2009年,那時的中(zhōng)國(guó)還沒有(yǒu)數據安(ān)全,隻有(yǒu)網絡安(ān)全;也正是在那一年,安(ān)華金和成立了,從堪比荒漠般的中(zhōng)國(guó)數據安(ān)全領域破土而出。今天,數據安(ān)全已形成一個獨立的行業,在國(guó)家層面和企業層面都得到了高度重視和投入。如果說是有(yǒu)什麽改變了數據安(ān)全的地位,那就是數據本身的價值。
你做的所有(yǒu)生意,都是數據!
正如互聯網預言大神 凱文(wén) · 凱利 在對未來趨勢的總結中(zhōng)所言:“人類正處在一個數據流動的時代,數據的重要性空前提升且不斷發展,處理(lǐ)數據已變得同處理(lǐ)客戶一樣重要。”事實上,隻要想想人們現在每天要花(huā)費多(duō)少時間用(yòng)手機浏覽各種圖文(wén)和視頻信息,每分(fēn)鍾有(yǒu)多(duō)少筆(bǐ)在線(xiàn)支付或轉賬在發生,還有(yǒu)那炙手可(kě)熱、野蠻生長(cháng)的區(qū)塊鏈和比特币等等…不難發現,人類社會的知識、财富乃至曆史正在經由數據承載,而由此産(chǎn)生的、源源不斷的數據,又(yòu)進一步推動着商(shāng)業模式創新(xīn)的車(chē)輪滾滾向前,數字化已滲透至社會的各個角落。
然而,當數據所蘊含的價值被不斷挖掘和發現的同時,另一種“生意”于暗地滋生——黑産(chǎn):
1、非法交易數據:“内鬼”洩露并出售你的購(gòu)物(wù)記錄、行動軌迹等個人數據變現,之後你便可(kě)能(néng)收到一連串推銷短信甚至詐騙電(diàn)話;
2、勒索病毒攻擊:企業、醫(yī)院、高校乃至個人的電(diàn)腦一旦感染勒索病毒,導緻重要文(wén)件被加密,想要恢複數據就必須支付給攻擊者比特币贖金。之所以選擇這種“全新(xīn)”類型的贖金,是因為(wèi)它無法追蹤,免去了不法分(fēn)子的後顧之憂;
3、濫用(yòng)數據牟利:互聯網企業、大數據分(fēn)析公(gōng)司等數據持有(yǒu)者“明修棧道,暗度陳倉”,利用(yòng)合法采集到的用(yòng)戶數據進行非法牟利活動;
4、盜用(yòng)數據牟利:近年來最典型的案例當屬Facebook“數據門”了,5000萬用(yòng)戶信息被外國(guó)商(shāng)業分(fēn)析公(gōng)司盜用(yòng),疑被用(yòng)于在美國(guó)總統大選中(zhōng)左右選民(mín)意志(zhì)。
4%的全球營業額罰款意味着什麽?
在意識到數據安(ān)全問題對個人、企業、社會乃至國(guó)家政治潛在的巨大威脅後,世界各國(guó)開始陸續出台與數據安(ān)全相關的法律法規。中(zhōng)國(guó)的《網絡安(ān)全法》、歐盟的GDPR等法律條例中(zhōng)都明确規定了處罰标準,GDPR更因其“最高可(kě)處2000萬歐元或全球營業額的4%(以較高者為(wèi)準)”的天價罰款被視作(zuò)“史上最嚴”數據監管條例!
那麽全球營業額4%的罰款到底是個什麽水平?簡單理(lǐ)解,實際上有(yǒu)很(hěn)多(duō)公(gōng)司全年的淨利潤都到不了其營業總額的4%!更重要的是,GDPR絕非紙上談兵,條例頒布以來,已有(yǒu)多(duō)家世界級企業因數據洩露等安(ān)全問題收到其開出的上億美金巨額罰單。
在中(zhōng)國(guó),自《網絡安(ān)全法》正式施行以來,《數據安(ān)全法》、《個人信息保護法》、《個人數據和重要數據出境安(ān)全評估辦(bàn)法》、《關鍵信息基礎設施保護條例》等均在積極制定當中(zhōng),這些變化一方面對數據安(ān)全行業的發展起到了非常重要的保護和促進作(zuò)用(yòng),同時也對企業的數據安(ān)全管理(lǐ)工(gōng)作(zuò)提出了更高的要求,也造成了更多(duō)的影響。
值得一提的是,Gartner在2018年曾發布過一份“頗為(wèi)有(yǒu)趣”的資産(chǎn)負債表,指出數據資産(chǎn)可(kě)能(néng)造成債務(wù)問題——過度收集數據可(kě)能(néng)影響企業的風控,因而從财務(wù)角度數據要被視為(wèi)負資産(chǎn);此外,企業為(wèi)所持有(yǒu)的數據提供保護也需要在資金、人力等方面投入更多(duō)成本。
如今,在政策要求、法律法規、行業标準和輿論監督等諸多(duō)“約束”之下,企業由于數據安(ān)全問題面臨着極大的經營性挑戰:
1、因數據出境問題,基因研究機構收到科(kē)技(jì )部行政處罰及證監會詢問函;
2、因用(yòng)戶信息被競争對手利用(yòng),教育培訓平台蒙受生源損失;
3、因乘客信息洩露,國(guó)際航空公(gōng)司面臨GDPR巨額罰款,股票大幅下跌;
4、因GDPR正式頒布,電(diàn)商(shāng)公(gōng)司選擇終止歐洲業務(wù);
5、因用(yòng)戶數據洩露,社交網站簽署巨額和解協議,并重新(xīn)定義企業戰略;
6、因公(gōng)司數據和備份全部被黑客删除,郵件服務(wù)供應商(shāng)宣告破産(chǎn)。
此外,數據安(ān)全不僅會影響企業的正常經營和發展,與政府機構的穩定運轉同樣緊密相關。2015年的中(zhōng)國(guó)社保信息洩露事件、2016年的徐玉玉案件、2017年個人信息納入刑法保護範圍以及近年來因涉嫌數據洩露等安(ān)全問題被依法懲處、判刑的國(guó)家公(gōng)職人員案例,這些都表明了國(guó)家在鼓勵數據開放共享的同時,面臨着層出不窮的威脅和隐患,随之對數據安(ān)全的監管和要求也提升至新(xīn)的高度。
在這種背景下,數據究竟該如何被使用(yòng)和共享呢(ne)?如果企業、政府等用(yòng)戶無法掌握敏感數據的分(fēn)布,不能(néng)明确數據洩露的責任歸屬,也沒有(yǒu)能(néng)力保障數據的安(ān)全,那麽對數據的開放反倒會成為(wèi)一種困擾,不論是監管還是黑産(chǎn),都将阻礙數據真正實現自由的流動與安(ān)全的使用(yòng)。面對數據這把“雙刃劍”,該如何應對上述問題呢(ne)?
