“我對(duì)正在發(fā)生的違規(guī)行為的數(shù)量感到不安。作為一名首席信息安全官,我一生中從未見過如此多的違規(guī)行為。”Check Point CISO Deryck Mitchelson近日針對(duì)越來越多的數(shù)據(jù)泄露事件發(fā)表上述評(píng)論。他粗略統(tǒng)計(jì)了今年三季度相關(guān)信息,僅這一個(gè)季度就有約1.1億條個(gè)人敏感信息被泄露。
顯然這還僅是數(shù)據(jù)泄露的冰山一角,因?yàn)檫€有很多并非個(gè)人數(shù)據(jù),還有那些公司敏感的商業(yè)數(shù)據(jù),甚至是政府軍事單位的機(jī)密數(shù)據(jù)。作為安全公司的一名高管,Deryck Mitchelson似乎已經(jīng)對(duì)頻繁發(fā)生的數(shù)據(jù)安全事件司空見慣,但他想要表達(dá)的是,個(gè)人可以麻木,但企業(yè)一側(cè)絕對(duì)不能。
數(shù)據(jù)安全僵局,不作為,不披露
數(shù)據(jù)泄露是我們現(xiàn)在每天都能聽聞的安全事件,它深遠(yuǎn)影響著每一個(gè)行業(yè)、每一個(gè)公司、每一個(gè)人,受害組織可能覆蓋小微企業(yè)到世界500強(qiáng),其中,用戶個(gè)人信息的泄露是最突出也是最嚴(yán)重的。
在構(gòu)建了相關(guān)披露制度的地區(qū)當(dāng)中,以及國外那些大型上市公司體系當(dāng)中,發(fā)生安全事件才會(huì)公開披露,但也僅限于公關(guān)言語行為。比如“我們無法確認(rèn)是否存在違規(guī)行為……”“看起來發(fā)生了網(wǎng)絡(luò)事件,但似乎很小,我們相信客戶數(shù)據(jù)沒有泄露……”“可能存在有限的數(shù)據(jù)泄露發(fā)生……”“有很多客戶數(shù)據(jù)被泄露,但并不包含任何財(cái)務(wù)數(shù)據(jù)……”
但往往隨著黑客組織的公開承認(rèn)和披露,這些遭受安全事件的企業(yè)才會(huì)承認(rèn),實(shí)際上他們的客戶數(shù)據(jù)已經(jīng)完全泄露。而在沒有建立披露制度的地區(qū),往往會(huì)陷入數(shù)據(jù)安全僵局,合規(guī)了事但疏于安全管理和安全運(yùn)營,一旦發(fā)生安全事件遭遇數(shù)據(jù)泄露,甚至不會(huì)公開披露。
勒索軟件攻擊作為近年來頻發(fā)的網(wǎng)絡(luò)攻擊手段之一,作為要挾砝碼,勒索組織不僅要求受害企業(yè)支付贖金,也通常威脅泄露客戶數(shù)據(jù)。據(jù)安全419采訪國家多家安全企業(yè)得知,雖然公開報(bào)道的勒索攻擊事件多為國外企業(yè),但實(shí)際上國內(nèi)發(fā)生了的,以及正在發(fā)生的勒索攻擊事件實(shí)際上并不比國外少,因此,數(shù)據(jù)泄露事件也常伴發(fā)生。
世界經(jīng)濟(jì)論壇《2022年全球風(fēng)險(xiǎn)報(bào)告》就曾指出,在網(wǎng)絡(luò)安全層面攻擊者經(jīng)常給組織帶來數(shù)千萬甚至數(shù)億美元的直接損失,同時(shí)次生災(zāi)害所造成的損失更難以用金錢來衡量。IBM《2022年數(shù)據(jù)泄露成本報(bào)告》估計(jì),2022年的數(shù)據(jù)泄露成本將達(dá)到歷史新高,平均為435萬美元,這無疑是一個(gè)令人生畏的統(tǒng)計(jì)數(shù)據(jù)。
而對(duì)于次生災(zāi)害問題,比如對(duì)于商業(yè)組織而言,Deryck Mitchelson就認(rèn)為一旦企業(yè)遭遇數(shù)據(jù)泄露,就將失去消費(fèi)者的信任,這不是短時(shí)間或長時(shí)間,或者采用那些商業(yè)手段就能挽回的客戶信任問題。
NCC全球首席技術(shù)官Ollie Whitehouse最近針對(duì)頻發(fā)的網(wǎng)絡(luò)安全事件評(píng)論稱,我們應(yīng)該努力建立一種開放的,廣泛參與的具有彈性的網(wǎng)絡(luò)安全文化,就像航空業(yè)現(xiàn)在擁有安全文化一樣,對(duì)于已經(jīng)發(fā)生的安全事件,我們要勇于共享信息、披露信息,對(duì)于報(bào)告安全事件的企業(yè)不應(yīng)該得到懲罰,對(duì)于這個(gè)彈性的社區(qū)而言,他反倒應(yīng)該得到獎(jiǎng)勵(lì)。
