用戶數(shù)據(jù)隱私泄露事件屢見不鮮，其背后原因包括對隱私信息的不重視、知識欠缺或者缺乏可用工具等。此前，由于法律環(huán)境寬松或者沒有面向數(shù)據(jù)隱私的具體規(guī)定，總體來說，企業(yè)并不愿意投入太多在隱私數(shù)據(jù)保護(hù)上。但隨著隱私權(quán)越來越受到關(guān)注，如何遵循陸續(xù)發(fā)布的相關(guān)法律法規(guī)成為了企業(yè)的新課題。

　　很多企業(yè)也正在尋求合適的測試工具作為"一把標(biāo)尺"，衡量在利用數(shù)據(jù)過程中是否合規(guī)，幫助查找產(chǎn)品、流程等方面在隱私保護(hù)上的漏洞，進(jìn)而提高安全合規(guī)性。

　　新思科技建議：首先需要保護(hù)軟件和系統(tǒng)不受網(wǎng)絡(luò)攻擊和防止數(shù)據(jù)泄露。如果軟件不夠安全，則不要指望信息保密。

　　歐盟的通用數(shù)據(jù)保護(hù)條例（GDPR）是迄今為止最著名的相關(guān)法規(guī)，非常關(guān)注隱私。美國加州消費者隱私法案（CCPA）也已經(jīng)生效。通常，這些法律規(guī)定可以收集哪些數(shù)據(jù)、可以保存多長時間以及如何與"合作伙伴""共享"數(shù)據(jù)。它們還為用戶提供了有關(guān)如何收集和使用其數(shù)據(jù)的各種權(quán)限，以及刪除數(shù)據(jù)的權(quán)利。 CCPA還禁止公司向拒絕收集和共享其信息的用戶提供較低級別的服務(wù)。

　　網(wǎng)絡(luò)安全是隱私的關(guān)鍵組成部分，不可或缺。如果企業(yè)系統(tǒng)遭到攻擊，客戶或用戶個人數(shù)據(jù)泄露，那隱私合規(guī)就無從談起。

　　GDPR對違規(guī)行為最嚴(yán)厲的現(xiàn)行處罰是年收入的4%。不是利潤，不是收益，而是總收入。對于一些全球性行業(yè)巨頭來說，罰款高達(dá)數(shù)十億美金也不出奇。

　　新思科技軟件質(zhì)量與安全部門高級安全架構(gòu)師楊國梁指出除了罰款，企業(yè)還可能面臨補(bǔ)償，此外重新建立一個良好的企業(yè)形象更是一個漫長且成本未知的事情。他表示："品牌口碑可以直接影響最終用戶的選擇偏好。違反隱私規(guī)定，發(fā)生信息泄露會導(dǎo)致企業(yè)在公眾中的信任度下降，影響企業(yè)的業(yè)務(wù)拓展�？梢哉f信息安全問題關(guān)乎到企業(yè)的外部競爭力。"

　　楊國梁介紹道中國已經(jīng)發(fā)布了《網(wǎng)絡(luò)安全法》，并且《個人信息保護(hù)法》預(yù)計今年也將生效。無論是開發(fā)商、廠商還是消費者都可以依法可循，更加明確職責(zé)和權(quán)益。

　　不要對此抱有太高的期望。即使高額罰款有一定威懾作用，但如果企業(yè)配合監(jiān)管機(jī)構(gòu)，在發(fā)生網(wǎng)絡(luò)安全問題后進(jìn)行整改，則罰款也會大幅減少。

　　GDPR現(xiàn)已生效近20個月，迄今為止最高額的"建議"罰款是對英國航空公司的2.3億美元。是的，這筆錢不菲，但這仍然只占公司年收入166億美元的1.3％。

　　此外，對網(wǎng)絡(luò)安全要求的細(xì)節(jié)不夠清晰。

　　新思科技副總顧問Adam Brown指出當(dāng)談到軟件安全時，這些法規(guī)要么說"考慮采用最新技術(shù)來提升軟件安全性"，要么更含糊地說"合理的行政、技術(shù)和保障"。

　　Adam Brown表示："除此之外，現(xiàn)實中擔(dān)起合規(guī)重任的人往往不具備充足的軟件知識，相關(guān)經(jīng)驗有限。他們可能將軟件安全和安全防護(hù)軟件混為一談。因此他們會將一些聲稱是最新技術(shù)但實則缺乏安全性的軟件視為解決方案。"

　　世界上沒有一蹴而就的安全解決方案。但是企業(yè)可以避免因不遵守日益嚴(yán)格的隱私法而受到上訴處罰的潛在法律費用。他們可以將這筆錢，或者更少的錢，用在一些更實在的舉措上：軟件安全計劃（SSI），以幫助保護(hù)其數(shù)據(jù)。

　　正如新思科技銷售工程師Ian Ashworth指出的那樣，軟件是提高安全性的核心，因為"應(yīng)用程序已成為網(wǎng)絡(luò)攻擊的首選目標(biāo)" 。

　　他表示："我相信軟件安全解決方案提供商希望更多人能關(guān)注這些風(fēng)險，并樂意與政府合作，為制定最佳方案出謀獻(xiàn)策。"

　　"向左移"，軟件更安全
　　安全"向左移"已經(jīng)是業(yè)界共識，倡議將安全貫穿在整個軟件開發(fā)生命周期（SDLC），從軟件構(gòu)建之初就開始安全測試。這些測試工具包括SAST（靜態(tài)應(yīng)用安全測試）、DAST（動態(tài)應(yīng)用安全測試）、IAST（交互式應(yīng)用安全測試）、RASP（運行時應(yīng)用程序自我保護(hù)）和滲透測試等，所有這些都有助于開發(fā)商交付更安全的產(chǎn)品，盡管這些產(chǎn)品不是無懈可擊（沒有產(chǎn)品可以做到），但也不會被不法分子列入"易攻擊"名單。

　　10多年前，新思科技發(fā)起了軟件安全構(gòu)建成熟度模型（BSIMM）項目，每年發(fā)布一版BSIMM報告，在2020年將發(fā)布第11個版本。BSIMM是一款"描述性"模型，涉及多個垂直領(lǐng)域，旨在幫助企業(yè)規(guī)劃、執(zhí)行、完善和評估其SSI……2019年發(fā)布的BSIMM10反映了122家公司的軟件安全計劃，涵蓋金融服務(wù)、高科技、獨立軟件供應(yīng)商（ISVs），云、醫(yī)療保健、物聯(lián)網(wǎng)、保險及零售業(yè)。

　　BSIMM并不是建議每個企業(yè)都以相同的方式進(jìn)行SSI，不會提出需要"做什么"或"怎么做"。BSIMM的數(shù)據(jù)是從真正建立SSIs的公司收集而來，量化了119項活動的發(fā)生，來展示許多計劃的共同點以及彰顯個性的不同之處。BSIMM數(shù)據(jù)顯示高成熟度的計劃是全面的，涵蓋該模型所描述的全部 12項實踐中各種各樣的活動。企業(yè)可以采用BSIMM來比較計劃并且決定哪些額外活動可能對支持其整體戰(zhàn)略有意義。

　　簡而言之，更高的軟件安全性可以實現(xiàn)。如果沒有軟件安全，企業(yè)則無法符合陸續(xù)推出的與隱私有關(guān)的法律法規(guī)。