在一份由 Ponemon Institute LLC 所公布的研究報告中指出,有高達八成的受訪者表示使用真實資料進行開發與測試。使用真實資料進行開發有甚麼問題,不都是在內部掌控的環境下嗎?如果再搭配其他兩項數據,問題的嚴重性應該就不言可喻。
第一項數據是危害資料安全的主要來源是內部使用者(無意或有意)以及協力廠商。
第二項數據是有接近一半的受訪者表示對於開發/測試環境的保護並不如正式環境一般”安全”。
也就是說儘管有良好的安全機制保護線上的資料,但是這些資料的分身(有時候甚至超過一個分身)在開發/測試環境中卻是沒有受到良好保護的。這些資料可供內部使用者、甚至協力廠商利用,而這些人正是資料安全最大的危害來源。資料內容包含客戶資料、員工資料、信用卡資料、交易資料…無所不包。
事實上,我也實際遇過在開發環境中看到真實的員工資料,其中包含薪資。這個問題說大不大,說小也不小。薪資資料在所有公司都是極高的機密,甚至很多公司明文禁止討論。
系統開發/測試期間有時候確實需要”接近”真實的資料,才不會在上線後才發現很多莫名其妙的錯誤。但是,並不是每個人都需要用到全部的資料,甚至很多人往往只要利用假造的資料就可以進行相關工作。所以,我們應該套用最小權限的概念,只提供特定角色任務執行上所需的資料內容。使用的方法可包含 Masking (把不需要的資料欄位改成無意義的內容) 及 Reduction (只取出必要的資料筆數)等。透過有效的管控與 Masking/Reduction 機制,將可以大幅減少資料安全受到威脅的機會。對於協力廠商,除了這些機制外,其他傳統上使用的方法 (簽訂NDA、定期Auditing等)也必須一併考慮開發/測試資料的保護,以達更完整的防護。
相關連結:
沒有留言:
張貼留言