5G蜂巢式服務的時代即將來臨。這不僅會是晶片和電子系統產業的大好消息,而且還可能會是數位安全產業的一大轉機。

設計安全的行動服務極具市場潛力。許多最有效的技術現在都可以使用了。問題是供應商是否願意支付額外費用。截至目前為止,答案都是否定的。通訊供應商並不情願多花錢讓服務更加安全,因為這樣做不僅所費不貲,而且它還很容易流於互推責任——特別是因為用戶對安全的警覺性鬆懈。

如今,隨著歐盟(EU)在去年5月推出《一般資料保護規範》(General Data Protection Regulation;GDPR)後,情況出現了變化;而當美國加州《消費者保護法》(CCPA)於2020年生效後,在加州,這一代價將變得更加昂貴。這兩項法案都是針對資料收集領域常見的疑慮——例如社交媒體和線上零售商,因此,硬體和軟體產業並未真正加以考慮它。但現在該開始行動了。

幾個星期前,我為此專欄訪談了一家半導體公司的高階主管。我指出在媒體和零售公司購買的技術中存在著資料安全方面的弱點。即使這些公司竭盡所能地保護客戶資料,駭客也可能透過某種設備存取這些資料。我問他在歐盟開始追蹤資料洩露事件的設備供應商或者客戶被罰款而向他們尋求經濟救濟之前,大約會有多久時間。他的臉忽然一陣白一陣紅地說:「我想我們的採訪結束了。」然後就轉身離去了。

以下是我從採訪中得到的啟示:在歐盟,違反GDPR的罰款是2,000萬歐元,或一家公司年度全球營收的4%,以較高者為準。例如,如果蘋果(Apple)的裝置由於被一群為中國政府工作的駭客利用而遭到入侵,並存取歐洲幾萬名客戶的資料。那麼罰款將超過20億歐元。

這可能發生嗎?事實上,在GDPR生效之前,研究人員在市場上的每一款商用處理器中(包括Apple的所有產品)發現了Meltdown/Spectre漏洞。正如我去年多次提到的,這個漏洞很快就被修補了,為裝置性能而投入了極大的代價。

目前,Apple和其他裝置產品在GDPR法規是安全的。這是因為沒有人考慮將其應用於裝置中,同時也因為歐盟法規是「選擇加入」(opt-in)服務。用戶必須選擇這一保護功能,而由增補程式保護裝置。然而,增補程式可能會自動關閉,形成選擇退出保護法的決定。這將在2020年透過CCPA來進行保護,因為該法律選擇退出,而關閉增補可能構成選擇退出的決定。

當技術支援沒有告訴用戶:為了重新獲得性能而繞過增補程式,將會消除其保護作用,這時問題就出現了。你猜怎麼著?事實並非如此。這必須有所改變,因為當CCPA生效時,龐大的罰款可能會扼殺了一家公司。例如,Apple每年銷售3,600萬支iPhone。光是這一項就可能被罰款高達2,700億美元,這還沒計算每位用戶支付的750美元。我相信加州立法機構將會抓住這種增加收入的機會。

關於資料洩漏問題將在未來十年付出多大的代價,近來已經開始出現不祥之兆了;現在正是硬體產業嚴陣以待並謹慎處理此問題的時候了!

預計在未來的幾個月,這將會是一個持續被討論主題。我正在安排和全世界的政客、外交人員以及其他政府官員討論這個安全的議題。同時,也歡迎您提出更多批評與建議。

編譯:Susan Hong

(參考原文:Data Protection Laws Will Change How Electronics Systems are Designed,by Lou Covey)