作者:Albie Swartz, IT风险咨询高级经理 & 安全

脸谱网和. 剑桥分析万博平台app下载——该怪谁?

在这篇博文中, 我们将探讨在这场灾难中仍在发生的事件, 为什么企业需要关注隐私和安全, 以及你的万博平台app下载能做些什么来保护自己的资产和员工. 随着网络世界不断带来新的挑战,风险管理从未像现在这样重要, 甚至对万博平台app下载和消费者造成巨大的经济损失.

发生了什么事?

  • 到目前为止,许多人都知道剑桥分析万博平台app下载开发的一款受欢迎的脸谱网应用收集了数据 个人资料 超过5000万脸谱网用户. 这些个人数据随后与第三方共享, 最终在2016年总统竞选期间被用于分析和定位. 与一些说法相反, 这不是一个安全事件导致数据泄露的情况. 换句话说,没有人侵入数据库并秘密检索用户记录. 脸谱网用户通过一款应用程序提供自己和朋友的数据.
  • 悬而未决的问题是,这些行为是否违法? 如果这是非法的, 那么严格来说,这是一个漏洞, 尽管这更像是一种涉及数据的违约行为,而不是我们在主流媒体上看到的“数据泄露”或“黑客”的标签。. “数据泄露”和“不当披露”可能更合适.
  • 至少有三种可能:这款应用的用户被条款和条件愚弄了, 用户没有阅读条款和条件, 或者应用程序所有者(剑桥)违反了正式协议. 第一个, 这款应用的条款有可能暗示了学术用途,或者含糊其辞, 但仍然获得了共享用户数据的许可. 第二种可能是条款和条件中声明的数据将由剑桥自行决定使用, 在这种情况下,尽管让用户感到不安,但分享可能是合法的. 最后, 剑桥大学分享数据可能确实违反了条款或协议.
  • 从另一起涉及不必要的数据泄露事件中,你应该吸取的一件事是: 永远、永远、永远不要分享你的数据 (i.e. 关于你自己的信息),除非你确信接收方会按照个人数据的黄金法则——按你希望的方式对待你的数据——来对待它. 不幸的是,在我们生活的这个时代,妥善处理数据似乎是一种例外,而不是常态.

脸谱网在数据收集和使用方面的政策和做法是什么?

  • 众所周知,脸谱网收集用户数据来销售定向广告. 它还需要数据的所有权. 根据脸谱网的政策,当你在脸谱网上发布照片时,它就会成为脸谱网的财产. 那么数据共享呢? 脸谱网的数据政策表明,它只会分享 用于广告、测量或分析的非个人身份信息. 他们的政策还指出,通过下载第三方应用程序和服务,你允许他们访问你的公共资料, 和 “你与他们分享的任何信息.”脸谱网的政策规定, “这些应用程序收集的信息, 网站或综合服务受其自身条款和政策的约束.”
  • 尽管脸谱网声称保护信息是最重要的, 它一直在出售用户数据. 它如何确保所有收集数据的第三方接收者遵守合同义务? 我认为不能. 此外,谁能保证第三方已经制定了充分的保护措施呢? 在数据安全的合法性方面存在灰色地带,因为它涉及隐私, 这意味着合同义务的主要动机是保护私人数据,而不是针对不当披露隐私事件采取惩罚性法律行动.
  • 许多人可能没有意识到的是,万博平台app下载经常收集用户数据, 平台, 几乎可以肯定,第三方应用程序在用户完全不知情的情况下被共享. 在剑桥分析万博平台app下载(Cambridge Analytica)的案例中,碰巧是一名前雇员举报的.
  • 脸谱网最近因提供欺骗性的VPN服务而受到抨击,据报道,该服务捕获并分析了所有用户数据,而不是提供匿名数据, 交通, 和位置. 你可以在去年Clearview即将发布的博客中了解更多.

剑桥大学或脸谱网违法了吗?

