用戶數(shù)據(jù)隱私泄露事件屢見不鮮，其背后原因包括對(duì)隱私信息的不重視、知識(shí)欠缺或者缺乏可用工具等。此前，由于法律環(huán)境寬松或者沒有面向數(shù)據(jù)隱私的具體規(guī)定，總體來說，企業(yè)并不愿意投入太多在隱私數(shù)據(jù)保護(hù)上。但隨著隱私權(quán)越來越受到關(guān)注，如何遵循陸續(xù)發(fā)布的相關(guān)法律法規(guī)成為了企業(yè)的新課題。

　　很多企業(yè)也正在尋求合適的測(cè)試工具作為"一把標(biāo)尺"，衡量在利用數(shù)據(jù)過程中是否合規(guī)，幫助查找產(chǎn)品、流程等方面在隱私保護(hù)上的漏洞，進(jìn)而提高安全合規(guī)性。

　　新思科技建議：首先需要保護(hù)軟件和系統(tǒng)不受網(wǎng)絡(luò)攻擊和防止數(shù)據(jù)泄露。如果軟件不夠安全，則不要指望信息保密。

　　歐盟的通用數(shù)據(jù)保護(hù)條例（GDPR）是迄今為止最著名的相關(guān)法規(guī)，非常關(guān)注隱私。美國(guó)加州消費(fèi)者隱私法案（CCPA）也已經(jīng)生效。通常，這些法律規(guī)定可以收集哪些數(shù)據(jù)、可以保存多長(zhǎng)時(shí)間以及如何與"合作伙伴""共享"數(shù)據(jù)。它們還為用戶提供了有關(guān)如何收集和使用其數(shù)據(jù)的各種權(quán)限，以及刪除數(shù)據(jù)的權(quán)利。 CCPA還禁止公司向拒絕收集和共享其信息的用戶提供較低級(jí)別的服務(wù)。

　　網(wǎng)絡(luò)安全是隱私的關(guān)鍵組成部分，不可或缺。如果企業(yè)系統(tǒng)遭到攻擊，客戶或用戶個(gè)人數(shù)據(jù)泄露，那隱私合規(guī)就無從談起。

　　GDPR對(duì)違規(guī)行為最嚴(yán)厲的現(xiàn)行處罰是年收入的4%。不是利潤(rùn)，不是收益，而是總收入。對(duì)于一些全球性行業(yè)巨頭來說，罰款高達(dá)數(shù)十億美金也不出奇。

　　新思科技軟件質(zhì)量與安全部門高級(jí)安全架構(gòu)師楊國(guó)梁指出除了罰款，企業(yè)還可能面臨補(bǔ)償，此外重新建立一個(gè)良好的企業(yè)形象更是一個(gè)漫長(zhǎng)且成本未知的事情。他表示："品牌口碑可以直接影響最終用戶的選擇偏好。違反隱私規(guī)定，發(fā)生信息泄露會(huì)導(dǎo)致企業(yè)在公眾中的信任度下降，影響企業(yè)的業(yè)務(wù)拓展�？梢哉f信息安全問題關(guān)乎到企業(yè)的外部競(jìng)爭(zhēng)力。"

　　楊國(guó)梁介紹道中國(guó)已經(jīng)發(fā)布了《網(wǎng)絡(luò)安全法》，并且《個(gè)人信息保護(hù)法》預(yù)計(jì)今年也將生效。無論是開發(fā)商、廠商還是消費(fèi)者都可以依法可循，更加明確職責(zé)和權(quán)益。

　　不要對(duì)此抱有太高的期望。即使高額罰款有一定威懾作用，但如果企業(yè)配合監(jiān)管機(jī)構(gòu)，在發(fā)生網(wǎng)絡(luò)安全問題后進(jìn)行整改，則罰款也會(huì)大幅減少。

　　GDPR現(xiàn)已生效近20個(gè)月，迄今為止最高額的"建議"罰款是對(duì)英國(guó)航空公司的2.3億美元。是的，這筆錢不菲，但這仍然只占公司年收入166億美元的1.3％。

