無國界的網路安全管理方式

Wayne Dorris

隨著網路攻擊持續增加,可靠的網路安全從未如此重要。事實上,單就英國企業而言,由於惡意行為者利用遠端工作帶來的漏洞,惡意攻擊在 2020 年增加將 近 20%。受到潛在財務收益或大規模影響的驅使,網路罪犯可能成為具有高度誘因的敵人。

幸運的是,企業並非在全無規範指導的情況下自生自滅。政府積極執行法律,協助標準化防禦攻擊,以期降低企業及客戶資料的風險。企業如未遵守規定,在發生資料外洩時,可能會遭受鉅額罰款。

這使產品製造商陷入困境,因為他們必須了解客戶需遵守的法規,並確保其產品符合規定。這需要持續的關注與警覺,因為規定可能在不同地區之間有所改變、發伂或採行。全球製造商必須領先法律的變化,升級達到合規要求,以避免在未來發生問題。

管理與合規

從客戶的角度來看,遵守法規只是保護重要資料的起點;組織必須專注於管理與合規。這些術語有時可能會造成混淆,因為它們彼此密切關聯。管理是指組織自行制定的內部政策。這些措施往往超越政府法律,根據其個別風險狀況及產業威脅情況而量身定制。

另一方面,合規是為了確保遵守這些內部政策及法律而採取的措施。這些措施必須在安全性與使用者體驗之間取得平衡,而不至對流程造成不必要的干擾。這些措施可由第三方稽核,並應經得起考驗。

隨著新威脅的出現和發現的漏洞,持續針對管理與合規進行評估。因此,製造商不僅必須擁有合規的產品與服務,還要滿足所有客戶的管理要求。

全球法規考量

不幸的是,各地法規並未統一。全球影像監控技術製造商受到各地法規差異的挑戰。例如,歐洲的 GDPR 決定了個人資料的管理及儲存方式。從歐盟國家收集的公民資料,無論彙集到什麼地方,都必須遵守這項規定。如果不遵守規定,可能會造成重大的財務影響。事實上,自 GDPR 於 2018 年推出以來,違反法規的組織已被處罰 3 億 3,240 萬美元的罰款。美國恰好相反,並沒有普遍的標準,各州都有各自針對企業的規範。世界各地的其他國家和地區都有其特定做法,因而創造了複雜的監管環境。如果企業設在一個國家(例如美國)並在全球營運,尤其如此。他們必須遵守其營運所在國家的當地標準,否則可能將有不合規定的風險。

要成功了解各地不同的資料保護及網路安全法規,必須從深入瞭解這些法規開始,再輔以最佳落實的方式,保護機密資料免於網路攻擊。這將決定產品應該納入哪些類型的網路安全防護,以支援客戶自身的合規性措施。

製造商必須持續超前部署

即使擁有豐富的法律知識,製造商也無法忽視威脅不斷變化的狀態。必須針對新漏洞,定期更新產品上的韌體。問題可能會發生在舊版產品仍在使用的情況,有時是完全無法更新。

因此,必須將網路安全視為產品生命週期管理的一部分。如果產品超過特定年限,將可能不再具備網路安全性。法律因修正而變得複雜,也可能代表裝置不再符合規定。要糾正這個問題可能需要製造商檢討超過五年的軟體和韌體,這可能非常困難。

除了製造商四周的高牆之外,另一個需要注意的部分是供應鏈。由於網路安全具有高優先順序,製造商供應鏈內的組織必須能夠證明他們如何面對網路安全及資料保護。這包括他們如何遵守法律,以及為什麼他們是「安全」的事業夥伴。有了這些認知,製造商才能放心,他們不會意外將風險帶進他們的產品。

謹記客戶的最佳利益

在網路安全方面,除了客戶需要遵守的法律之外,組織也必須瞭解他們所面臨的威脅,及其自身的風險及弱點。

身為客戶的安防設備製造商,採取全球化的網路安全措施方法具有優勢。確保產品遵守來自不同市場的最嚴格法規,能夠讓客戶需求永遠成為最優先的考量。此外,如果新市場採用既有法規,產品便已符合規定,無需更新韌體。如此製造商便能符合客戶的最佳利益,支援他們達成目標,確保其資料安全無虞。

透過以下連結,深入瞭解 Axis 如何在產品打造立網路安全性。

 

內建安全性功能