  • 此时此刻, 任何一方行动的合法性尚未确定, 争论可能会持续几个月. 脸谱网将矛头指向剑桥大学, 基本上表明剑桥在数据收集过程中是在其范围内的, 但剑桥分享这些数据违反了脸谱网的使用条款. 脸书声称可能会采取行动惩罚剑桥大学, 但这主要是基于合同义务. 脸谱网也在寻求销毁这些数据.
  • 剑桥大学声称自己是无辜的,并将配合任何调查. 目前,应用程序开发人员的评论表明,最初的使用条款描述了收集数据的学术目的, 但这些条款后来有所改变, 这可能构成对数据使用的虚假陈述. 剑桥大学表示,只有在这一变化之后收集的数据才会被共享.
  • 据报道,联邦贸易委员会将调查脸谱网是否违反了2011年的一项同意令,该同意令源于该万博平台app下载在未通知用户的情况下更改隐私. 脸谱网否认违反禁令.
  • 在英国,至少有一项政府调查正在进行中,以确定数据获取和使用的合法性. 脸谱网的马克·扎克伯格(Mark Zuckerberg)很可能会被国会传唤.

与业务风险相关的法律和隐私影响是什么?

  • 契约性:服务协议通常包括安全和隐私要求. 经济处罚可能明确,也可能不明确, 但是,如果客户因安全事件或数据泄露而遭受经济损失,这是由于您的部分业务失误造成的, 当客户希望弥补损失时,你应该预料到他们对你的生意会有某种反应.
  • 《万博平台app下载》(GDPR):如果这是在GDPR全面生效的情况下发生的,脸谱网和剑桥将面临更大的麻烦. 在这种情况下,GDPR规定的经济处罚可能是天文数字. 虽然对于脸谱网这样的巨头来说还可以忍受, 大多数万博平台app下载的收入和利润都会受到严重影响.
  • 关于GDPR的更多信息:在欧盟境内运营并拥有欧盟公民数据的美国万博平台app下载在处理GDPR所描述的数据主体的新权利方面面临挑战. 必须清楚告知资料当事人有关资料的收集和使用. 当事人亦可要求销毁其资料,资料收集者必须遵从. 数据主体必须被告知其数据被共享,包括与谁共享. GDPR中一些相当大胆的措辞还暗示,在欧盟以外运营、向欧盟公民提供服务或商品的万博平台app下载也将受到限制, 或者甚至是通过以数据的形式捕捉他们的行为来观察他们的万博平台app下载, 是否包括在GDPR的范围内.
  • 美国:美国的隐私法是分散和地方性的. 加州和马萨诸塞州等州已经通过了保护个人数据的法律. 如果有的话,它们如何适用于这里还有待观察. 然而, 我们可能很快就会看到类似GDPR的立法通过, 无论是联邦政府还是州政府, 因此,企业最好开始为这一天做准备.

消费者和企业的前景如何?

  • 不是很好的. 我只想说, 万博平台app下载不仅在收集数据,还在销售数据, 购买, 交易和损失, 太. 数据正在成为商业的新命脉. 信息就是力量, 现在,只需点击几下按钮,信息就可以很容易地与世界上的任何人共享, 保护它的风险甚至更高. 个人或万博平台app下载数据可能会在你毫不知情的情况下落入世界另一端的人手中.

这与Equifax相比如何?

  • 大约是共享记录数量的25-35%, 包含应该受到保护的个人身份信息(PII). 它还包含了被称为“心理学”的数据, 听起来很敏感, 尽管还需要更多的调查.

对你的业务来说,关键的收获是什么?

  • 不幸的是,如果你是个人,你的选择是有限的. 如果你是一个企业, 当涉及到内部事务时,你必须非常勤奋, 第三方, 第四方风险. 您必须保护您的计算环境、数据,进而保护您的员工和客户. 违反合同, 不遵守规定, 即使是你的员工受到影响的事件也会对你的业务造成毁灭性的影响. 一波又一波的网络威胁经常导致数据泄露和服务中断, GDPR等新法规会对企业进行经济处罚, 您需要一个值得信赖的合作伙伴,了解网络世界的复杂性,并能帮助您在特许和未知的领域中航行. 只要看看去年Clearview就知道了.

