博客

黃永昌:雲端數據主權

隨著雲端服務的日益普及,企業可透過租用的方式,享有雲端服務,輕鬆地使用處理器、儲存容量、網路等基礎的運算資源,毋須自行購置基礎設施,節省成本;而且可按實時需要快速擴展。企業部署技術服務、構思以至實施,都比前快許多,企業因而可自由進行試驗、測試新構思,為客戶帶來不同的體驗,以及實現業務轉型等。 據Statista Q4 2019市場統計,雲端服務市場份額,主要由大公司所佔有,包括美國的AWS(33%)、Azure(18%)、Google Cloud(8%)和 IBM Cloud ( 5% ), 以及中國的阿里巴巴(5%)。由於許多雲端用戶為滿足業務需求,將個人資料存儲在雲端資料庫,需要符合相關數據存儲的規定,因此,大多數雲端服務商都在本地設置數據中心,讓客戶將資料加密,並存儲其中,以滿足有關法律要求。 由於歐洲沒有主要的雲端服務供應商,歐洲企業越來越依賴外國,特別是美國的雲端服務。但根據去年生效的美國的《雲法案》,地方當局可以命令美國供應商,上交存儲在服務器上的任何公司數據,無論該公司位於何處,包括歐盟在內。 缺乏數據自主權和自決權,特別是日益增加的敏感數據,例如知識產權、研究結果、公共衛生信息等,更不應受到外國當局的監控,法例自然引起歐洲企業的不滿和擔憂;加上越來越多的地緣政治憂慮、貿易爭端、政治不確定性,以及普遍對Amazon Web Services之類近乎壟斷的供應商產生懷疑等因素,促使歐洲企業有意將數據的雲端自主權,帶回歐洲本家。 因此,歐洲企業在德國和法國牽頭下,低調地在2019進行一個名為Gaia-X的大計,目的是打造一個歐洲本土的雲端服務,讓歐洲重拾數據的控制權。 為免失去數據的自主權,跨國企業在考慮與全球電子通信服務或遠程計算服務供應商,簽訂服務協議時,應對美國的服務供應商的組織設置,進行盡職調查,調查其是否可以「擁有、保管或控制」非美國分支機構持有的數據。服務接受者應盡量修改服務協議,以限制美國對非美國司法管轄區擁有的取得數據的權力。 而為降低風險,企業應評估與美國服務供應商的協議,以確定其是否可通過使用美國語言鍵盤,有權取得非美國實體在美國境外持有的數據,並在服務協議中,明確列明非美國數據,在非美國數據存儲的位置,須被「隔離」,包括物理上和邏輯上的隔離,並且不能從美國取得。此外,除非當地法律有所禁止,否則企業在簽訂協議前,應以合同語言通知美國服務供應商,作為服務接受者,已收到根據《雲計算法》所提出,具有法律約束力的請求。 如果關鍵數據是存儲在雲端,包括個人專有訊息、機密訊息或個人數據等,企業應利用最新的網絡安全方式,包括靜態加密和傳輸中加密處理,並且確保在任何情況下,加密的密鑰管理,都必須在企業的完全控制下;並在未經數據控制器的允許下,美國雲服務供應商不准取得數據。     撰文:黃永昌   香港電腦學會網絡安全專家小組執行委員會成員 [...]

博客

黃永昌:雲端數據主權

隨著雲端服務的日益普及,企業可透過租用的方式,享有雲端服務,輕鬆地使用處理器、儲存容量、網路等基礎的運算資源,毋須自行購置基礎設施,節省成本;而且可按實時需要快速擴展。企業部署技術服務、構思以至實施,都比前快許多,企業因而可自由進行試驗、測試新構思,為客戶帶來不同的體驗,以及實現業務轉型等。 據Statista 第四季(2019)市場統計,雲端服務市場份額,主要由大公司所佔有,包括美國的AWS(33%)、Azure(18%)、Google Cloud(8%)和 IBM Cloud ( 5% ), 以及中國的阿里巴巴(5%)。由於許多雲端用戶為滿足業務需求,將個人資料存儲在雲端資料庫,需要符合相關數據存儲的規定,因此,大多數雲端服務商都在本地設置數據中心,讓客戶將資料加密,並存儲其中,以滿足有關法律要求。 由於歐洲沒有主要的雲端服務供應商,歐洲企業越來越依賴外國,特別是美國的雲端服務。但根據去年生效的美國的《雲法案》,地方當局可以命令美國供應商,上交存儲在服務器上的任何公司數據,無論該公司位於何處,包括歐盟在內。 缺乏數據自主權和自決權,特別是日益增加的敏感數據,例如知識產權、研究結果、公共衛生信息等,更不應受到外國當局的監控,法例自然引起歐洲企業的不滿和擔憂;加上越來越多的地緣政治憂慮、貿易爭端、政治不確定性,以及普遍對Amazon Web Services之類近乎壟斷的供應商產生懷疑等因素,促使歐洲企業有意將數據的雲端自主權,帶回歐洲本家。 因此,歐洲企業在德國和法國牽頭下,低調地在2019進行一個名為Gaia-X的大計,目的是打造一個歐洲本土的雲端服務,讓歐洲重拾數據的控制權。 [...]

