如何實現隱私法規要求的 “合理安全性”?
責編:gltian |2019-05-07 14:22:19諸如《歐盟通用數據保護條例》(GDPR) 和《加州消費者隱私法案》(CCPA) 等隱私法規都要求企業提供 “合理的安全性” 以保護客戶的個人信息安全。下述建議將幫助您最大程度地實現這一標準。
“合理的安全性”是《加州消費者隱私法案》和加利福尼亞AB 1950等法規中所規定的要求。未能滿足該要求可能會被起訴為 “疏忽、怠慢(negligence)”。在侵權法中,“疏忽”是指專業人士并沒有根據他們的專業操守、行為,作出符合一般大眾所能接受的 “注意標準”(standard of care),從而致使他人遭受損失的行為。
想要起訴某人存在“疏忽”行為,你必須要能夠證實如下4大要素:
1.被告對原告負有責任;
2.被告違反了義務;
3.被告違反義務的行為是導致原告利益受損的原因;
4.對原告造成了清晰可辨的損害。
當有人向公司提供敏感數據時,該公司有責任合理地保護和處理這些數據。那么安全管理是如何判斷他們的公司是否從法律和監管角度妥善地保護了這些數據的呢?
法院必須根據標準評估您的行為,以確定這些行為是否“合理”。合理的行為通常基于客觀標準,即以一個合理的、謹慎的人的標準來衡量行為人的行為。如果行為人是按照一個合理的、謹慎的人那樣行為或不行為的話,那么他就沒有過錯;反之,則是有過錯的。
除此之外,還可以基于對企業或行業的威脅認知以及受保護的內容來定義什么是“合理的行為”。在Patco Construction(美國緬因州一家小型家族制建筑公司)起訴People’s United Bank的案件中,聯邦上訴法院判定,People’s United Bank的安全程序在商業上是不合理的,因為該銀行對持續欺詐(鍵盤記錄程序)的認知,以及對此類欺詐行為所實施的安全控制措施明顯不足(缺乏對此類行為的監測)。
下面來自美國第三巡回上訴法院,向我們展示了兩個廣為人知的違規事件中所體現的 “不合理安全性”:
1. 卡系統解決方案(CSS)自2005年開始的違規行為
將客戶數據存儲在脆弱格式中長達30天之久;沒有充分評估Web應用程序和計算機網絡的脆弱性;沒有實施基本的防護策略;沒有使用強密碼;沒有行之有效的訪問控制措施;沒有部署充分的措施來檢測未經授權的訪問行為等;
2. 溫德姆在2008年-2010年間發生的違規行為
允許酒店內的軟件以明文可讀文本存儲客戶的支付卡信息;沒有監控此前入侵行為中使用的惡意軟件,致使惡意軟件再利用;允許遠程訪問酒店的資產管理系統;缺乏行之有效的安全措施,如防火墻等;沒有合理的措施來檢測和防御未經授權的訪問行為。
“合理”是如何被用作安全指標的?
在確定一方的行為是否違反義務時,“合理”作為衡量標準的作用就凸顯了。如果你沒有扮演好 “合理” 的角色,那么你就違反了自己的職責。
在上文提到的Patco Construction公司起訴People’s United Bank的案件中,雖然People’s United Bank收集了安全警報(關于交易的高風險評分),但卻并未將其用于阻止欺詐行為方面。由于這種 “不合理行為” 損害了客戶數據安全,因此可以說,該公司違反了對其客戶應盡的責任。
除此之外,還有一個重要的區別就是有專業的 “注意標準”。例如,加州陪審團指令(CACI)600條就定義了由陪審團所確定的 “專業注意標準”:
如果行為人沒有做一個 “合理謹慎的人”,在由證據所顯示的類似情況下會做的事,那么他/她就會被視為 “疏忽”。簡單來說,“疏忽” 就是沒有運用通常的或合理的謹慎。而通常的或合理的謹慎是指普通謹慎的人在由證據所顯示的類似情況下,為了避免給自身或他人造成傷害而運用的謹慎。這里所提到的技能、知識和謹慎水平有時被稱為 “注意標準”。
總而言之,“疏忽” 通常是以一個合理謹慎的人在同等情況下會做什么為標準來衡量。
這些專業注意標準仍然是客觀的,但要求專業人員擁有信譽良好的專業或職業成員所具備的知識和技能。通常情況下,如果倡議者堅持自己擁有與成功執行工作相關的專業技能,那么其工作就可以稱之為職業。
