隨著各國的5G服務陸續商轉化,以及物聯網與人工智慧的應用如自駕車、遠距醫療等的發展逐漸成熟,結合AIoT與5G的新興產業與應用指日可待,但資安與隱私外洩的風險也持續上升。
歐盟於2018年5月全面實施《一般資料保護規則(GDPR)》,對個人資料保護提出更嚴格的規範與罰則。例如:2019年初Google即遭到法國資料主管機關,以雖然經過用戶授權同意,但資料利用過程透明化不足,且處理用途宣告不清楚為由,重罰5000萬歐元。此後,國際政府與企業領袖皆視隱私保護為重要議題,蘋果執行長Tim Cook更呼籲美國政府應學習歐洲,改善美國的隱私保護體系。
美國國家標準暨技術研究院(National Institute of Standards and Technology;NIST)一向以促進美國創新和產業競爭力為其重要使命,特別是在重大的科技議題上,從國家標準或產業框架的角度切入,為政府提供政策研擬的基礎,也讓產業技術研發有所依循。
在資訊安全的議題上,NIST於2019年3月發布新版的「資通安全架構(Cyber Security Framework;CSF)」,除了將隱私安全納入原有的資通安全架構,並且詳列出隱私安全的技術類別與項目,期協助政府、企業能夠更好的識別、評估和管理隱私風險,並幫助資安產業思考隱私安全解決方案的未來研發方向。
值得注意的是,NIST認為安全風險的關鍵是「授權」,即把關資通安全或隱私安全的基準。以智慧電網為例,即使安裝智慧電錶與用電行為分析都經過住戶的資料授權使用,但難免會讓住戶產生被監視的感覺,此為「隱私風險」;而駭客在未經住戶同意,透過電網竊取住戶個資,則是「資通安全風險」。
新版資安架構七個主要功能
此外,觀察新版資通安全架構擴展為七個主要功能:包含資通安全的「識別」、「保護」、「偵測」、「回應」、「復原」等五項功能,以及在對應隱私安全的核心技術功能,加上「控制」與「告知」兩項功能。然而,「控制」與「告知」適用於在已授權情境下的資料遺失,屬於隱私安全特有的功能,也延伸出NIST界定的資料管理、流程透明化、資料處理異常警示等技術方向。而與GDPR僅提供原則性的規範和鉅額罰則相比,NIST不但讓隱私安全的抽象概念更加具體化,也讓保護隱私的技術方向更明確。可預見,在歐美國家隱私保護法規趨嚴下,未來提供聯網設備或連網服務的業者,對於用戶資料隱私管理,將受到較過往嚴格的檢視,也將牽動隱私保護技術發展方向。如此一來,美國資安業者亦將加速佈局隱私安全市場。
台灣業者應注意的二面向
NIST發表新版資通安全架構,有幾個值得台灣業者注意的面向:第一,突顯出目前以資通安全角度出發設計的資料遺失保護(Data Loss Protection;DLP)方案,欠缺對企業內部授權資料處理行為管理的功能,以致於無法完全符合隱私保護的需求。第二,對台灣資安廠商而言,應思考如何落實「控制」與「告知」功能,這其中有包括活動監控、資料比對、授權管理和流程自動化有關的技術議題,仍有待開發及投資。
此外,對台灣企業而言,則須認知「資料保護」與「隱私保護」之間有差異,提出隱私保護解決方案時,不能只考慮資料安全和防止資料外洩,而應進一步將企業資料處理的授權、流程、應用情境與法規要求連結,並在利用資料的程序中就可即時對異常或違規狀況,進行預警或通報。對我國政府而言,則可將NIST新版資通安全架構,推廣給各界作為檢視現行隱私保護措施的參考,同時鼓勵資安廠商自主研發隱私保護產品,把握新興的市場機會。
(本文由工研院產業科技國際策略發展所分析師楊玉奇授權轉載)