去年Clearview如何提供帮助?

  • 科技是社会的福音,但也带来了重大挑战. 然而,从历史上看,运营和人力资源风险可能会对您的业务及其声誉造成最大的潜在损害, 现在更多的病媒需要关注和保护.  企业必须建立关键项目来保护自己. 网络安全, 第三方和第四方风险管理, 以及围绕数据的治理, 流程, 和人民 关键领域是否需要改进. 一个万博平台app下载的 企业风险管理 为了有效,实践现在必须包含更广泛的领域.
  • 去年Clearview 使用尖端技术来增强传统的评估 程序、过程和基础结构. 我们为客户构建固有网络风险以及与供应商和合作伙伴相关的风险概况, 包括第四方, 识别数据流并确保数据治理. 去年Clearview可以帮助确保你准确地知道你的数据在哪里, 谁有权限, 如果它越过了你不希望它越过的界限. 一旦你意识到你的风险状况, 您可以通过建立程序和过程来适当地管理风险,从而采取措施保护自己, 实施技术解决方案, 并为员工提供培训.  虽然有些需求是常见的, 每个企业都有自己独特的情况,需要定制目标, 解决方案, 和控制. 不管你现在的状态或期望的目标, 去年Clearview将引导您走向最适合您业务的方向.

__________________________________________________________________________________________________________________________________

如何保护您的业务 

你现在想知道从这里要去哪里吗? No need to fret; 去年Clearview has you covered. 通过和你简短的交谈, 回答你们的问题, 我们能够解决以下所有问题,并设计一个定制的方法来确保您管理每一个风险.

  • 社交媒体
    • 政策——万博平台app下载应该有社交媒体政策. 限制使用社交媒体. 不希望员工分享万博平台app下载机密数据或在社交媒体上表现不佳.
    • 技术控制-限制员工的行为. 也许是浏览脸谱网, LinkedIn, 和万博平台app下载网络上的Instagram是允许的, 但是发布/添加内容是被强制禁止的. 我们可以帮助实施解决方案,阻止除营销人员外的所有人在脸谱网上发布经过批准的内容,以减少不必要事件发生的可能性.
  • 数据治理
    • 确定谁, 什么, 当, 在哪里, 为什么数据是具有挑战性的, 然而,它是所有其他围绕数据的控制和处理必须建立的基础. 建立数据治理委员会, 分配数据所有者, 创建数据安全和数据分类策略是起点.
  • 终端安全
    • 实施包括BYOD在内的企业移动管理战略至关重要.
    • 安装防病毒引擎和从组策略中推出一些技术控制不再提供足够的保护. 新的解决方案可以提供更大的保护,同时集成网络防御技术, 提供完整的交通覆盖,无论设备是在本地还是在当地的咖啡店.
  • 网络安全控制和测试
    • 漏洞管理和安全编码实践对于消除企业面临的大量网络风险大有帮助. 然而, 诸如渗透测试之类的活动, 网络, 以及系统审计, 访问评论, 并且需要评估现有的第三方工具和解决方案,以解决可能导致安全事件的松散问题.
  • 数据丢失预防(DLP)
    • 企业需要开始认真对待DLP技术的需求. 政策和培训可以大有作为, 但如果没有侦查和预防措施的配合, 丢失数据的风险可能仍然太高. 屏蔽Dropbox、Box等文件共享服务是一个不错的开始.以及苹果和谷歌托管的类似服务,如果它们没有再次获得批准的话, 没有完整的风险分析, 企业可能没有意识到自己面临着更大的风险. 去年Clearview可以帮助您识别并实现适合您的技术.
  • 配置管理和变更管理
    • 两个非常重要的过程, 建立配置和变更管理,通过确保所有变更都经过测试来降低网络风险和操作风险, 批准, 并授权.
  • 资产清单
    • 识别所有资产以及每个资产的重要性和风险是有效的网络风险管理的首要任务.
  • 特权访问管理 
    • 控制和监视对敏感系统和应用程序功能的访问不能再听之任之. 职责分离和访问事件的可审计跟踪是必要的.
  • 监视、警报和响应 
    • 实现集中测井, 监控, 警报和附带的事件响应过程是检测和响应事件的关键. IT应该与法律协调, 隐私和合规功能,以确定内部和外部的沟通渠道和应对的剧本.