例如,醫生就屬于這一類,法院也會采取國家護理標準來評估其行為。醫生具備高出普通謹慎的人的特殊技能;他們知道如何診斷病人并提供治療。同樣地,律師也是如此,他們可以利用自身對法律知識的掌握,將其有效地應用在客戶身上。
就這一方面而言,安全專業人員和其他專業人員沒有什么不同,因為他們同樣是依靠自身的專業技能(如風險評估、安全設計審查、取證檢查、滲透測試、惡意軟件分析、安全代碼審查分析等),來保護和確保公司的企業系統安全。因此,安全專業人員可能同樣會受到專業 “注意標準” 的限制。
專業 “注意標準” 比普通謹慎人士標準(ordinary prudent person standard)更為嚴格,且面臨的責任可能會進一步增加。正如醫生需要遵守國家醫療標準一樣,加利福尼亞州也已經制定了一份構成 “商業合理安全性” 的行為清單。遵循國家 “注意標準” 并不能確保 “合理性”,但是,不遵循國家 “注意標準” 通常就會成為 “不合理” 或不滿足注意標準的證據。
以下是由互聯網安全中心(CIS)制定的安全控制措施自檢表。加利福尼亞州已經出臺了數據安全法,要求以下述清單項目為標準建立“合理的”安全性:
1. 授權和未授權設備的詳細清單;
2. 授權或未授權軟件的詳細清單;
3. 移動設備、筆記本電腦、工作站和服務器上的硬件和軟件的安全配置;
4. 持續的漏洞評估和修補;
5. 控制使用管理權限;
6. 審計日志的維護、監控和分析;
7. 電子郵件和網頁瀏覽保護;
8. 惡意軟件防護;
9. 網絡端口、協議和服務的限制和管控;
10. 數據恢復能力;
11. 網絡設備(如防火墻、路由器和交換機)的安全配置;
12. 邊界防護;
13. 數據保護;
14. “基于必要”的訪問控制;
15. 無線訪問控制;
16. 賬戶監測和控制;
17. 安全技能評估和適當培訓,以彌補缺口;
18. 應用軟件安全;
19. 事故響應和管理;
20. 滲透測試和對抗練習;
CIS安全控制措施文檔是眾多實踐清單之一。除此之外,SANS也通過匯編其他資源生成并發布了自己的 “Top 20” 實踐清單;極具代表性的NIST SP 800-53聯邦IT系統安全和隱私控制標準也在其最新版本5.0中羅列了900多項個人安全措施。總體來看,CIS安全控制列表提供了一個全面且易于管理的項目清單。但是,要知道,每項業務不同,其面臨的風險也各不相同,切不可以一概全。
另外需要注意的是,CIS控制清單中提及的第2項(授權或未授權軟件的詳細清單)對于大型企業而言只是 “高付出低回報” 的措施。此外,CIS控制列表中的項目順序可能會讓人誤以為是項目的優先級次序。
僅僅依靠安全團隊是無法解決這所有20個CIS控制措施的。IT和網絡團隊需要通過與安全團隊合作來確保實現網絡安全要求。此外,應用程序開發人員也需要通過與安全評估團隊合作,來學習如何編寫安全代碼,以降低應用程序安全代碼審查過程中發現的風險。設施管理團隊同樣需要與安全團隊合作,以防護針對公司工作環境的物理訪問行為。
雖然清單可以提供一種簡單的方法來引導資源,但它們通常是不完整的。公司有時候可能需要未列出的防御機制來實現 “合理的” 安全性。安全必須是一個整體過程,需要考慮到業務如何運行以及珍貴的資產對外部攻擊者和公司本身的意義。根據清單可能無法正確看待不同系統的相對重要性,結果致使某些領域的控制措施可能會被過分強調,而其他領域的控制措施又被忽略。
為了進行說明,讓我們先來回顧一下合理的安全程序是什么樣的,以及如何將它傳達給高管。請記住,在合理的 “注意標準” 下,你需要實施一個安全程序,這個程序是合理謹慎的安全專業人員所實施的。你必須了解你的業務是如何運行的,哪些系統是業務的核心,你擁有哪些類型的敏感數據,如何接收、處理、使用、存儲和傳輸/共享這些數據,采用何種保護機制以及這些數據所涉及到的相關法規等。你需要了解在風險因素的作用下敏感數據是如何得到保護的。如果沒有得到適當的保護,請將相應的控制措施部署在適當的位置。
為了獲得 “合理的” 安全性,你需要做的第一件也是最重要的事情之一,就是了解你需要保護的內容。威脅模型/評估是實現該目的的一種有效方式。
執行威脅和風險評估
