適逢國際資料隱私日(International Data Privacy Day), Seagate針對2023年資安趨勢提出六大預測,將會是企業與組織在今年須著手解決的主要問題。
根據所屬產業與地點,個人識別資訊、醫療保健、財務等各類別資料的處理方式皆有不同監管要求。若缺乏統一的資料分類策略,員工一旦不慎操作資料失當,企業將可能面臨高額罰款,進而影響營運。有鑑於此,領先企業紛紛設法強化負責處理敏感資料部門與資安團隊之間的合作。
雲端配置錯誤的問題將成為多方關注的焦點。此問題也漸漸成為資料外洩的主因,且有方興未艾之勢。在傳統的企業本地資料儲存環境中,僅有少數幾位資安團隊的成員負責控管防火牆,以阻擋攻擊者竊取敏感資訊,並防止員工不慎將資料外流。
隨著多雲儲存日益普及,資安的挑戰也更加複雜難解。若在資料存取管理上缺乏資安防護機制和明確準則,企業恐將陷入莫大風險。因此,企業必須將整體雲端基礎架構的法令遵循性(Compliance)視為首要任務。雲端環境中一旦出現任何配置錯誤或漏洞,即便員工只是滑鼠一按,都可能意外造成整個資料庫外洩。一旦資訊遭到公開,就很難避免被攻擊者惡意濫用。
在美國,因應政府對軟體安全日趨嚴苛的規範,以及客戶對於軟體的資安疑慮日益增長,軟體業者被迫公開更多關於其技術堆疊的資訊。在層層壓力下,客戶將要求雲端供應商更加開放,並提供新的IT採購決策評估方法。
在2023年,軟體業者應透明且以不避諱的態度與客戶溝通,以強化其信任感。不僅客戶對資安的疑慮有增無減,2022年時,美國更祭出聯邦行政命令,除了要求軟體與服務供應商透明揭露其可能實際面臨的資安事件,更嚴格地要求其公開潛在的資安風險與威脅。
在客戶疑慮與監管法規的雙重夾擊下,軟體與服務供應商需更開誠佈公地說明其技術堆疊中可能隱含的資安風險。供應商未來須公開其軟體物料清單(SBOM)中的內容,即應用程式中所使用到的軟體與零組件的清單。例如,該應用程式是否使用了 Log4J、Java 或其他軟體。知道這些詳細資訊,有助於企業與組織在挑選供應商時做出更明智的選擇,進而避開可能引發資安風險的產品。廠商若能更透明地揭露其技術堆疊,在遭遇資安威脅時,將更有能力回應客戶與監管機構的審查。