展览的首要资源 以及活动行业的专业人士

重新审视事件中的数据安全和隐私

由 Michelle Bruno 于 2019 年 9 月 13 日发布

特别栏目由

IAEE_水平标志_颜色_RGB

从历史上看,数据安全和隐私并不是活动组织者的首要任务。许多人并不觉得自己特别脆弱,因为与活动相关的数据泄露发生率很低。这种态度正在改变。

随着会议行业数字化转型,越来越多的供应商生成和处理越来越多的数据。新法规使不合规的组织面临法律和财务风险,活动行业以外的数据盗窃事件每天都在发生。现在是时候看看漏洞在哪里以及如何维护行业的完整性、透明度和声誉了。

指出弱点

纽约州罗切斯特市 Fusion Productions 公司总裁兼 digitalNow 年度会议总裁 Hugh K. Lee 十多年来一直向协会领导人强调数据安全和隐私的重要性,称其“对于您值得信赖的角色、品牌、社区和内容至关重要。但由于当今活动中的软件和设备连接紧密,数据更容易从一个平台传递到另一个平台,组织者很容易失去控制。

李说:“当数据通过两三个连接传输时,你不知道它是否被黑客入侵,也不知道它是如何被使用的。”

他认为协会会议是特别高价值的目标,因为当人们召开会议时,可以收集到有关特定人群的大量有用信息。

“想想坏人想要什么,”李说。“他们想要姓名、地址、公民身份、兴趣爱好、常旅客信息、食物偏好、过敏、特殊兴趣等信息。”

他说,甚至会议日程安排(会议主题和演讲者)对潜在的破坏者来说都有价值。

专门从事法规遵从和隐私方面的律师、旧金山 Lenos Software 联合创始人兼首席执行官 Debbie Chong 表示,企业会议(例如用户组会议)可能更容易受到攻击。不仅信用卡、护照、驾驶执照和其他经常收集以验证和确定与会者身份的身份证明会吸引数据黑客的注意。

“从安全角度来看,住房信息可能带来风险,而蓝牙信标可以捕获诸如你与谁见面以及在哪里见面等信息,这些信息对竞争对手来说非常有价值,而且还会侵犯隐私,”Chong 说。

冒着收入和声誉的风险

费城数字和业务转型咨询公司 FAS ideas 的老板、ISACA(前身为 信息系统审计与控制协会(Information Systems Audit and Control Association),活动 面临两方面的危险。

他说道:“如果你的组织并不真正关心其数据安全,而将其公开,那么从收入角度来看,而且从声誉角度来看,该活动成功的可能性都非常值得怀疑。”

监管环境也在升温。欧盟的《通用数据保护条例》(GDPR)影响了全球组织和公司的数据隐私政策和实践。不合规的组织将面临高额罚款。

据一份报告称,“英国信息专员办公室 (ICO) 因 2018 年 6 月至 9 月发生的一起事件,泄露了 50 万名客户的数据,对英国航空公司处以拟议的 14 亿美元罚款”。 CNBC.com 报告称,“ICO 向万豪开出了 1.23 亿美元的罚金,以弥补 2018 年 11 月报告的 3.39 亿条客人记录的丢失。”

GDPR 是政府正在采取的几项监管措施之一。Schettini 表示,加州消费者隐私法案 (CCPA) “比 GDPR 更严格,更难追踪”。他解释说,根据加州的新法律,组织“必须告诉每个人他们拥有哪些数据,描述他们将如何使用这些数据,为 [用户] 提供如何更改数据使用方式的选项,并每年向他们报告数据的使用方式”。面部识别(一种新兴事件技术)等生物识别监控系统正在旧金山等一些大城市受到审查或禁止。

活动组织者面临的风险不仅仅是在活动现场和活动周边收集数据。活动营销人员通常使用“cookies”(通过网络浏览器存储在用户设备上的数据)来分析网站访问者。GDPR 要求披露 cookie 的使用情况,并要求网站访问者选择接受跟踪。Chong 说,问题在于 cookie 有很多种类型,组织在披露时并不总是清楚这一点。她还发现,将 Google 旗下的 reCaptcha 工具放在企业活动网站上的做法令人不安。该软件帮助网站所有者控制谁在使用网站(人类还是机器人),但它也允许 Google 捕获用户数据并根据 Google 的隐私政策使用这些数据。

几乎所有活动组织者都会使用至少一个第三方,例如活动管理公司和活动技术提供商。虽然 GDPR 要求数据控制者(组织者)与数据处理者(第三方)一样合规,但许多组织没有资源或内部专业知识来适当审查第三方解决方案。

“清楚了解潜在威胁是什么,却仍然说‘我要不加思索地和第三方合作’,在我看来,这是在掷骰子,”李说。“如果有一天,事情变得一团糟,你就有麻烦了。这可能会毁掉一个协会或一个节目。”

识别漏洞

谢蒂尼表示,活动 Wi-Fi 可能是现场最大的薄弱环节。他补充说,即使是像黑帽这样的黑客会议的强化 Wi-Fi 网络也会遭到黑客攻击。例如,在不安全的环境中进行现场注册可能会让黑客获得与会者的信用卡、个人身份证明和人口统计数据。一种名为 Wi-Fi Pineapples 的袖珍设备最初是为了嗅探无线网络的漏洞而开发的,但它也有助于通过不安全或易于访问的 Wi-Fi 网络从毫无戒心的活动参与者那里收集敏感的个人信息。

如果不法分子还获得了注册人的身份证号码,他们就可以通过互联网捕获从近距离信标和射频识别 (RFID) 读取器传输到基于云的软件的与会者跟踪信息。

弗吉尼亚州阿灵顿市 Bear Analytics Inc. 首席执行官兼联合创始人乔·科朗杰洛 (Joe Colangelo) 表示:“每当一个行业聚集关键人物并围绕未来产品、创新或研发途径的关键信息时,数字身份证就会成为一个有价值的目标。”