合理謹慎的安全專業人員會了解這樣一個事實:在構建合理的安全項目時,資源和預算通常是有限的。此外,你還必須考慮漏洞、可利用漏洞的威脅、事故發生的可能性以及事故會導致的財務、聲譽等潛在影響。攻擊者通常會將目光鎖定在高價值的企業或領域中,這時候,你就需要明確了解高價值領域是什么,公司的核心業務和系統又是什么。
1. 了解您的業務
了解企業業務運營方式、收入流以及推動業務發展的內部系統,將有助于合理的安全專業人員圍繞維護公司核心的系統和基礎架構構建安全框架。此外,這些知識還將允許您以 “優先保護核心系統,而非次要系統” 的方式來合理應用有限的預算。
但是,僅僅了解環境中的系統是遠遠不夠的。隨著機器學習和數據科學的出現,系統還可能包括決策支持、機器學習研究和數據挖掘項目。如果您的公司有像data.world這樣的數據目錄,那么您將可以更好地了解數據的使用位置。此外,公司應該審計訪問權限,因此您還應該知道誰擁有數據的副本以及它的用途。深入了解每個系統和數據目錄,以及了解公司擁有的數據類型、數據處理方式、數據來源和數據是否與任何其他內部或外部系統共享非常重要。
2. 了解數據和資產
同時,在了解內部系統時,您需要了解這些系統使用的數據專有(data-specific)資產。每個單獨的系統,每個組織和企業都有其所依賴的一堆數據;這就是支持企業系統 “運行” 的原因所在。因此,想要正確地管理系統并實現合理的安全性,有必要了解系統的體系結構及其信息源(上游數據流)和數據屬性/字段等內容。
該系統的下游消費者可能會實施數據和保護機制,以保護靜態、傳輸、使用和內存中的敏感數據。資產可以是戰略計劃、源代碼和其他文獻知識產權。其他重要數據可能包括復雜的結構化數據,例如來自物聯網設備的圖像和傳感器設備流。
敏感數據可以劃分為三組:客戶數據;公司、員工及合作伙伴數據;以及監管數據。敏感的消費者數據是指任何收集到的數據,包括社會安全號碼、支付卡號、密碼、健康信息以及其他個人身份信息(PII)等。這些數據一旦被盜,將對數據所有者造成傷害。
如果說公司數據可以被競爭對手用于獲取不平等優勢,或是一旦對外暴露就會為公司造成聲譽損害,那么這些公司數據就屬于敏感數據。它可能是商業機密、未披露的研究、計劃、內部備忘錄或其他任何形式的秘密知識產權。
最后,如果說監管數據受到任何法定或公司治理制度,如CCPA、GDPR、PCI DSS、SOX等的監管,那么這些監管數據也是屬于敏感數據。你需要了解處理、存儲或傳輸此類數據的所有位置,以及如何正確合理的使用它們。
3. 了解監管數據的覆蓋面
一些特定類型的敏感數據將受到不同的監管要求支配,具體取決于存儲的數據類型或數據所有者的公民身份。例如,如果你與位于歐洲經濟區的人做生意,那么GDPR可能就會發揮效用。如果您受HIPAA保護并存儲健康數據,則HIPAA將發揮效用。
在聯邦政府環境中,特定類型敏感數據的個人和公司管理員在受控未分類信息的新法規和監管制度下受到廣泛的新安全和控制義務的約束。這些法規中的每一條對保護數據(控制措施),違規通知和用戶權限(刪除權,理解權)都有不同的要求。
既然您知道企業中使用了哪些數據,您就可以了解哪些法律法規適用,您需要滿足哪些要求以及需要采取哪些保護措施。
4. 了解數據是如何受到保護的
接下來,你需要了解在風險因素的作用下敏感數據是如何得到保護的。如果壓根沒有保護措施,我們可以很輕易地得知需要部署適當的保護措施。如果部署了部分保護措施,那么,為了驗證當前保護機制的充分性,我們需要將新攻擊技術應用于現有控制措施,獲取相關威脅情報,來檢測現有控制措施在緩解新威脅方面發揮的實際效用。
其他考慮因素包括如何使用經過測試的備份來恢復數據并測試恢復方法,以及評估事件響應計劃在需要時的執行方式。就事件響應而言,大多數將遵循規定性措施,例如SANS的事件處理程序手冊或NIST的計算機安全事件處理指南。
“合理的安全” 類似于 “貓捉老鼠” 的游戲,在這場游戲中,對手會不斷學習用于發現或阻止他們的技術,然后尋找到解決問題的方法。這就要求安全從業者不斷改進其發現或響應技術。對于仍在遵循規定性措施的企業而言,需要明白這樣一個現實:大多數技術精湛的攻擊者已經找到了方法。例如,SANS事件處理程序手冊建議尋找大文件。您認為攻擊者會對此做出何種反應?他們還會一如既往地從易受攻擊的網絡中滲漏大量數據?
