數據隱私問題在2016年的受關注度達到了空前的高度,這主要歸因于這幾個因素:年初蘋果公司與FBI圍繞加密的iPhone展開了曠日持久的爭論,歐洲出臺了新法規,以及人們一直擔憂美國國家安全局和政府訪問愛德華·斯諾登披露的個人信息。
JD·謝里(JD Sherry)是總部位于丹佛的解決方案提供商Optiv Security公司的副總裁,他說:“毫無疑問,數據隱私是向云端遷移時最關注的問題。”
這個障礙對許多公司的收入來說是個關鍵問題,因為據研究公司Gartner聲稱,向云轉移預計會在未來五年帶來1萬億美元的直接或間接支出。同樣,研究公司IDC預測,到2020年,一半以上的IT基礎設施支出將投入到云。
艾倫·福爾肯(Allen Falcon)是總部位于馬薩諸塞州韋斯特伯勒的解決方案提供商Cumulus Global的首席執行官,他表示,每當他與客戶談論遷移到云端,總是會談到安全或隱私這個話題,這個話題有時由客戶自己提出,有時由Cumulus Global提出。
如果接受教育,客戶在隱私和安全方面的顧慮更容易打消,但是“不夠迅速”,他說。查爾斯·拉迪(Charles Radi)是總部位于波士頓的云解決方案提供商Cloud Technology Partners的副總裁兼首席云架構師,該公司服務于企業市場。據他聲稱,最大的企業客戶同樣存在那些顧慮。
拉迪說:“我們在處理幾乎每一個客戶的[隱私]問題。這是個永遠繞不開的話題。”拉迪表示,Cloud Technology Partners的企業客戶尤其在政府訪問、隱私法規以及將安全工具從內部環境遷移到云環境等方面顧慮重重。
獨立安全顧問兼《保護云安全》作者維克·溫克勒(Vic Winkler)表示,這種顧慮主要是由混淆和困惑引起的。
溫克勒在接受CRN的采訪時說:“如今很難站在一個深思熟慮的角度來探討網絡安全的這些話題,原因是一大堆的虛假信息和不同觀點令人困惑。說到如何打消客戶的這些顧慮,以便擴大業務,云服務提供商確實面臨挑戰。如果它們想要擴大業務,勢必要打消這些顧慮。”
但是,說到公共云的數據隱私,這些顧慮的根據又有多充分?如果你問一問各大云服務提供商本身,它們說:根據不是很充分。
微軟公司副總裁兼副法律總顧問尼爾·薩格斯(Neal Suggs)說:“這是你的數據。這不是我們的數據。通常來說,我們設計的系統和流程確保將數據當作是你的數據,而不是我們的數據。微軟的運作有賴于信任。”
薩格斯表示,微軟制定的云戰略基于四大支柱,數據使用、控制和隱私共同構成了一大支柱,另外三大支柱是安全、合規和透明。那些支柱并不僅僅局限于設計公司的系統、已到位的流程、加密技術、審計流程,以及這種文化:“尊重客戶生成的內容是客戶的內容,未經客戶同意,我們無權使用。”
詹尼弗·林(Jennifer Lin)是谷歌云平臺主管云安全和網絡的產品管理主管,他贊同這種觀點,表示安全和數據隱私是客戶考慮向云遷移時提出的三大優先事項之一。因而,她表示“安全和數據隱私日益成為谷歌考慮解決方案的一大差異化優勢。”
林說:“用戶數據是用戶數據,我們想要確保自己保護用戶的數據......我們要贏得客戶的信任,我們要向客戶表明我們并不訪問客戶數據。我認為,我們在面向公眾的官方網站上對這一點非常明確,還明確了我們如何定義云遷移。”
亞馬遜網絡服務(AWS)沒有安排一名高管接受本文的采訪。
服務條款:同意還是不同意?