　　此外，對(duì)網(wǎng)絡(luò)安全要求的細(xì)節(jié)不夠清晰。

　　新思科技副總顧問Adam Brown指出當(dāng)談到軟件安全時(shí)，這些法規(guī)要么說"考慮采用最新技術(shù)來提升軟件安全性"，要么更含糊地說"合理的行政、技術(shù)和保障"。

　　Adam Brown表示："除此之外，現(xiàn)實(shí)中擔(dān)起合規(guī)重任的人往往不具備充足的軟件知識(shí)，相關(guān)經(jīng)驗(yàn)有限。他們可能將軟件安全和安全防護(hù)軟件混為一談。因此他們會(huì)將一些聲稱是最新技術(shù)但實(shí)則缺乏安全性的軟件視為解決方案。"

　　世界上沒有一蹴而就的安全解決方案。但是企業(yè)可以避免因不遵守日益嚴(yán)格的隱私法而受到上訴處罰的潛在法律費(fèi)用。他們可以將這筆錢，或者更少的錢，用在一些更實(shí)在的舉措上：軟件安全計(jì)劃（SSI），以幫助保護(hù)其數(shù)據(jù)。

　　正如新思科技銷售工程師Ian Ashworth指出的那樣，軟件是提高安全性的核心，因?yàn)?quot;應(yīng)用程序已成為網(wǎng)絡(luò)攻擊的首選目標(biāo)" 。

　　他表示："我相信軟件安全解決方案提供商希望更多人能關(guān)注這些風(fēng)險(xiǎn)，并樂意與政府合作，為制定最佳方案出謀獻(xiàn)策。"

　　"向左移"，軟件更安全
　　安全"向左移"已經(jīng)是業(yè)界共識(shí)，倡議將安全貫穿在整個(gè)軟件開發(fā)生命周期（SDLC），從軟件構(gòu)建之初就開始安全測(cè)試。這些測(cè)試工具包括SAST（靜態(tài)應(yīng)用安全測(cè)試）、DAST（動(dòng)態(tài)應(yīng)用安全測(cè)試）、IAST（交互式應(yīng)用安全測(cè)試）、RASP（運(yùn)行時(shí)應(yīng)用程序自我保護(hù)）和滲透測(cè)試等，所有這些都有助于開發(fā)商交付更安全的產(chǎn)品，盡管這些產(chǎn)品不是無懈可擊（沒有產(chǎn)品可以做到），但也不會(huì)被不法分子列入"易攻擊"名單。

　　10多年前，新思科技發(fā)起了軟件安全構(gòu)建成熟度模型（BSIMM）項(xiàng)目，每年發(fā)布一版BSIMM報(bào)告，在2020年將發(fā)布第11個(gè)版本。BSIMM是一款"描述性"模型，涉及多個(gè)垂直領(lǐng)域，旨在幫助企業(yè)規(guī)劃、執(zhí)行、完善和評(píng)估其SSI……2019年發(fā)布的BSIMM10反映了122家公司的軟件安全計(jì)劃，涵蓋金融服務(wù)、高科技、獨(dú)立軟件供應(yīng)商（ISVs），云、醫(yī)療保健、物聯(lián)網(wǎng)、保險(xiǎn)及零售業(yè)。

　　BSIMM并不是建議每個(gè)企業(yè)都以相同的方式進(jìn)行SSI，不會(huì)提出需要"做什么"或"怎么做"。BSIMM的數(shù)據(jù)是從真正建立SSIs的公司收集而來，量化了119項(xiàng)活動(dòng)的發(fā)生，來展示許多計(jì)劃的共同點(diǎn)以及彰顯個(gè)性的不同之處。BSIMM數(shù)據(jù)顯示高成熟度的計(jì)劃是全面的，涵蓋該模型所描述的全部 12項(xiàng)實(shí)踐中各種各樣的活動(dòng)。企業(yè)可以采用BSIMM來比較計(jì)劃并且決定哪些額外活動(dòng)可能對(duì)支持其整體戰(zhàn)略有意義。

　　簡(jiǎn)而言之，更高的軟件安全性可以實(shí)現(xiàn)。如果沒有軟件安全，企業(yè)則無法符合陸續(xù)推出的與隱私有關(guān)的法律法規(guī)。