一旦您清楚了解了自己需要保護的數據,您擁有的保護控制措施以及與數據相關的法規要求,您就可以確定現有控制措施與法規要求的控制措施之間所存在的差距。事實證明,只是遵守最低法規要求可能會或可能不足以防止“疏忽”責任。
滿足監管要求
理想情況下,你需要記錄自己為了實現GDPR以及現在的CCPA合規性所做的一切,并將其傳達給各自的團隊,以確保能夠滿足法規要求,例如GDPR要求的 “被遺忘權”,了解數據處理流程,以及提取與單個用戶相關的所有數據等。這樣一來,如果你有問題并接受調查,你也可以證明你做了所有應該做的事情,但它還是出狀況了。
跳脫“以數據為中心”的方法
到目前為止討論的所有過程都側重于保護內部數據源。合理謹慎的安全專業人員明白這樣一個現實:攻擊者還可以通過使用高級持續性威脅滲透到網絡設備或是網絡本身,尋找未修復的服務器或應用程序,利用遠程訪問賬戶上的弱口令或訪問不受保護的Amazon S3存儲桶。這時候,擁有軟件開發生命周期和MITER Att&ck等組織框架就可以發揮作用了。
保護您的企業系統和基礎架構
你在互聯網上為客戶提供的服務和應用程序都是基于企業的系統和技術架構構建的。其中,大多數服務都是由應用程序組成的。而應用程序又是由源代碼構建并部署在基礎架構,通常是基于Web應用程序的服務器上的。源代碼會使用庫和框架,而庫和框架是用編譯器構建的。
這一鏈條中的每一環都有可能引入安全漏洞。合理謹慎的安全專業人員會評估每一環所面臨的風險,并實施適當的控制措施。盡管應用程序安全性非常重要,正如Equifax事件告誡我們的那樣,但隨著APT和針對性攻擊的出現,您還必須從整體上看待組織的安全性并實施 “有組織的安全流程”。
開發“有組織的安全流程”
“有組織的安全流程” 示例如下所示:
傳統的安全項目只注重預防。問題是,攻擊者只需要尋找到一個漏洞就能侵入你的網絡,而作為防御者,你必須堵住每個漏洞以確保其不會被攻擊者濫用。一名合理謹慎的安全專業人員就非常清楚這一點,并會采取預防措施、彈性措施和偵察控制相結合的方法來解決該問題。
相關的檢測和響應措施可以確保混入其中的攻擊者最終被抓獲;彈性措施確保系統可以抵御攻擊,即便遭遇失敗也能快速恢復;除此之外,紅色團隊、威脅捕獲、應急響應(IR)和滲透測試對于檢測網絡中的攻擊者并響應其威脅都起到至關重要的作用。
為了系統地考慮檢測和響應措施,合理的安全項目應該實施像MITER Att&ck這樣的框架,以支持紅隊和藍隊,計算機事件應急小組和滲透測試工作。MITRE是美國非盈利組織,除了協助進行多項網絡安全相關研究,同時,也是運維CVE漏洞數據庫背后的組織,而ATT&CK框架的研究計劃,是該組織在2015年5月發起。
與其他安全企業對于網絡殺傷鏈的定義有所不同,MITRE ATT&CK框架,是將入侵期間可能發生的情況,做出更細的畫分,區隔出11個策略階段,包括:入侵初期、執行、權限提升、防御逃避、憑證訪問、發現、橫向移動、收集、滲透、指揮與控制。
同時,針對攻擊方在每個階段,MITRE也將其所使用的手法工具搜集起來,歸類為知識庫,幫助我們更好地理解攻擊者具備的能力。
與C級管理人員溝通安全問題
“合理的安全” 需要你和行政領導溝通,以確保獲取到適當的財力、物力及人力支持,讓行政領導和董事會了解企業當前面臨的風險,以便幫助他們做出明智的決策。如果行政管理層了解安全漏洞將如何影響企業業務運營,股票價格,造成經濟損失以及競爭力和聲譽的多重損害,那么他們就會自覺地將安全視為首要任務。實際效果取決于你向董事會匯報的具體內容和溝通方式。
你需要對董事會或首席執行官們關注的痛點 有一個基本的了解,然后以此為切入口吸引高層的注意。董事會通常希望高管和高級職員們能夠按照董事會同意的方向執行命令,以此來保護和增加股東們的收益。當然,高管和高級職員們也對最大化股東價值感興趣,但他們的角色更具操作性,所以就由他們來負責管理運營,以確保公司穩步發展并最大化股東價值。