馬克·古德曼(Marc Goodman)是全球安全顧問、未來學家兼《未來的犯罪》一書作者,他表示,隱私問題主要出現在隱私政策和客戶與云服務提供商簽訂的服務條款協議。他表示,那些服務條款大不一樣,因提供商而異;免費服務與收費服務的服務條款更是大相徑庭。
谷歌、微軟、亞馬遜網絡服務及其他大公司的云解決方案的收費版本往往“非常明確地表示”:用戶擁有數據,而不是云提供商擁有數據。他表示,免費的云服務就不是這樣,比如谷歌的Gmail和Google Drive。
古德曼說:“如果你不掏錢,你就不是客戶,而是產品。大大小小的公司需要關注它們使用的所謂的免費服務和服務條款......‘我已閱讀并同意服務條款’可謂是網上最大的謊言。”
比如在谷歌的《數據處理修正案》中,該修正案概述了總部位于加州芒廷維尤的這家公司針對通過Google Apps服務存儲的數據制定的政策,包括解決方案提供商銷售的Google For Work解決方案,該公司明確表示不會將客戶數據用于客戶規定的范圍之外的任何用途,包括用于廣告目的。
微軟和總部位于西雅圖的亞馬遜網絡服務(AWS)在各自的隱私政策和服務條款協議中也有類似條文,CRN審視了它們的政策和協議。
比如說,這與谷歌針對消費者谷歌帳戶的隱私政策形成了鮮明對比,谷歌在隱私政策中表示,由于眾多原因,包括改善服務、開發新服務,并且為用戶提供“更精準的搜索結果和廣告”,它收集關于服務使用的信息、針對特定設備的信息以及位置信息。
這是否意味著使用收費服務的公司企業就沒有公共云隱私和安全方面的顧慮呢?完全不是。
雖然客戶可能已全面審核了云服務提供商,但實際上,“有些使用云的公司熟悉云,而有些使用云的公司不熟悉云。”古德曼如是說。
古德曼表示,這方面的一個主要例子是員工規避公司批準的解決方案,改而使用配置起來更容易的常常免費的個人云服務。
據Gartner聲稱,到2020年,95%的云安全故障最終歸咎于客戶的錯誤。許多人無法支持云安全的共同責任模式:客戶自己負責確保數據安全,云服務提供商負責確保基礎設施安全。
古德曼說:“你的數據可能存儲在員工的云端,而你渾然不知......即使你使用Box或AWS――這些優秀公司有規范的服務條款,現在你的員工拿來機密的季度報告、客戶線索、即將投放市場的產品的知識產權,存儲在云服務提供商處;由于你的員工存儲這些信息,提供商被授予了各種各樣的權限和訪問權。”
對解決方案提供商來說,這是個現實的問題。比如說,Cumulus Global的福爾肯表示,他在自己的客戶那里看到過無數這種例子,包括公司數據丟失,或者事后認識到自己違反了監管法規。比如說,一個客戶的員工使用文件共享服務的個人版本。福爾肯表示,員工離開公司后,這個客戶卻無法訪問該員工存儲在個人云帳戶上的企業數據。
另一個客戶的員工使用Dropbox的消費者版本,而Dropbox最近曝出了數據泄密事件。該員工將同一個密碼用于其Dropbox帳戶和工作電子郵件。福爾肯表示,然后黑客使用該密碼登錄到企業電子郵件帳戶,向該員工的所有聯系人發送依附在電子郵件中的惡意軟件。
在另一個例子中,一個客戶的一名員工與家人使用同一個帳戶,她使用的個人文件共享服務也與家人共享。結果,該員工的孩子刪除了各種敏感的公司文檔。福爾肯表示,這些事件只是眾多例子中的幾個而已。
福爾肯說:“我們對客戶的忠告是,如果有企業級服務,別使用免費服務;他們不該使用消費者服務,無論是不是免費。”
作為解決方案提供商,福爾肯表示他的任務就是為客戶提供最佳信息和建議,幫助客戶在數據隱私方面做出決定。他表示,這包括評估業務需求、信息訪問、政策、法規要求、日常監控和管理及更多環節。
據福爾肯聲稱,大多數公司選擇遵循Cumulus Global在數據隱私方面的建議。不過,他也遇到一些客戶使用免費消費級服務,而不是購買企業級服務,寧愿在數據隱私方面冒險。他表示,Cumulus Global對拒絕購買使用可靠數據隱私標準的解決方案的客戶避而遠之,如果涉及監管方面的問題更是如此。
福爾肯說:“這會帶來責任。我們的觀點是,貴公司的價值足夠值得你購買企業級工具。”
為私人信息而戰
今年,公共部門與私營部門之間的隱私爭論顯得尤為突出,先是蘋果公司與FBI圍繞去年參與圣貝納迪諾槍殺案的恐怖分子使用的一部加密的iPhone的隱私展開了一場非常公開的較量。FBI最終破解了iPhone,而不是繼續尋求法律手段、迫使蘋果解鎖手機。
