企业需主动建设数据安全 敢于实践创新技术

首页 / 业界 / 资讯 /  正文
作者:闫小川
来源:安全419
发布于:2022-12-09
“我对正在发生的违规行为的数量感到不安。作为一名首席信息安全官,我一生中从未见过如此多的违规行为。”Check Point CISO Deryck Mitchelson近日针对越来越多的数据泄露事件发表上述评论。他粗略统计了今年三季度相关信息,仅这一个季度就有约1.1亿条个人敏感信息被泄露。



显然这还仅是数据泄露的冰山一角,因为还有很多并非个人数据,还有那些公司敏感的商业数据,甚至是政府军事单位的机密数据。作为安全公司的一名高管,Deryck Mitchelson似乎已经对频繁发生的数据安全事件司空见惯,但他想要表达的是,个人可以麻木,但企业一侧绝对不能。
 
数据安全僵局,不作为,不披露
 
数据泄露是我们现在每天都能听闻的安全事件,它深远影响着每一个行业、每一个公司、每一个人,受害组织可能覆盖小微企业到世界500强,其中,用户个人信息的泄露是最突出也是最严重的。
 
在构建了相关披露制度的地区当中,以及国外那些大型上市公司体系当中,发生安全事件才会公开披露,但也仅限于公关言语行为。比如“我们无法确认是否存在违规行为……”“看起来发生了网络事件,但似乎很小,我们相信客户数据没有泄露……”“可能存在有限的数据泄露发生……”“有很多客户数据被泄露,但并不包含任何财务数据……”
 
但往往随着黑客组织的公开承认和披露,这些遭受安全事件的企业才会承认,实际上他们的客户数据已经完全泄露。而在没有建立披露制度的地区,往往会陷入数据安全僵局,合规了事但疏于安全管理和安全运营,一旦发生安全事件遭遇数据泄露,甚至不会公开披露。
 
勒索软件攻击作为近年来频发的网络攻击手段之一,作为要挟砝码,勒索组织不仅要求受害企业支付赎金,也通常威胁泄露客户数据。据安全419采访国家多家安全企业得知,虽然公开报道的勒索攻击事件多为国外企业,但实际上国内发生了的,以及正在发生的勒索攻击事件实际上并不比国外少,因此,数据泄露事件也常伴发生。
 
世界经济论坛《2022年全球风险报告》就曾指出,在网络安全层面攻击者经常给组织带来数千万甚至数亿美元的直接损失,同时次生灾害所造成的损失更难以用金钱来衡量。IBM《2022年数据泄露成本报告》估计,2022年的数据泄露成本将达到历史新高,平均为435万美元,这无疑是一个令人生畏的统计数据。
 
而对于次生灾害问题,比如对于商业组织而言,Deryck Mitchelson就认为一旦企业遭遇数据泄露,就将失去消费者的信任,这不是短时间或长时间,或者采用那些商业手段就能挽回的客户信任问题。
 
NCC全球首席技术官Ollie Whitehouse最近针对频发的网络安全事件评论称,我们应该努力建立一种开放的,广泛参与的具有弹性的网络安全文化,就像航空业现在拥有安全文化一样,对于已经发生的安全事件,我们要勇于共享信息、披露信息,对于报告安全事件的企业不应该得到惩罚,对于这个弹性的社区而言,他反倒应该得到奖励。
 
除了披露 更要主动建设数据安全 敢于实践新技术
 
据中国信通院近日发布的《全球数字经济白皮书(2022年)》显示,数字经济为全球经济复苏提供重要支撑的同时,数字经济发展成为各国重点比拼方向。从统计数据来看,2021年我国目前数字经济规模位居全球第二,规模为7.1万亿美元(约49.56亿元人民币)。
 
今年年中工信部《关于加强数据安全的提案》答复函就曾指出,数据作为新型生产要素,在数字经济发展过程中的关键引擎作用愈发凸显,伴随而来的数据安全风险挑战不断加大,加强数据安全保障意义重大。
 
工信部在该函的回复了已经完成的相关数据安全工作,如政策方面的有效落地、数据分类分级保护等等工作,在“下一步工作”中则指出,将在前期工作基础上持续推进行业数据安全管理工作,以及大力发展数据安全产业。
 
赛博英杰创始人谭晓生此前在零零信安产品发布会上就表示,数据安全的市场规模未来可能会比肩如今的网络安全市场。数据安全作为数字经济发展的前提和保障基石,已然成为网络安全行业景气度最高的赛道之一。据预测,2023年市场规模将有望突破800亿元。
 
与此同时谭晓生也指出,数据安全具有自身鲜明的特点,无论是学术还是产品相较还处于早期阶段,距离完善成熟还有很长的路要走。
 
以此前安全419观察的数据安全大赛道上的数据安全平台(Data Security Platforms)产品为例,在国内正呈头部厂商、专业厂商、创新厂商三线并进发展,这也为市场上带来了各不相同的DSP数据保护平台型产品。虽然产品设计存在技术上的不同,但这种技术发展路线其中好的一面是可以形成各具特色上的能力互补。
 
国内国外的法律法规要求企业必须合规经营,对于数据安全而言,处罚力度也不断加大。这也要求企业除了合规,更要结合安全趋势,不断主动地加强数据安全建设工作。
 
而建设网络安全并没有捷径,对于全新的数据安全赛道更是如此,企业要勇于实践,并勇于采用创新的安全技术落地数据安全建设,形成反哺,才能让尚在早期发展阶段的数据安全产业蓬勃发展。
 
好的一面是,在《数据安全法》落地执行一周年之际,安全419采访相关安全厂商得到的较好的反馈。“客户正在摒弃几万几十万的硬件‘盒子’设备,数据安全建设已经过渡到了具备多样化思路,从不同维度去探索怎样才能真正地让企业构建出一套完整的、有效的,且成本可控的,处于可运行、可执行状态下的数据安全运行平台和管理体系。”
 
也希望企业一侧能够真正地走在安全趋势前列,主动建设数据安全能力,不再让频繁的数据安全事件发生,我们都不想让自己陷入危险当中。