董事會中的大多數人都并不了解安全的概念,所以不要在沒有提供某種類型的解釋之前就拋出諸如 “網絡殺傷鏈”、“痛苦金字塔”(The Pyramid of Pain,描述了不同類型的威脅情報及其在攻防對抗中的價值)、“ATT&CK” 或 “威脅建模” 等專業術語。你的目的是希望向行政高管層展示自己了解企業業務運營的方式,關鍵資產的內容和位置以及為了保護這些關鍵資產部署了哪些安全措施等。
所以,我建議可以先建立一個基線威脅模型摘要,然后是預防措施的狀態,值得注意的事件,抱著隨時處理它們以及通過事件指標來確保事情正往好的方向發展,如果是變得更糟了,分析原因的心態,按組和類型劃分的未解決的安全問題的數量和規模,威脅情報,最后,鑒于威脅情報,實施積極主動的檢測工作和響應準備。
從 “合理的安全性” 到 “合理的可信賴性”
隨著越來越多的產品和服務出現在工業物聯網和消費者物聯網中,面臨 “疏忽” 訴訟的公司規模可能會持續擴大。加利福尼亞州已經在參議院第327號法案第886章中為連接設備安全制定了具體法律。
如果你使用的是自動駕駛汽車,你一定不想因為內存不足錯誤而面臨操作系統定期崩潰的窘境。那么試想一下,當你的家庭及其所有設備都變得智能化,并連接至互聯網時又會遭遇何種窘境呢?如果聯網的微波爐或烤箱受到損害并被遠程控制,那么攻擊者就可以通過長時間運行空無一物的烤箱,將其變成迷你炸彈。
自動駕駛汽車、機器人、交付無人機、聯網烤箱、胰島素泵以及心臟起搏器等連接設備的故障,可能會導致人員傷亡或是嚴重的身體損傷。由于IIoT和連接設備面臨的風險增加,其對社會造成人身傷害的風險也隨之增加,由此一來,針對該領域的 “注意標準” 也可能會有所提高。
在構建產品和服務時,想要實現整體的安全性需要結合安全性、彈性、可靠性和隱私性等多種因素。如果你正在構建可能會造成嚴重損害的產品,請立即在您的組織中嵌入值得信賴的程序和流程。
這里我們先來概述一下 “可信賴性” 的概念,可信賴性是由產品或服務所提供的安全性、可靠性、隱私性和彈性保障的程度來定義的。具體可以通過以下標準進一步詳述:
- 組件和系統的可靠性;
- 組件和系統的可用性;
- 組件和系統的安全性;
- 組件和系統的完整性和真實性;
- 組件和系統所用數據的機密性;
- 組件和系統數據的可信度;
- 組件和系統所用數據的隱私性;
- 組件和系統的可維護性;
- 組件和系統可修改配置的能力;
- 組件和系統對攻擊或誤用的彈性;
每種產品或服務都可以分解為更小的組件,以評估其各自的可信賴度。當然,也可以將這些單獨的分數進行匯總評估,以便將它們組合起來以提供有關整個系統的分數。
可信賴度評分必須由特殊保證來支持,特殊保證指的是系統功能如何在威脅因素作用下保證安全性、可靠性、隱私性和彈性的。每項保證都必須有證據支持。證據通常以保證案例的形式出現。保證案例記錄了可接受或已知的剩余風險正在履行的系統屬性、聲明和要求。保證聲明通常由兩部分組成:
1. 保證的假設;
2.系統可信度聲明及其支持的任何子聲明。
使用保證案例的一個固有優勢是能夠在頂級假設已經完成的情況下做出斷言,即每個案例的假設都是通過其包含的頂級系統及其相關保證案例來實現的。這使您可以為子系統的保證義務附加地組成安全性,可靠性,安彈性和功能要求。
合理的安全性是一個整體過程,需要考慮組織的當前業務需求。雖然安全控制清單可能會有所幫助,但它不能涵蓋每個組織的需求。想要使行動合理,就必須將自身塑造成一名合理謹慎的專業人士。你必須了解自己的組織、組織的業務功能、資產以及最吸引攻擊者的核心資源。然后了解如何根據風險合理地保護這些資產。最后,考慮到您的產品類型,您可能還必須考慮可信度因素。
免責聲明:以上文章并不是法律建議,而是將法學院的法律原則應用于信息安全領域的學術嘗試。希望可以幫助安全從業人員從法律角度理解合理行為,以此來推動討論在企業中實施合理安全措施所需的實踐。