最近,微軟在6月份贏得了重大勝利,案子的焦點是政府是否有權訪問存儲在美國境外的數據中心中的客戶電子郵件。在這起案子中――微軟在曼哈頓第二美國巡回上訴法院中贏得了3-0的裁決,微軟對要求訪問存儲在該公司在愛爾蘭都柏林一臺服務器上的電子郵件的搜查令提出了質疑,表示這將為執法部門訪問存儲在國外的美國電子郵件開一個危險的先例。
Optiv的謝里稱這一隱私裁決是“云計算行業的巨大勝利”,表示政府訪問公共云信息是“一大挑戰”,對考慮轉移到云端的客戶來說是個障礙。他表示,對全球性客戶來說尤其如此。
尤其是微軟在云隱私問題上采取了強硬立場。今年4月份,該公司對美國司法部提起了訴訟,主張政府想要訪問客戶數據時,自己有權告知客戶。
那些問題非常切實而又重大,微軟聲稱自己在過去18個月接到了5624份聯邦搜查令和2576份禁聲令。
谷歌在最近的《透明度報告》中表示,從2015年7月至12月,它在美國接到了12523次數據請求,在79%的情況下出示了數據。
亞馬遜表示,從2015年1月至5月31日,它收到了813張傳票、25份搜查令、13次法庭指令以及國家安全部門的249次數據請求。
微軟在4月份的訴訟中表示,它在這個問題上采取強硬的立場,是由于政府暗自訪問云端數據引發的隱私問題“破壞了公眾對云隱私的信心,并削弱了微軟在客戶面前力求透明的權利。”微軟的薩格斯表示,問題的核心是客戶信任:微軟仍將是數據的“管家”,而不是數據的所有者。他表示,微軟會繼續要求政府訪問云端客戶數據方面做到透明,因為信任是其商業模式的關鍵,這就好比客戶信任銀行:他們的錢很安全,需要時又能取出來。
薩格斯說:“我們認為,我們使命的核心是信任感,如果我們無法贏得這種信任,就無法拓展業務。信任是我們關注的焦點。”
三大云服務提供商在各自的隱私政策中對于政府訪問都有具體的條文,聲稱只有在法律上必要時才允許訪問,會努力盡快向客戶告知訪問請求,除非法律禁止這么做。
Cloud Technology Partners的拉迪表示,要求訪問公共云數據的隱蔽傳票這個問題是企業客戶“最擔心的”。他表示,客戶的法律部門在努力把具體的條文寫入到云提供商合同中,保護自己,避免要求訪問數據的隱蔽傳票。他表示,解決方案提供商有助于落實某些控制措施,防止云服務提供商能夠訪問數據。比如說,Cloud Technology Partners建議加密所有的云端數據,并且在本地管理加密密鑰,而不是交由云服務提供商。
各國政府也在扮演更重要的角色,開始監管云端數據隱私。歐盟最近出臺了《通用數據保護條例》,更新了如何保護數據、國家之間如何共享數據方面的標準。條例規定,公司必須告知個人為何收集他們的數據,并提供訪問其數據的方法。這還防止數據被永久保存,需要為大量數據設立數據保護官。云服務提供商同樣受制于這些條例,條例于2018年5月生效。
隱私挑戰給合作伙伴帶來了機會
企業戰略集團(ESG)跟蹤分析云安全的高級分析師道格·卡希爾(Doug Cahill)表示,混亂帶來了機會,說到駕馭云方面的數據隱私和監管問題方面更是如此。許多公司越來越意識到,它們在數據隱私方面存在問題,卻不知道如何開始解決,卡希爾稱這個因素為“云安全就緒缺口。”
“我認為,許多公司很清楚地意識到存在問題,這就是為什么對渠道商來說是大好機會。有能力幫助客戶的合作伙伴能夠幫助客戶在向云遷移的過程中一開始就整合安全。”
Cloud Technology Partners的拉迪表示,這很重要,因為許多公司已經期望加快采用云。他表示,企業開始把大量的客戶數據、機密數據和個人身份信息數據遷移到云端。解決方案提供商有責任幫助它們順利遷移,同時滿足安全和隱私要求。
作者古德曼表示,提供用戶教育和培訓也是合作伙伴要扮演的重要角色。他表示,這對于將關注和認識轉化為實際行動來說尤為重要。
他說:“人們甚至不知道向外包的IT人員提出的問題,所以人們在這方面需要好好補補知識......董事會層面的培訓很關鍵,管理團隊層面的培訓很關鍵,培訓對你的所有員工來說很關鍵。”
謝里同意這一觀點,表示公司用戶在期望向云遷移時,Optiv等解決方案提供商扮演“可信賴的顧問”這一重要角色,通過設計、咨詢、廠商合作和先進的云安全功能,“與客戶肩并肩”。
謝里表示,站在可信賴的顧問這個立場很重要,他預計,在今后6至18個月,云計算的發展會迎來“劇變”。她表示,許多公司在安全和數據隱私方面公司仍然滯后。
謝里說:“最終,我們在竭力鼓勵客戶信任我們,把我們當作在向云遷移的過程中是其可信賴的安全顧問。”
京公網安備 11010502049343號