除了披露 更要主動(dòng)建設(shè)數(shù)據(jù)安全 敢于實(shí)踐新技術(shù)
據(jù)中國信通院近日發(fā)布的《全球數(shù)字經(jīng)濟(jì)白皮書(2022年)》顯示,數(shù)字經(jīng)濟(jì)為全球經(jīng)濟(jì)復(fù)蘇提供重要支撐的同時(shí),數(shù)字經(jīng)濟(jì)發(fā)展成為各國重點(diǎn)比拼方向。從統(tǒng)計(jì)數(shù)據(jù)來看,2021年我國目前數(shù)字經(jīng)濟(jì)規(guī)模位居全球第二,規(guī)模為7.1萬億美元(約49.56億元人民幣)。
今年年中工信部《關(guān)于加強(qiáng)數(shù)據(jù)安全的提案》答復(fù)函就曾指出,數(shù)據(jù)作為新型生產(chǎn)要素,在數(shù)字經(jīng)濟(jì)發(fā)展過程中的關(guān)鍵引擎作用愈發(fā)凸顯,伴隨而來的數(shù)據(jù)安全風(fēng)險(xiǎn)挑戰(zhàn)不斷加大,加強(qiáng)數(shù)據(jù)安全保障意義重大。
工信部在該函的回復(fù)了已經(jīng)完成的相關(guān)數(shù)據(jù)安全工作,如政策方面的有效落地、數(shù)據(jù)分類分級(jí)保護(hù)等等工作,在“下一步工作”中則指出,將在前期工作基礎(chǔ)上持續(xù)推進(jìn)行業(yè)數(shù)據(jù)安全管理工作,以及大力發(fā)展數(shù)據(jù)安全產(chǎn)業(yè)。
賽博英杰創(chuàng)始人譚曉生此前在零零信安產(chǎn)品發(fā)布會(huì)上就表示,數(shù)據(jù)安全的市場規(guī)模未來可能會(huì)比肩如今的網(wǎng)絡(luò)安全市場。數(shù)據(jù)安全作為數(shù)字經(jīng)濟(jì)發(fā)展的前提和保障基石,已然成為網(wǎng)絡(luò)安全行業(yè)景氣度最高的賽道之一。據(jù)預(yù)測,2023年市場規(guī)模將有望突破800億元。
與此同時(shí)譚曉生也指出,數(shù)據(jù)安全具有自身鮮明的特點(diǎn),無論是學(xué)術(shù)還是產(chǎn)品相較還處于早期階段,距離完善成熟還有很長的路要走。
以此前安全419觀察的數(shù)據(jù)安全大賽道上的數(shù)據(jù)安全平臺(tái)(Data Security Platforms)產(chǎn)品為例,在國內(nèi)正呈頭部廠商、專業(yè)廠商、創(chuàng)新廠商三線并進(jìn)發(fā)展,這也為市場上帶來了各不相同的DSP數(shù)據(jù)保護(hù)平臺(tái)型產(chǎn)品。雖然產(chǎn)品設(shè)計(jì)存在技術(shù)上的不同,但這種技術(shù)發(fā)展路線其中好的一面是可以形成各具特色上的能力互補(bǔ)。
國內(nèi)國外的法律法規(guī)要求企業(yè)必須合規(guī)經(jīng)營,對(duì)于數(shù)據(jù)安全而言,處罰力度也不斷加大。這也要求企業(yè)除了合規(guī),更要結(jié)合安全趨勢,不斷主動(dòng)地加強(qiáng)數(shù)據(jù)安全建設(shè)工作。
而建設(shè)網(wǎng)絡(luò)安全并沒有捷徑,對(duì)于全新的數(shù)據(jù)安全賽道更是如此,企業(yè)要勇于實(shí)踐,并勇于采用創(chuàng)新的安全技術(shù)落地?cái)?shù)據(jù)安全建設(shè),形成反哺,才能讓尚在早期發(fā)展階段的數(shù)據(jù)安全產(chǎn)業(yè)蓬勃發(fā)展。
好的一面是,在《數(shù)據(jù)安全法》落地執(zhí)行一周年之際,安全419采訪相關(guān)安全廠商得到的較好的反饋。“客戶正在摒棄幾萬幾十萬的硬件‘盒子’設(shè)備,數(shù)據(jù)安全建設(shè)已經(jīng)過渡到了具備多樣化思路,從不同維度去探索怎樣才能真正地讓企業(yè)構(gòu)建出一套完整的、有效的,且成本可控的,處于可運(yùn)行、可執(zhí)行狀態(tài)下的數(shù)據(jù)安全運(yùn)行平臺(tái)和管理體系。”
也希望企業(yè)一側(cè)能夠真正地走在安全趨勢前列,主動(dòng)建設(shè)數(shù)據(jù)安全能力,不再讓頻繁的數(shù)據(jù)安全事件發(fā)生,我們都不想讓自己陷入危險(xiǎn)當(dāng)中。
更多信息可以來這里獲取==>>電子技術(shù)應(yīng)用-AET<<
