息专员办公室(ICO)发布了其匿名、假名和隐私增强技术指南的第一章。本章介绍了上述概念,并探讨了何时可以对数据进行匿名化以达到降低风险的目的。
“我们知道数据共享可以给组织、个人和整个社会带来好处,但是也有风险。然而,有效的匿名技术为共享个人数据提供了一个隐私友好的选择,”并要求对草案进行反馈。
匿名化意味着数据不能被重新归为个人。假名是一种替代或删除个人信息的技术。例如,它可能涉及用引用号替换名称或其他标识符。
“这是一个有趣而棘手的领域。匿名化更安全,但用处更小。假名更有用,但不太安全。”
两组完全以假名命名的记录组合在一起,仍然可以用来识别个人。
Hedeman解释说道:“我们一直在把性别、年龄、邮政编码等数据集与其他数据集(比如情绪数据、消费者数据或遥测数据)结合起来。我们不会对每一组数据单独考虑太多,但当它们结合在一起时,可以揭示出比预期或实现的更多的东西。”
在与客户和合作伙伴的讨论中,Hedeman认为最广泛的暴露仍然是相当简单的——大多数企业不知道他们的敏感数据在哪里。
“大部分情况下大多数组织都知道数据的来源和记录的来源,但他们很难理解数据是如何在整个组织中转换、复制和使用的。他们通常会控制记录的来源,但不太可能控制下游数据的副本和衍生品。”
例如,公司可以指向他们的数据源,一些源自HR(人力资源)系统的信息。但一旦它被复制到某个报告或电子表格中,就很难保护这些信息了。
Hedeman说:“我认为,监管机构将解决的是这个领域——努力在哪里能获得最佳的风险或收益回报。这更多地是关于公司做好基础工作,而不是探究特别深奥或复杂的方法。”
网络攻击不会受到公众的欢迎,尤其是当它影响到消费者时。殖民管道公司(Colonial Pipeline)曾因网络攻击而遭遇天然气短缺,这只是众多例子之一。
敏感数据的突然爆发
你拥有的数据越少,你失去的就越少。但是很多年来,数据一直是一种商品,直到最近,企业才开始意识到,它也是一项巨大的负债。监管机构确保他们将其视为一种责任,网络罪犯正好显示出了这一点,在没有网络的情况下收集大量数据的成本可能会很高。(本文出自SCA安全通信联盟,转载请注明出处。)