GDPR已进入第三个年头,遵守欧盟数据隐私法规仍然是组织需要解决的重要问题,尤其是在涉及物联网(IoT)时).此外,随着远程工作现在成为常态以及随后将个人设备大规模集成到组织网络中,ShadowIoT将由企业中的个人广泛部署。即将返回办公室还将带来大量物联网设备,这些设备可能会作为新的COVID-19工作场所合规政策的一部分安装在网络中。数字化转型导致这些连接设备的爆炸式增长。但是,尽管它们为提高企业生产力和增加连接性提供了巨大机会,但它们也为数据保护和GDPR合规性带来了新的挑战。其中一些设备(例如医疗设备)可能会收集大量需要保护并受GDPR约束的个人数据。GDPR设计隐私和GDPR设计安全侧重于物联网制造商的合规性和设备本身的设计。此外,英国境内的所有IoT服务提供商和制造商都必须遵守《消费者物联网安全实践准则》中概述的以下原则:治理和控制,必须加密通过最小特权原则最大限度地减少暴露的攻击面确保软件完整性确保个人数据受到保护监控系统遥测数据允许消费者删除自己的数据使设备的安装和维护变得容易验证输入数据但是,这些准则给物联网设备制造商带来负担。企业自己可以做些什么来遵守GDPR?上面的许多原则都适用。发现数据保护盲点今天的组织需要解决数据保护盲点,以确保合理的安全性来保护消费者的私人数据并满足最低级别的网络安全要求。虽然大多数数据安全标准要求组织确保技术安全和最新,但这对大多数人来说都是一个挑战。尽管它们是业务运营的关键部分,但连接的设备范围很广,而且经常运行过时的系统。它们的大小和种类,以及网络连接能力,都会产生风险——每台设备都是潜在的攻击媒介,必须加以保护,使其免受网络攻击和潜在漏洞的侵害。为了最大限度地降低这些风险并满足GDPR数据合规性和监管门槛,组织必须开发一种全面的方法来保护所有设备。其中包括:发现并清点每台设备:确保您了解并能够分析网络上的每台物联网设备是迈向安全的第一步。了解可能泄露的风险和个人数据:为了遵守GDPR,必须了解设备是否存在数据泄露风险(例如,运行过时的操作系统、支持弱密码或证书,或将PII数据保存在设备本身)。了解设备在您的网络中执行的操作:建立基线并了解设备通信模式可以帮助您了解个人数据的处理或存储位置。例如,虽然医疗设备本身可能具有PII,但与云端服务器通信的IP摄像头可能会将数据存储在云端。监控异常通信:此最佳实践是关于识别已经发生的潜在危害,例如与恶意域的通信,以便您可以阻止过程中的数据泄露。易受攻击设备的分段:实时发现、监控和行为分析是第一步。安全团队还可以使用人工智能和自动化在现有基础设施上主动分割易受攻击的物联网设备;这使得对设备的适当访问成为可能,同时限制了网络安全攻击和潜在的数据保护漏洞。通过利用自动化和正确的工具,安全团队可以提高对物联网风险的可见性,识别受GDPR约束的设备,并保护它们免受潜在的数据泄露。让我们庆祝GDPR周年纪念日,提醒人们注意数据和连接设备所需的最佳实践。