博客

如何在物聯網時代保障網絡安全及私隱?

歡迎來到物聯網(IoT)時代,物聯網將逐漸成爲每人生活的必須品,每人都會帶備超過一個以上的IoT裝置如手機、遊戲機、 智能手錶和手環等。這些IoT裝置都具有傳感器,從周圍環境收集及處理資料,並傳送到遠程位置做進一步分析。現時估計IoT裝置共有150億個,大約每人有兩個連接的IoT, 預計到2020年總數會增長至260億個。 隨著智慧家電及IoT應用興起,裝置軟件及硬件都百花齊放,很多時製造商都先照顧市場需求的先進功能,而在保障資訊和私隱安全往往未成熟,一般用戶也就很易成為駭客下手的目標。HKCERT 就已發布名為「Reaper」或「IoTroop」的物聯網殭屍網絡研究,據悉殭屍網絡或已控制過百萬部IoT裝置,可被利用作DDOS攻擊,導致大規模互聯網服務中斷。當IoT裝置應用在人身上,例如無人駕駛車和醫療用品上,IoT裝置的漏洞,更有機會危害人身安全。 IoT裝置常見的安全漏洞範圍,包括: 晶片或硬件漏洞:在製造過程中,由於要進行質量保證,測試點和端口會被添加到設備中,以確保其功能在發貨前可通過周詳測試;卻因此留下了開放的測試點和編程或電路板上的端口,為駭客提供了物理途徑,可探查設備並測試其漏洞。例如有駭客利用XBOX 360內的端口,去探試保安降級的方法。 啓動操作系統引致的安全漏洞:駭客會利用IoT裝置操作系統啟動過程中的漏洞,來進行攻擊。由於啟動時保護機制有限,許多進階保護機制,還未發揮其功能,造成駭客有機可乘。例如,iPhone操作系統啓動的弱點,就曾被利用作越獄的方法。系統啟動過程中的保安措施,必須經過周詳的審計以確保不會被駭客攻破。 軟件漏洞:IoT裝置軟件很多時需要用加密方法,去進行認證或保護敏感資訊,此舉可有效提升IoT裝置的安全性,增加被駭的難度。但我們發硯很多時,軟件設計未經深思,遺下弱點或安全破綻,例如使用了公認的弱密碼,或已被破解的加密標準。例如Sony PlayStation 3由於一系列密碼漏洞,而被降低安全性。 遠程遙控漏洞:IoT裝置通常都設有遠程遙控通道,用以收集數據或監控。這些遠程通道是非常有用的,但有些卻在實踐和開發過程中遺下安全漏洞,例如製造商可能會允許任意執行API指令,通過這個攻擊媒介,駭客可遠程控制IoT裝置,並進行攻擊。 儘管製造商都意識到私隱和安全隱患,但為照顧市場需求,往往忽略了,或發生事故後才補救。因此,市場上通常採用軟件級解決方案,去改善IoT裝置的私隱和安全性問題。 隨著智慧家電及物聯網應用興起,一般用戶也成為駭客下手的目標。美國聯邦調查局呼籲用家,連網攝影機、遊戲機及智慧喇叭等用家裝置,切記別和電腦設於同一Wi-Fi網路,因為駭客會透過駭入上述IoT裝置,入侵Wi-Fi網路,再經由家用路由器,擴散到各個連網裝置,包括儲存私隱資訊和密碼的電腦。 [...]