2018資安趨勢預測二三事: GDPR規範的影響、機器學習正負效應

2018 / 01 / 16

資料整理：編輯部

即將在2018年5月正式實施的歐盟通用資料保護法(General Data Protection Regulation，GDPR)，因為所影響範圍除了整個歐盟地區，還包括與歐盟地區有業務往來的企業機構，甚至是資料處理業者也涵蓋在內，對企業帶來的影響成為2018值得觀察的資安指標之一。

GDPR規範的影響
由於違反GDPR規範，其賠償的金額是以該企業前一會計年度全球年營業額的2%或4%來計算，讓駭客組織能從企業公開財務報表中推算企業最高的罰鍰，因此趨勢科技指出駭客可能在竊取企業個資後，利用違反GDPR規範做為要脅企業的手段來從中獲利。

另外，GDPR中規定企業一旦發生資料外洩事件，需在72小時內通報監理機構與客戶，將使企業重視事件回應計劃的擬訂與實施，因此IBM認為這會有助於改善企業資料外洩後續處理的方式。Hitachi Vantara更將GDPR對個人資料的保護要求，拉高到資料治理的層次，認為企業將從過去以資料為基礎的處理方式，提昇到整個資料脈絡，並利用內容智慧工具來更新企業的資料治理架構，以符合GDPR對個人資料處理的規範。

人工智慧與機器學習讓攻擊更有效率
資安的攻擊與防守向來是呈現彼此連動對立的關係，駭客常會以更大膽創新的方式來尋求資安防禦的漏洞。因此當這幾年各大資安公司不斷強調其利用人工智慧與機器學習的方式，透過Big Data的分析以獲取最新全球攻擊情資的同時，駭客組織運用AI讓攻擊自動化且更有效率也就不令人意外。

趨勢科技與Fortinet都提醒，駭客將會利用自我學習的方式更快速的找出系洞漏洞，予以鎖定攻擊，Fortinet甚至預測會出現完全由機器創造出的惡意軟體。趨勢科技則提到駭客可能會利用區塊鏈的安全機制，以阻擋攻擊來源的追蹤，這些都是新興技術對攻擊方式可能帶來的轉變。

生物辨識興起
生物辨識技術早已發展多年，臉部辨識技術在手機上的應用也不是iPhone所獨有，但iPhone X推出後，卻讓臉部辨識成為各個媒體大肆報導的話題(這就是我們所說的必然與偶然)，另外像手機搭配指紋辨識的行動支付應用，都有助於生物辨識的廣泛使用。

姑且不論臉部辨識本身的安全性，隨著各種雲端服務的廣泛使用，人們所需使用記憶的密碼愈來愈多，雖然資安專家不斷強調密碼更換與提高密碼強度的重要性，但許多人還是用相同密碼來存取多個帳號，而成為資安防護的漏洞。因此用隨身攜帶且獨一無二的生物特徵做為密碼，就不失為一種解決方法。不過Hitachi Vantara也警告，有心人士可能會藉由物品接觸的方式來竊取指紋；另外，如果辨識系統遭破解的話，也無法像傳統的密碼重設就好，所以如何選擇安全的生物辨識技術就相當重要，而這些安全疑慮也會隨著大眾的關注而被討論，有利於各種生物辨識技術更廣泛的採用。

感謝，資料提供：
Fortinet：https://www.fortinet.com.tw/
Hitachi Vantara：https://www.hitachivantara.com/zh-tw/home.html
IBM：https://www.ibm.com/tw-zh/
趨勢科技：http://www.trendmicro.tw/tw/index.html

GDPR 人工智慧