 

不要像过去的万博平台app下载那样措手不及,联系Albie Swartz,邮箱是aswartz@4ugod.com或致电410-415-9700,并要求与IT风险咨询团队的人员交谈.

 

来源:

  1. 奥沙利文,D. (2018年3月19日). 独家:脸书与剑桥分析争议中心的科学家发表讲话. 从检索 http://money.美国有线电视News网.com/2018/03/19/technology/cambridge-analytica-scientist-aleksandr-kogan/index.html
  2. 拜尔斯,D. (2018年3月19日). 脸谱网正面临着一场生存危机. 从检索 http://money.美国有线电视News网.com/2018/03/19/technology/business/facebook-data-privacy-crisis/index.html?iid=EL

  3. Merelli,. (2018年3月17日). 脸谱网三年前就知道剑桥分析万博平台app下载滥用用户数据,直到本周才禁止该万博平台app下载. 从检索 http://qz.com/1231643/cambridge-analytica-illegally-obtained-data-from-50-million-facebook-users-to-run-trump-ads/
  4. Grewal编写,P. (n.d.). 将剑桥分析和SCL集团从脸谱网上删除. 从检索 http://newsroom.fb.com/news/2018/03/suspending-cambridge-analytica/
  5. Cadwalladr C., & Graham-Harrison E. (2018年3月17日). 工作人员声称,剑桥分析万博平台app下载无视美国禁止外国人从事选举工作的禁令. 从检索 http://www.theguardian.com/uk-news/2018/mar/17/cambridge-analytica-non-american-employees-political
  6. 快乐,我. (2017年7月1日). 美国的数据保护:概述. 从检索 http://content.下一个.westlaw相比.com/6 - 502 - 0467?transitionType =违约&珍宝= true&bhcp = 1&contextData = (sc.默认)
  7. 页面中,C. (2018年3月21日). 随着WhatsApp联合创始人加入#删除facebook运动,剑桥分析首席执行官被拒绝. 从检索 http://www.theinquirer.net/inquirer/news/3028688/cambridge-analytica-ceo-nixed-as-whatsapp-cofounder-joins-deletefacebook-movement
  8. 卫理律师事务所. 5月(2017). GDPR的范围:第2条和第3条规定的物质和地域范围. 从检索 http://www.wileyrein.com/newsroom-newsletters-item-May_2017_PIF-The_GDPRs_Reach-Material_and_Territorial_Scope_Under_Articles_2_and_3.html
  9. 数据泄露. (n.d.). 从检索 http://en.wikipedia.org/wiki/Data_breach
  10. 麦克劳克林,D.布罗迪,B., & 房子,B. (2018年3月20日). 脸谱网受到联邦贸易委员会和国会委员会的审查. 从检索 http://www.bloomberg.com/news/articles/2018-03-20/ftc-said-to-be-probing-facebook-for-use-of-personal-data
  11. 罗森博格,米.N .忏悔者., & Cadwalladr C. (n.d.). 特朗普顾问如何利用脸谱网数百万人的数据. 从检索 http://www.nytimes.com/2018/03/17/us/politics/cambridge-analytica-trump-campaign.html

 

更多的 IT风险咨询 & 安全

相关案例研究

友情链接: 1 2 3 4 5 6 7 8 9 10