“我對正在發(fā)生的違規(guī)行為的數(shù)量感到不安。作為一名首席信息安全官,我一生中從未見過如此多的違規(guī)行為。”Check Point CISO Deryck Mitchelson近日針對越來越多的數(shù)據(jù)泄露事件發(fā)表上述評論。他粗略統(tǒng)計了今年三季度相關信息,僅這一個季度就有約1.1億條個人敏感信息被泄露。
顯然這還僅是數(shù)據(jù)泄露的冰山一角,因為還有很多并非個人數(shù)據(jù),還有那些公司敏感的商業(yè)數(shù)據(jù),甚至是政府軍事單位的機密數(shù)據(jù)。作為安全公司的一名高管,Deryck Mitchelson似乎已經(jīng)對頻繁發(fā)生的數(shù)據(jù)安全事件司空見慣,但他想要表達的是,個人可以麻木,但企業(yè)一側絕對不能。
數(shù)據(jù)安全僵局,不作為,不披露
數(shù)據(jù)泄露是我們現(xiàn)在每天都能聽聞的安全事件,它深遠影響著每一個行業(yè)、每一個公司、每一個人,受害組織可能覆蓋小微企業(yè)到世界500強,其中,用戶個人信息的泄露是最突出也是最嚴重的。
在構建了相關披露制度的地區(qū)當中,以及國外那些大型上市公司體系當中,發(fā)生安全事件才會公開披露,但也僅限于公關言語行為。比如“我們無法確認是否存在違規(guī)行為……”“看起來發(fā)生了網(wǎng)絡事件,但似乎很小,我們相信客戶數(shù)據(jù)沒有泄露……”“可能存在有限的數(shù)據(jù)泄露發(fā)生……”“有很多客戶數(shù)據(jù)被泄露,但并不包含任何財務數(shù)據(jù)……”
但往往隨著黑客組織的公開承認和披露,這些遭受安全事件的企業(yè)才會承認,實際上他們的客戶數(shù)據(jù)已經(jīng)完全泄露。而在沒有建立披露制度的地區(qū),往往會陷入數(shù)據(jù)安全僵局,合規(guī)了事但疏于安全管理和安全運營,一旦發(fā)生安全事件遭遇數(shù)據(jù)泄露,甚至不會公開披露。
勒索軟件攻擊作為近年來頻發(fā)的網(wǎng)絡攻擊手段之一,作為要挾砝碼,勒索組織不僅要求受害企業(yè)支付贖金,也通常威脅泄露客戶數(shù)據(jù)。據(jù)安全419采訪國家多家安全企業(yè)得知,雖然公開報道的勒索攻擊事件多為國外企業(yè),但實際上國內(nèi)發(fā)生了的,以及正在發(fā)生的勒索攻擊事件實際上并不比國外少,因此,數(shù)據(jù)泄露事件也常伴發(fā)生。
世界經(jīng)濟論壇《2022年全球風險報告》就曾指出,在網(wǎng)絡安全層面攻擊者經(jīng)常給組織帶來數(shù)千萬甚至數(shù)億美元的直接損失,同時次生災害所造成的損失更難以用金錢來衡量。IBM《2022年數(shù)據(jù)泄露成本報告》估計,2022年的數(shù)據(jù)泄露成本將達到歷史新高,平均為435萬美元,這無疑是一個令人生畏的統(tǒng)計數(shù)據(jù)。
而對于次生災害問題,比如對于商業(yè)組織而言,Deryck Mitchelson就認為一旦企業(yè)遭遇數(shù)據(jù)泄露,就將失去消費者的信任,這不是短時間或長時間,或者采用那些商業(yè)手段就能挽回的客戶信任問題。
NCC全球首席技術官Ollie Whitehouse最近針對頻發(fā)的網(wǎng)絡安全事件評論稱,我們應該努力建立一種開放的,廣泛參與的具有彈性的網(wǎng)絡安全文化,就像航空業(yè)現(xiàn)在擁有安全文化一樣,對于已經(jīng)發(fā)生的安全事件,我們要勇于共享信息、披露信息,對于報告安全事件的企業(yè)不應該得到懲罰,對于這個彈性的社區(qū)而言,他反倒應該得到獎勵。
