数据安全治理:从严防死守到价值流动

2009年,那时的中国还没有数据安全,只有网络安全;也正是在那一年,安华金和成立了。现在回想起来,这家公司就是从一片荒漠般的中国数据安全领域破土而出的。如今,数据安全已形成一个独立的行业,在国家层面和企业层面都得到了高度重视和投入。如果你问我,到底是什么改变了数据安全的地位?我的回答是:数据本身的价值。

【你做的所有生意,都是数据!】

数据安全治理:从严防死守到价值流动

记得互联网预言大神 凯文 · 凯利 曾在对未来趋势的总结中说过:人类正处在一个数据流动的时代,数据的重要性空前提升且不断发展,处理数据已变得同处理客户一样重要。”事实上,只要想想人们现在每天花费多少时间用手机浏览各种图文和视频信息,每分钟有多少笔在线支付或转账在发生,还有那炙手可热、野蛮生长的区块链和比特币等等…就不难发现,人类社会的知识、财富乃至历史正在经由数据承载,而由此产生的、源源不断的数据,又进一步推动着商业模式创新的车轮滚滚向前,数字化已渗透至社会的各个角落。

然而不得不承认,当数据所蕴含的价值被不断挖掘和发现的同时,一种好人都不会喜欢的“生意”正于暗地滋生——黑产;对于其中具有代表性的部分,我简单梳理了一下:

1、非法交易数据:“内鬼”泄露并出售你的购物记录、行动轨迹等个人数据变现,之后你便可能收到一连串推销短信甚至诈骗电话;

2、勒索病毒攻击:企业、医院、高校乃至个人的电脑一旦感染勒索病毒,导致重要文件被加密,想要恢复数据就必须支付给攻击者比特币赎金。之所以选择这种“全新”类型的赎金,是因为它无法追踪,免去了不法分子的后顾之忧;

3、滥用数据牟利:互联网企业、大数据分析公司等数据持有者“明修栈道,暗度陈仓”,利用合法采集到的用户数据进行非法牟利活动;

4、盗用数据牟利:近年来最典型的案例当属Facebook“数据门”了,5000万用户信息被外国商业分析公司盗用,疑被用于在美国总统大选中左右选民意志。

【4%的全球营业额罚款意味着什么?】

令人欣慰的是,在意识到数据安全问题对个人、企业、社会乃至国家政治潜在的巨大威胁后,世界各国开始陆续出台与数据安全相关的法律法规。中国的《网络安全法》、欧盟的GDPR等法律条例中都明确规定了处罚标准,GDPR更因其“最高可处2000万欧元或全球营业额的4%(以较高者为准)”的天价罚款被视作“史上最严”数据监管条例!

那么全球营业额4%的罚款到底是个什么水平?我换一种描述方式,大家应该就能更有体会了——实际上很多公司全年的净利润都到不了其营业总额的4%。更重要的是,GDPR绝非纸上谈兵,条例颁布以来,已有多家世界级企业因数据泄露等安全问题收到其开出的上亿美金巨额罚单。

现在我们把目光转回国内看看,自《网络安全法》正式施行以来,《数据安全法》、《个人信息保护法》、《个人数据和重要数据出境安全评估办法》、《关键信息基础设施保护条例》等均在积极制定当中,这些变化一方面对数据安全行业的发展起到了非常重要的保护和促进作用,同时也对企业的数据安全管理工作提出了更高的要求,也造成了更多的影响。

这里特别一提的是,Gartner在2018年曾发布过一份“颇为有趣”的资产负债表,指出数据资产可能造成债务问题——过度收集数据可能影响企业的风控,因而从财务角度数据要被视为负资产;此外,企业为所持有的数据提供保护也需要在资金、人力等方面投入更多成本。

所以我想说的是,在政策要求、法律法规、行业标准和舆论监督等诸多“约束”之下,企业的确因数据安全问题面临着极大的经营性挑战:

1、因数据出境问题,基因研究机构收到科技部行政处罚及证监会询问函;

2、因用户信息被竞争对手利用,教育培训平台蒙受生源损失;

3、因乘客信息泄露,国际航空公司面临GDPR巨额罚款,股票大幅下跌;

4、因GDPR正式颁布,电商公司被迫选择终止欧洲业务;

