Okta 提升安全性與尊重隱私權的三大方式

文章來源 / Okta Official Blog

身分是連結人與科技的橋樑，也是所有數位互動的入口。隨著威脅的演變，身分在我們的社區與工作場所中變得愈加重要。

網路犯罪分子正利用生成式 AI 技術策劃更加精密的攻擊，藉此創造逼真的深偽內容、偽造身分，並繞過傳統的安全措施。如今，攻擊次數比去年增加了 180%，而組織平均需要 290 天才能識別並遏制一次資料外洩事件。

身分即是安全。身分是企業安全的主要入口，涵蓋所有工作環境與消費者應用程式。保護數位身分的安全不僅有助於企業運營，還能促進對隱私、免於歧視、安全與言論自由等人權的尊重。

以隱私與安全為核心的設計理念

在Okta，我們始終秉持對客戶的關愛，這也是我們營運方式的差異化所在。Okta 將隱私與安全置於設計核心，幫助客戶在這些方面保持領先。我們展示這些優先事項的方式包括：

1. Okta 永不出售客戶數據

   Okta 堅持隱私至上的理念，認為客戶擁有其數據的所有權。客戶完全掌控服務運作所需的數據，隨時可以添加或刪除，而無需額外支持或專業服務。我們僅將客戶數據用於提供服務，絕不會在未經客戶同意的情況下將其信息出售或提供給第三方。

   
   

2. 承諾支持 CISA 的「安全設計承諾」

   2024 年 5 月，Okta 成為首批簽署美國網路安全和基礎設施安全局（CISA）「安全設計承諾」的企業軟體供應商之一。這一承諾要求企業軟體公司在一年內努力達成七項高層次的「安全設計」目標，促進技術生態系統的安全改進，並推動多廠商的協同合作。您可以在我們的年中進展報告中了解更多。

   
   

3. 以身分為基礎推動隱私設計

   Okta 讓開發人員能輕鬆地將強大的身分保護與安全最佳實踐內嵌到軟體中，實現隱私設計理念。

   
   

4. 支持邁向更安全的無密碼未來

   密碼容易被複製、盜取、釣魚或破解，而 Okta 的無密碼身分驗證功能可防範基於密碼的攻擊，確保組織數據安全。

   
   

5. 幫助弱勢組織改善安全防護

   通過「Okta for Good」計畫，合格的非營利組織可獲得單一登入和自適應多因素身分驗證等重要解決方案的授權捐贈和折扣。我們也了解到非營利組織需要專業支持來成功實施 Okta，這就是為什麼我們承諾提供相關計畫，讓合資格的非營利組織利用實施支援。

   我們相信這將帶來深遠的影響。根據 Microsoft 的數據，非營利部門是第三大網路攻擊目標，41% 的非政府組織（NGO）在過去三年（2020-2023 年）中曾遭遇過網路攻擊。

   
   

如欲了解更多關於弱勢社群承受的網路威脅和漏洞，包括服務這些社群的非營利組織，請觀看我們的 Oktane24 on Demand 會議記錄。

安全優先

Okta 的願景是讓每個人都能安全地使用任何技術。因此，安全性是 Okta 核心理念的一部分，並長期指引我們的決策與成果。以下是 Okta 實現安全性的幾種方式：

1. 全球責任：保護數位身分

   Okta 深知我們有責任保護全球人群、社群與組織的數位身分。作為全球領先的獨立身分供應商，Okta 利用其獨特的能見度，積極支援全球重大事件，包括 2024 年巴黎奧運會和美國總統選舉，確保數位身分的安全性。

   
   

2. 負責任地使用與開發 AI

   Okta 致力於安全地使用與開發 AI，強化人、技術與社群之間的連結。我們推出了與核心價值一致的負責任 AI 原則，例如「始終安全，始終在線」，以贏得客戶信任。Okta 採取嚴謹的方法推動 AI 創新，專注於安全性、隱私和安全的實踐。

   
   

3. 跨部門合作，尊重人權

   在持續推動創新過程中，我們的工程、安全、產品、業務技術、法務及人權團隊緊密合作，與內部和外部的人權專家協作，致力於理解並實踐隱私保護、避免偏見及增進安全等人權價值。 

   
   

4. 投資安全與隱私創新技術

   Okta Ventures 支持和投資於以身分、安全和隱私為核心的前沿技術。例如：

   
   

   • 投資於初創企業 k-ID，其為數位時代打造符合規範的年齡適宜遊戲，提供安全、適齡且具賦權性的數位體驗，並將安全與隱私融入設計。

   • 投資於 Intrinsic ，這是一個企業 AI 內容審核平台，旨在透過民主化的安全工具創建更安全的網路。

Okta 的這些實踐表明，我們對安全性的承諾是全方位的，涵蓋技術、業務與社會影響力。

設立全新產業標準

今年早些時候，我們推出了 Okta 安全身分承諾，其中一個核心目標是「提升產業標準」。儘管此計劃已在本系列首篇文章中詳述，但 Okta 在 10 月的 Oktane24 大會上宣布了一項重大消息。

為推動科技業的安全性提升，Okta 參與了 OpenID Foundation 的工作小組，致力於建立一項全新的身分安全標準：企業安全身分互通配置文件 (IPSIE)。這項開放標準的願景是為 SaaS 公司提供一個框架，全面提升其技術堆疊中各個接觸點的端到端安全性。

Okta 執行長兼聯合創辦人 Todd McKinnon 在 Oktane24 推介 IPSIE 工作小組時表示：「Okta 致力於提升整個科技產業的安全性，讓其免受攻擊。IPSIE 的目標是標準化身分安全，並促進一個開放的生態系統，使企業應用程式能夠輕鬆實現預設即安全。」

目前雲端中有數千個應用程式在設計上缺乏安全的身分防護，此項目旨在提升安全標準，同時尊重隱私等基本人權。

引領未來

處於身分技術的最前沿既充滿挑戰，也令人興奮。在當前時代，保護人群、社群及其數據與數位權益的重要性前所未有。隨著我們邁入 2025 年，科技進步將同時幫助並挑戰我們的努力。AI 工具必須在一致的道德規範下負責任地實施，確保其安全與可控，才能兌現其承諾的潛力。

然而，犯罪分子與惡意行為者也能輕易獲得先進技術，而安全團隊仍需在有限資源下最大化其安全投資回報。

面對當今的快速變化，身分保護及其所帶來的可能性需要公平地觸及每個人。Okta 的願景──「讓每個人都能安全地使用任何技術」──比以往任何時候都更加重要。