適逢國際資料隱私日 (International Data Privacy Day),全球資料儲存架構解決方案領導供應商 Seagate Technology Holdings plc 針對 2023 年資安趨勢提出六大預測,將會是企業與組織在今年須著手解決的主要問題。
趨勢一:企業與組織將聚焦資料分類 (Data Classification),以免受法規影響
根據所屬產業與地點,個人識別資訊、醫療保健、財務等各類別資料的處理方式皆有不同監管要求。若缺乏統一的資料分類策略,員工一旦不慎操作資料失當,企業將可能面臨高額罰款,進而影響營運。有鑑於此,領先企業紛紛設法強化負責處理敏感資料部門與資安團隊之間的合作。
趨勢二:正確配置整體雲端基礎架構,慎防資料意外洩漏
雲端配置錯誤的問題將成為多方關注的焦點。此問題也漸漸成為資料外洩的主因,且有方興未艾之勢。在傳統的企業本地資料儲存環境中,僅有少數幾位資安團隊的成員負責控管防火牆,以阻擋攻擊者竊取敏感資訊,並防止員工不慎將資料外流。
隨著多雲儲存日益普及,資安的挑戰也更加複雜難解。若在資料存取管理上缺乏資安防護機制和明確準則,企業恐將陷入莫大風險。因此,企業必須將整體雲端基礎架構的法令遵循性 (Compliance) 視為首要任務。雲端環境中一旦出現任何配置錯誤或漏洞,即便員工只是滑鼠一按,都可能意外造成整個資料庫外洩。一旦資訊遭到公開,就很難避免被攻擊者惡意濫用。
趨勢三:資安隱憂高漲,要求雲端服務供應商強化技術堆疊 (Tech Stack) 透明度的聲浪也將增強
在美國,因應政府對軟體安全日趨嚴苛的規範,以及客戶對於軟體的資安疑慮日益增長,軟體業者被迫公開更多關於其技術堆疊的資訊。在層層壓力下,客戶將要求雲端供應商更加開放,並提供新的IT採購決策評估方法。
趨勢四:軟體資安成為關注焦點,為強化客戶信任,軟體業者應透明揭露資訊並開誠布公地溝通
在 2023 年,軟體業者應透明且以不避諱的態度與客戶溝通,以強化其信任感。不僅客戶對資安的疑慮有增無減,2022 年時,美國更祭出聯邦行政命令,除了要求軟體與服務供應商透明揭露其可能實際面臨的資安事件,更嚴格地要求其公開潛在的資安風險與威脅。
在客戶疑慮與監管法規的雙重夾擊下,軟體與服務供應商需更開誠佈公地說明其技術堆疊中可能隱含的資安風險。供應商未來須公開其軟體物料清單 (SBOM) 中的內容,即應用程式中所使用到的軟體與零組件的清單。例如,該應用程式是否使用了 Log4J、Java 或其他軟體。知道這些詳細資訊,有助於企業與組織在挑選供應商時做出更明智的選擇,進而避開可能引發資安風險的產品。廠商若能更透明地揭露其技術堆疊,在遭遇資安威脅時,將更有能力回應客戶與監管機構的審查。
趨勢五:自動化將用於解決資安技術的落差 — 也將產生新的人才缺口
為了解決資安人才短缺的問題,企業已導入自動化資安工具,並從中獲得成本效益。然而,管理這些工具需要搭配專業的技術,新的人才缺口也因此產生 — 因為管理自動化資安工具需要目前許多資安人員欠缺的專業能力。企業必須策略性運用新技術與強化 IT 人員的專業能力教育,才能有備無患,妥善防禦資安威脅,並同時提升員工對公司的忠誠度。
趨勢六:資安法規推動資料在地化,進而催生多雲環境發展
資安法規正推動資料在地化的發展;IT 決策者現在就應該做好準備。資料在地化主要受兩大因素的驅動:邊緣裝置的普及,以及企業資料儲存與運用相關法規的快速變遷。隨著越來越多企業將資訊存放於邊緣,企業對在地化儲存與資安的需求也逐漸攀升。
隨著資料在地化發展,更多企業必須開始遵守包括歐盟的《一般資料保護規範》(GDPR) 和美國加洲的《加州消費者隱私保護法》(CCPA) 在內的區域性資料隱私法規。在區域性法規的約束下,企業更難透過單一雲來迎合所有的資料儲存需求,而得更廣泛地採用多雲環境。如此一來,愈來愈多企業將需要在不同地區使用不同的雲端以滿足不同的目的。隨著越來越多企業邁向多雲之路,他們都需要有明確的資安基礎,以避免雲端配置錯誤問題,從而盡可能降低風險。