5、因用户数据泄露,社交网站签署巨额和解协议,并重新定义企业战略;

6、因公司数据和备份全部被黑客删除,邮件服务供应商宣告破产。

此外,数据安全不仅会影响企业的正常经营和发展,与政府机构的稳定运转同样紧密相关。2015年的中国社保信息泄露事件、2016年的徐玉玉案件、2017年个人信息纳入刑法保护范围以及近年来因涉嫌数据泄露等安全问题被依法惩处、判刑的国家公职人员案例,这些都表明了国家在鼓励数据开放共享的同时,面临着层出不穷的威胁和隐患,随之对数据安全的监管和要求也提升至新的高度。

在这种背景下,数据究竟该如何被使用和共享呢?如果企业、政府等用户无法掌握敏感数据的分布,不能明确数据泄露的责任归属,也没有能力保障数据的安全,那么对数据的开放反倒会成为一种困扰,不论是监管还是黑产,都将阻碍数据真正实现自由的流动与安全的使用。面对数据这把“双刃剑”,该如何应对上述问题呢?让我们继续往下看:

【“零信任”带来的可能只是“过度防御”】

数据安全治理:从严防死守到价值流动

过去做攻防对抗、防黑客防漏洞等等,采用“御敌于国门之外”的思路,即筑起一道边界,做好严密的防御和监控,让外部攻击无法侵入,从而实现内部数据的“安全”;然而在我看来,在这种保护下的数据更像是被戴上了枷锁,不能被自由的流转和使用,其价值也就得不到发挥;换句话说,如果一味遵循以“零信任思考安全”的观点看待数据安全,带来的可能只是“过度防御”,从而导致资源浪费、性能下降、事倍功半等问题。这种数据安全是低效甚至无效的安全,而我认为数据是需要“走出去”的。

这也是为什么,安华金和提出以数据为中心的场景化安全理念,即根据用户对数据使用场景的分析研究,有针对性的制定防护措施,从而在保障数据安全使用的同时,省却非必要的投入。比如,测试开发系统如果只需要使用具备生产数据特征及其相互间关联关系的仿真数据,那么只要对数据进行脱敏一项防护措施就可以解决问题,而不是盲目的把审计、加密等一系列产品全都配置上去。在这类场景中,即做到了有分析规划、有目的性的取舍。

除数据场景化安全防护外,伴随时代步伐的迈进,数据安全建设要合规、要安全、要稳定、要灵活、要高效等等等等,需要考量和应对来自不同层面的问题和要求。未来,想要应对持续变化发展的数据安全环境,既不能靠单一技术的应用,也不能靠安全产品的加码堆砌,而要靠对数据安全的治理。如果让我来形容的话,数据安全治理其实是一套方法论,也是一个体系化的工程,需要建设科学的组织架构。而做到这些,需要国家、行业和企业三者共建生态、共同协作来实现。

【开放合作,共建数据安全治理大生态】

在国家层面上,由政府出台政策,由公安、网信、工信、保密局、密码局等主管部门制定法律和标准;在行业层面上,由金融、教育、医疗等行业监管单位提出规范和要求,带动行业整体意识和行动;在企业层面上,由数据安全相关技术厂商和产品提供商提供技术支撑,更需要广大用户持续提升数据安全意识与自主防护能力。

作为中国专业的数据安全企业,安华金和一直致力于数据安全治理生态体系的理念倡导与实践。公司于2017-2019连续三年举办“中国数据安全治理高峰论坛”,分享优秀案例,交流实践经验。而在推动这一理念普及发展的过程中,也欣喜的看到,国家和很多行业媒体正在成为数据安全治理的最大提倡者。

同时安华人对生态的理解,是要坚持做自己,即不为追求短期的商业利益去模仿或照搬,而是通过广泛合作,集合各方所长构建符合中国国情和需要的数据安全治理大生态,最终实现数据安全治理工作的价值最大化。帮助广大用户在这个流动的时代里,让数据使用自由而安全!

原创文章,作者:ItWorker,如若转载,请注明出处:https://blog.ytso.com/53686.html

(0)
上一篇 2021年8月6日
下一篇 2021年8月6日

相关推荐

发表回复

登录后才能评论