資料觀點:為什麼資料隱私不止關乎安全
2019年國際資料隱私日的到來,為組織機構和終端使用者提供了重新審視和改善資料隱私的機會。
1月28日是國際資料隱私日——這一天的設立是為了讓我們關注自己是如何在網路上接觸事物,使用線上服務和收集資料,以及組織機構和終端使用者可以採取哪些措施來降低相關風險。
資料隱私日並不是一個新聞,但是過去一年裡發生的事件,突出了更深層次的保護資料隱私的需求。2018年Facebook“資料門” 事件被曝光——劍橋分析公司(Cambridge Analytica)濫用使用者資訊,數百萬使用者資料未經使用者同意,就被第三方使用。同樣在2018年,萬豪(Marriott Hotel)旗下喜達屋(Starwood)酒店報告的一起資料洩露事件影響了超過數億使用者的資料隱私 。除了資料洩漏事件,2018年歐盟《通用資料保護條例》 (GDPR)正式生效,頒佈了一系列規定,組織機構需要服從這些條例以保護使用者隱私。
根據資料隱私日的精神,本文總結了一些資料觀點和隱私保護貼士 ,希望能夠在幫助終端使用者和組織機構保護資料隱私上提供建議。
資料觀點1:隱私和安全不同
雖然資料隱私和資料安全有關聯性,但是他們並不是同義詞。
資料安全可以保護資料隱私,例如通過資料加密等技術,但是資料隱私不僅僅是保護資料安全。資料隱私是指終端使用者和個人,對自己的資料被共享和使用的程度和方式有話語權和控制權。
資料觀點2:密碼通常是保護資料安全的關鍵
很多終端使用者每天訪問的網站和服務,都會需要通過某種形式的身份驗證(通常是密碼),來獲取訪問許可權。這時候密碼不僅是一個訪問工具,而是獲取資料隱私的“鑰匙”。在以往的很多資料洩露事件中,攻擊者都採用了事先竊取的密碼庫,然後將其用於撞庫攻擊(credential stuffing attacks)。撞庫攻擊是指黑客試圖通過已經竊取的密碼登陸其他站點和服務。而且這種攻擊往往都會成功,因為很多使用者都有重複使用相同的密碼的習慣。
不要在不同的網站使用同樣的密碼,並且儘可能使用多因素身份驗證。在使用多因素身份驗證的情況下,即使黑客竊取了登陸密碼,也仍然需要通過另外一種身份種驗證來獲得訪問許可權。
資料觀點3:檢視社交媒體設定,瞭解資料是如何進行共享的
社交媒體平臺為與朋友,家人和同事分享資訊提供了絕佳的機會,但並非所有資訊都應該與其他人共享。
當安裝社交類應用,遊戲,外掛,工具和參加調查時,應該檢視應用程式正在請求的訪問許可權都有哪些;當釋出個人資訊時,檢查下讀者訪問設定,確保將私人資訊保密;對於那些敏感資訊,例如信用卡資訊和社會安全號碼(Social Security numbers),從來都沒有公開發布這些資訊或者分享包含這些資訊的圖片的必要。
資料觀點4:不要選擇參與所有事情
在註冊一些網路服務時,網站通常會要求消費者選擇加入不同的郵件列表。這些列表會收集使用者資訊,這些資訊可能以無數種方式被使用,共享和轉售。
儘管某些時候,加入一個郵件列表並共享你的資訊是有意義的,但是記住是“選擇加入”——你是否想要或者需要分享你的資訊,是由你來決定的。
資料觀點5:考慮使用有隱私模式的瀏覽器
網站通常會通過不同的方式,包括利用cookies和其他形式的跟蹤器追蹤使用者行為。你在網上的活動,瀏覽網站以及點選的服務都會以表單資料的形式被收集起來,然而出於不同的原因,使用者有時候希望或者需要將這些資訊保密。
有幾個方法可以減少資料暴露於網路跟蹤器的風險。最簡單的方法是在隱私模式下使用瀏覽器。所有主流的網頁瀏覽器現在都有隱私模式,隱私模式下至少使用者的瀏覽記錄不會被追蹤,也不會在瀏覽器會話之外儲存cookies。
資料觀點6:在適當的情況下使用VPN
公共WiFi帶來了便利,但是它們也可能成為使用者安全的問題之一。通過開放的公共WiFi接入點,可以輕鬆的擷取資料,危及使用者的隱私。
使用VPN(Virtual Private Network),使用者可以通過隧道傳輸資料和加密資料,即使在開放的公共WiFi網路上,也能夠降低隱私洩露的風險。
資料觀點7:如果你不需要它,就不要收集它
資料隱私不僅和終端使用者有關,這也是組織機構必須關注的一個主題,因為涉及企業對資料的收集。近年來,隨著大資料和高階分析的出現,組織機構儘可能收集更多的資訊已經成為了一個趨勢,但是這可能不是一個正確的方法。隱私資訊的收集需求為GDPR和全球範圍內其他隱私法規,帶來了著更多的合規挑戰。
思科首席隱私官Michelle Dennedy表示,組織機構在隨意收集資料之前,應該制定一個數據收集計劃。
我依然建議人們,如果你不需要它,就不要去收集它。
資料觀點8:保持警惕——資料隱私不是終極狀態,而是一個持續的旅程
資料隱私不僅涉及加密和跟蹤,而和個人使用者緊密相關。保持警惕是關鍵。在2019年,更是如此。
關注資料是如何持續被收集,共享和使用是保護資料隱私的基礎。歸根結底,這才是資料隱私日真正的內涵,不是嗎?提高安全意識,提醒我們安全隱私是一項持續性任務,我們應該始終考慮到安全隱私,而不是隻在某一時刻想到它。
宣告:本文來自安全牛,版權歸作者所有。文章內容僅代表作者獨立觀點,不代表安全內參立場,轉載目的在於傳遞更多資訊。如需轉載,請聯絡原作者獲取授權。