[[414125]]

GDPR已進入第三個年頭，遵守歐盟數(shù)據(jù)隱私條例仍然是組織需要解決的重要問題，尤其是在物聯(lián)網(wǎng)(IoT)方面。

此外，隨著遠程工作目前成為常態(tài)，以及個人設備隨后大規(guī)模集成到組織網(wǎng)絡中，影子物聯(lián)網(wǎng)將被企業(yè)中的個人廣泛部署。作為新的新冠肺炎工作場所合規(guī)性政策的一部分，即將到來的返回辦公室也將帶來大量物聯(lián)網(wǎng)設備，這些設備可能會安裝在網(wǎng)絡中。

數(shù)字化轉型導致了這些連網(wǎng)設備的爆炸式增長。但是，盡管它們?yōu)樘岣邩I(yè)務生產力和增加連接性提供了巨大的機會，但它們也為數(shù)據(jù)保護和 GDPR 合規(guī)性帶來了新的挑戰(zhàn)。其中一些設備(例如醫(yī)療設備)可能會收集大量需要保護并受 GDPR 約束的個人數(shù)據(jù)。

GDPR 隱私設計

GDPR的隱私設計和安全設計側重于物聯(lián)網(wǎng)制造商和設備本身設計的合規(guī)性。此外，英國境內的所有物聯(lián)網(wǎng)服務提供商和制造商都必須遵守《消費者物聯(lián)網(wǎng)安全實踐準則》中概述的以下原則：

• 不能有默認密碼
• 實施漏洞披露策略
• 保持物聯(lián)網(wǎng)軟件的更新
• 安全存儲憑據(jù)和敏感數(shù)據(jù)
• 安全通信，即遠程管理和控制，必須加密
• 通過最小特權原則最小化暴露的攻擊面
• 確保軟件完整性
• 確保個人數(shù)據(jù)受到保護
• 監(jiān)控系統(tǒng)遙測數(shù)據(jù)
• 讓消費者可以刪除自己的數(shù)據(jù)
• 使設備的安裝和維護變得容易
• 驗證輸入數(shù)據(jù)

但是，這些指南給物聯(lián)網(wǎng)設備的制造商帶來了負擔。企業(yè)自己可以做些什么來遵守 GDPR? 上面的許多原則都適用。

發(fā)現(xiàn)數(shù)據(jù)保護盲點

當今組織需要解決數(shù)據(jù)保護盲點，以確保合理的安全性，以保護消費者的私人數(shù)據(jù)并滿足最低級別的網(wǎng)絡安全要求。

盡管大多數(shù)數(shù)據(jù)安全標準要求組織確保技術是安全的和最新的，但這對大多數(shù)人來說是一個挑戰(zhàn)。盡管它們是業(yè)務運營的關鍵部分，但連網(wǎng)設備的范圍很廣，而且經常運行過時的系統(tǒng)。它們的規(guī)模和多樣性，以及網(wǎng)絡連接能力帶來了風險——每臺設備都是潛在的攻擊媒介，必須保護其免受網(wǎng)絡攻擊和潛在漏洞的侵害。

為了最大限度地降低這些風險并滿足 GDPR 數(shù)據(jù)合規(guī)性和監(jiān)管閾值，組織必須開發(fā)一種全面的方法來保護所有設備。這些包括：

• 發(fā)現(xiàn)和清點每一臺設備：確保您知道并能夠分析網(wǎng)絡中的每一臺物聯(lián)網(wǎng)設備是實現(xiàn)安全的第一步。
• 了解可能泄露的風險和個人數(shù)據(jù)：為了遵守 GDPR，必須了解設備是否存在數(shù)據(jù)泄露風險(例如，運行過時的操作系統(tǒng)、支持弱密碼或證書，或者設備本身有 PII 數(shù)據(jù))。
• 了解設備在網(wǎng)絡中做什么：建立基線并了解設備通信模式有助于您了解個人數(shù)據(jù)的處理或存儲位置。例如，雖然醫(yī)療設備本身可能具有 PII，但與云中服務器通信的 IP 攝像頭可能在云中存儲數(shù)據(jù)。
• 監(jiān)控異常通信：此最佳實踐是關于識別已經發(fā)生的潛在危害，例如與惡意域的通信，以便您可以在過程中阻止數(shù)據(jù)泄露。
• 易受攻擊設備的分割：實時發(fā)現(xiàn)、監(jiān)控和行為分析是第一步。安全團隊還可以使用人工智能和自動化來主動分割現(xiàn)有基礎設施上易受攻擊的物聯(lián)網(wǎng)設備;這使得能夠對設備進行適當?shù)脑L問，同時限制網(wǎng)絡安全攻擊和潛在的數(shù)據(jù)保護漏洞。

通過利用自動化和正確的工具，安全團隊可以提高對物聯(lián)網(wǎng)風險的可見性，識別受GDPR約束的設備，并保護它們免受潛在的數(shù)據(jù)泄露。

讓我們慶祝 GDPR 周年紀念日，以此提醒大家數(shù)據(jù)和連網(wǎng)設備所需的最佳實踐。