除了披露 更要主動建設數(shù)據(jù)安全 敢于實踐新技術
據(jù)中國信通院近日發(fā)布的《全球數(shù)字經(jīng)濟白皮書(2022年)》顯示,數(shù)字經(jīng)濟為全球經(jīng)濟復蘇提供重要支撐的同時,數(shù)字經(jīng)濟發(fā)展成為各國重點比拼方向。從統(tǒng)計數(shù)據(jù)來看,2021年我國目前數(shù)字經(jīng)濟規(guī)模位居全球第二,規(guī)模為7.1萬億美元(約49.56億元人民幣)。
今年年中工信部《關于加強數(shù)據(jù)安全的提案》答復函就曾指出,數(shù)據(jù)作為新型生產(chǎn)要素,在數(shù)字經(jīng)濟發(fā)展過程中的關鍵引擎作用愈發(fā)凸顯,伴隨而來的數(shù)據(jù)安全風險挑戰(zhàn)不斷加大,加強數(shù)據(jù)安全保障意義重大。
工信部在該函的回復了已經(jīng)完成的相關數(shù)據(jù)安全工作,如政策方面的有效落地、數(shù)據(jù)分類分級保護等等工作,在“下一步工作”中則指出,將在前期工作基礎上持續(xù)推進行業(yè)數(shù)據(jù)安全管理工作,以及大力發(fā)展數(shù)據(jù)安全產(chǎn)業(yè)。
賽博英杰創(chuàng)始人譚曉生此前在零零信安產(chǎn)品發(fā)布會上就表示,數(shù)據(jù)安全的市場規(guī)模未來可能會比肩如今的網(wǎng)絡安全市場。數(shù)據(jù)安全作為數(shù)字經(jīng)濟發(fā)展的前提和保障基石,已然成為網(wǎng)絡安全行業(yè)景氣度最高的賽道之一。據(jù)預測,2023年市場規(guī)模將有望突破800億元。
與此同時譚曉生也指出,數(shù)據(jù)安全具有自身鮮明的特點,無論是學術還是產(chǎn)品相較還處于早期階段,距離完善成熟還有很長的路要走。
以此前安全419觀察的數(shù)據(jù)安全大賽道上的數(shù)據(jù)安全平臺(Data Security Platforms)產(chǎn)品為例,在國內(nèi)正呈頭部廠商、專業(yè)廠商、創(chuàng)新廠商三線并進發(fā)展,這也為市場上帶來了各不相同的DSP數(shù)據(jù)保護平臺型產(chǎn)品。雖然產(chǎn)品設計存在技術上的不同,但這種技術發(fā)展路線其中好的一面是可以形成各具特色上的能力互補。
國內(nèi)國外的法律法規(guī)要求企業(yè)必須合規(guī)經(jīng)營,對于數(shù)據(jù)安全而言,處罰力度也不斷加大。這也要求企業(yè)除了合規(guī),更要結合安全趨勢,不斷主動地加強數(shù)據(jù)安全建設工作。
而建設網(wǎng)絡安全并沒有捷徑,對于全新的數(shù)據(jù)安全賽道更是如此,企業(yè)要勇于實踐,并勇于采用創(chuàng)新的安全技術落地數(shù)據(jù)安全建設,形成反哺,才能讓尚在早期發(fā)展階段的數(shù)據(jù)安全產(chǎn)業(yè)蓬勃發(fā)展。
好的一面是,在《數(shù)據(jù)安全法》落地執(zhí)行一周年之際,安全419采訪相關安全廠商得到的較好的反饋。“客戶正在摒棄幾萬幾十萬的硬件‘盒子’設備,數(shù)據(jù)安全建設已經(jīng)過渡到了具備多樣化思路,從不同維度去探索怎樣才能真正地讓企業(yè)構建出一套完整的、有效的,且成本可控的,處于可運行、可執(zhí)行狀態(tài)下的數(shù)據(jù)安全運行平臺和管理體系。”
也希望企業(yè)一側能夠真正地走在安全趨勢前列,主動建設數(shù)據(jù)安全能力,不再讓頻繁的數(shù)據(jù)安全事件發(fā)生,我們都不想讓自己陷入危險當中。
更多信息可以來這里獲取==>>電子技術應用-AET<<