“零信任”帶來的可(kě)能(néng)隻是“過度防禦”
1、過去做攻防對抗、防黑客防漏洞等等,采用(yòng)“禦敵于國(guó)門之外”的思路,即築起一道邊界,做好嚴密的防禦和監控,讓外部攻擊無法侵入,從而實現内部數據的“安(ān)全”;然而,在這種保護下的數據更像是被戴上了枷鎖,不能(néng)被自由的流轉和使用(yòng),其價值也就得不到發揮;換句話說,如果一味遵循以“零信任思考安(ān)全”的觀點看待數據安(ān)全,帶來的可(kě)能(néng)隻是“過度防禦”,從而導緻資源浪費、性能(néng)下降、事倍功半等問題。這種數據安(ān)全是低效甚至無效的安(ān)全,數據是需要“走出去”的。
2、安(ān)華金和提出以數據為(wèi)中(zhōng)心的場景化安(ān)全理(lǐ)念,即根據用(yòng)戶對數據使用(yòng)場景的分(fēn)析研究,有(yǒu)針對性的制定防護措施,從而在保障數據安(ān)全使用(yòng)的同時,省卻非必要的投入。比如,測試開發系統如果隻需要使用(yòng)具(jù)備生産(chǎn)數據特征及其相互間關聯關系的仿真數據,那麽隻要對數據進行脫敏一項防護措施就可(kě)以解決問題,而不是盲目的把審計、加密等一系列産(chǎn)品全都配置上去。在這類場景中(zhōng),即做到了有(yǒu)分(fēn)析規劃、有(yǒu)目的性的取舍。
3、除數據場景化安(ān)全防護外,伴随時代步伐的邁進,數據安(ān)全建設要合規、要安(ān)全、要穩定、要靈活、要高效等等等等,需要考量和應對來自不同層面的問題和要求。未來,想要應對持續變化發展的數據安(ān)全環境,既不能(néng)靠單一技(jì )術的應用(yòng),也不能(néng)靠安(ān)全産(chǎn)品的加碼堆砌,而要靠對數據安(ān)全的治理(lǐ)。數據安(ān)全治理(lǐ)是一套方法論,也是一個體(tǐ)系化的工(gōng)程,需要建設科(kē)學(xué)的組織架構。而做到這些,需要國(guó)家、行業和企業三者共建生态、共同協作(zuò)來實現。
開放合作(zuò),共建數據安(ān)全治理(lǐ)大生态
在國(guó)家層面上,由政府出台政策,由公(gōng)安(ān)、網信、工(gōng)信、保密局、密碼局等主管部門制定法律和标準;在行業層面上,由金融、教育、醫(yī)療等行業監管單位提出規範和要求,帶動行業整體(tǐ)意識和行動;在企業層面上,由數據安(ān)全相關技(jì )術廠商(shāng)和産(chǎn)品提供商(shāng)提供技(jì )術支撐,更需要廣大用(yòng)戶持續提升數據安(ān)全意識與自主防護能(néng)力。
作(zuò)為(wèi)中(zhōng)國(guó)專業的數據安(ān)全企業,安(ān)華金和一直緻力于數據安(ān)全治理(lǐ)生态體(tǐ)系的理(lǐ)念倡導與實踐。公(gōng)司于2017-2019連續三年舉辦(bàn)“中(zhōng)國(guó)數據安(ān)全治理(lǐ)高峰論壇”,分(fēn)享優秀案例,交流實踐經驗。而在推動這一理(lǐ)念普及發展的過程中(zhōng),也欣喜的看到,國(guó)家和很(hěn)多(duō)行業媒體(tǐ)正在成為(wèi)數據安(ān)全治理(lǐ)的最大提倡者。
同時安(ān)華人對生态的理(lǐ)解,是要堅持做自己,即不為(wèi)追求短期的商(shāng)業利益去模仿或照搬,而是通過廣泛合作(zuò),集合各方所長(cháng)構建符合中(zhōng)國(guó)國(guó)情和需要的數據安(ān)全治理(lǐ)大生态,最終實現數據安(ān)全治理(lǐ)工(gōng)作(zuò)的價值最大化。幫助廣大用(yòng)戶在這個流動的時代裏,讓數據使用(yòng)自由而安(ān)全!