泄露活动数据的其他方式包括欺骗,“通过假装是活动官员或活动技术公司来获取关键注册信息,以获取有关注册人的私人和敏感信息,”Colangelo 解释说。

利用注册人的电子邮件进行网络钓鱼诈骗(发送旨在诱使个人透露个人信息(如密码和信用卡号)的电子邮件)可能会对活动造成严重破坏。

“你可以想象一下收到的电子邮件说,‘你已经注册,但你的付款没有成功’,”科朗吉洛说。

未经授权的个人在会议中漫游构成了另一个威胁。连接到展会组织者网络或活动技术解决方案管理仪表板的不安全计算机(例如展会办公室中的计算机)为各种敏感信息敞开了大门。同样,黑客可以使用无人值守的笔记本电脑上的 USB 驱动器将恶意软件或勒索软件上传到组织的网络。来自技术供应商的局域网 (LAN) 也面临被篡改的风险。信用卡盗刷器可以放置在活动场所内的 ATM 上的刷卡装置上。

克服固有障碍

会议行业全面采用数据安全和隐私政策和流程的过程非常复杂。技术发展速度快于治理速度,活动组织者很难解决尚未完全显现的问题(例如,会议遭到大范围黑客攻击)。

“我再怎么强调也不为过,我们生活在一个数字时代领导力截然不同的世界,”李说。“新的颠覆性技术以前所未有的速度出现。”

预算也是一个障碍。有人建议将区块链技术作为让个人更好地控制个人数据的补救措施,Schettini 说:“这将是一个很棒的策略。”

“[但] 问题就变成了,‘有哪些应用程序可以利用区块链,或者你必须自己构建一个?’因为,现在你必须问它要花多少钱,”他补充道。

GDPR 使活动组织者将参会者数据货币化的努力变得复杂。虽然出售参会者联系信息对许多团体来说是不可能的,但邻近数据(哪些参会者参观了展位、他们停留了多长时间以及他们在看什么)肯定仍在考虑之中。此外,将数据货币化  这是企业活动所有者的一个重要目标——软件甚至将活动期间一对一会议的信息直接放入公司的销售支持平台,以加快销售转化。GDPR 使收集和使用此类数据的流程变得更加繁琐。

数据安全和隐私的需求对许多组织来说都是难以承受的,尤其是那些资源较少、应对挑战的小型活动组织者。大多数组织仍在努力应对数字技术的快速发展、收集的大量数据以及管理 21 世纪活动所需的培训和人员。通过各种渠道和供应商跟踪数据似乎是他们无力应对的又一项任务。

为提高活动安全性而加大的投入也可能招致与会者的不满和流失。增加登录会议 Wi-Fi 的难度、为与会者提供容易忘记且难以恢复的独特移动应用密码以及要求提供多种身份证明才能进入活动现场,这些都是提高活动安全性的好方法,但却是参与者不满的温床。

寻找修复方法

全面保护数据安全和隐私需要活动组织者采取一系列措施。培训员工应是重中之重。李说,组织者必须向员工展示“如何避免诈骗和错误信息以及应该通知谁”。

Frank Schettini 在 ISACA 工作期间,该组织利用从互联网上轻松获取的员工信息进行了一次虚假网络钓鱼攻击。约 60% 的员工打开了电子邮件,25% 至 30% 的员工点击了邮件。

斯凯蒂尼说:“对需要注意什么和避免什么进行培训非常重要,而且花费也不太多。”

第三方安全审计可以发现严重的漏洞。它们揭露了与收集、处理和显示违反安全和合规协议的客户信息相关的政策和流程。对组织安全能力的此类检查还可以生成报告,例如安全组织控制 (SOC) 报告,这是第三方认可的审计组织内部数据和安全基础设施的标准。

向与会者多次恰当地传达信息可以增强信任。Schettini 建议在注册后通过电子邮件确认“一些简单的信息,例如解释如何使用、收集和共享数据,以及我们为保护这些数据而采取的措施”,并在活动期间再次确认。Chong 指出“隐私权不同于条款和条件”,并建议在活动网站上发布两份单独的声明,要求用户同意。

选择只与认真对待数据安全和隐私的供应商合作是组织者也可以做出的政策转变。Chong 的公司坚持“设计隐私”商业模式,该模式在软件设计和实施以及公司的商业惯例中考虑数据保护和隐私。

她说:“我们始终坚持认为,客户的数据属于我们的客户,他们有权决定是否共享这些数据。”

Chong 还主张减少科技公司收集和存储的数据量。

“在 Lenos,与会者的信用卡信息会直接发送到信用卡公司,然后我们会收到一个令牌,”她解释道。

保护数据和隐私需要勤勉和一些资源。然而,Schettini 表示,这也为整个活动生态系统(策划者和供应商)的组织提供了建立竞争优势的绝佳机会——成立一个全行业的网络安全和数据隐私工作组“让各团体承认存在挑战,开始沟通并分享最佳实践是一个很好的开端”,他补充道。

在此之前,李先生向业界提供了一句中国谚语:“种一棵树最好的时间是昨天,但现在是今天,所以今天就种下它吧。”

 

米歇尔·布鲁诺
米歇尔·布鲁诺

Michelle Bruno 是一名作家、博主和技术记者。她出版了 Event Tech Brief,这是一份关于活动技术的简报和网站。您可以通过以下网址联系她 michelle@brunogroup.com 或者 @michellebruno 在 Twitter 上。

分享帖子

保持最新状态

相关文章

iaee 博客站徽标

保持最新状态

加入超过 15,000 名粉丝,致力于了解展览和活动行业的来龙去脉!