“我對(duì)正在發(fā)生的違規(guī)行為的數(shù)量感到不安。作為一名首席信息安全官，我一生中從未見過(guò)如此多的違規(guī)行為。”Check Point CISO Deryck Mitchelson近日針對(duì)越來(lái)越多的數(shù)據(jù)泄露事件發(fā)表上述評(píng)論。他粗略統(tǒng)計(jì)了今年三季度相關(guān)信息，僅這一個(gè)季度就有約1.1億條個(gè)人敏感信息被泄露。

　　顯然這還僅是數(shù)據(jù)泄露的冰山一角，因?yàn)檫€有很多并非個(gè)人數(shù)據(jù)，還有那些公司敏感的商業(yè)數(shù)據(jù)，甚至是政府軍事單位的機(jī)密數(shù)據(jù)。作為安全公司的一名高管，Deryck Mitchelson似乎已經(jīng)對(duì)頻繁發(fā)生的數(shù)據(jù)安全事件司空見慣，但他想要表達(dá)的是，個(gè)人可以麻木，但企業(yè)一側(cè)絕對(duì)不能。

　　數(shù)據(jù)安全僵局，不作為，不披露

　　數(shù)據(jù)泄露是我們現(xiàn)在每天都能聽聞的安全事件，它深遠(yuǎn)影響著每一個(gè)行業(yè)、每一個(gè)公司、每一個(gè)人，受害組織可能覆蓋小微企業(yè)到世界500強(qiáng)，其中，用戶個(gè)人信息的泄露是最突出也是最嚴(yán)重的。

　　在構(gòu)建了相關(guān)披露制度的地區(qū)當(dāng)中，以及國(guó)外那些大型上市公司體系當(dāng)中，發(fā)生安全事件才會(huì)公開披露，但也僅限于公關(guān)言語(yǔ)行為。比如“我們無(wú)法確認(rèn)是否存在違規(guī)行為……”“看起來(lái)發(fā)生了網(wǎng)絡(luò)事件，但似乎很小，我們相信客戶數(shù)據(jù)沒(méi)有泄露……”“可能存在有限的數(shù)據(jù)泄露發(fā)生……”“有很多客戶數(shù)據(jù)被泄露，但并不包含任何財(cái)務(wù)數(shù)據(jù)……”

　　但往往隨著黑客組織的公開承認(rèn)和披露，這些遭受安全事件的企業(yè)才會(huì)承認(rèn)，實(shí)際上他們的客戶數(shù)據(jù)已經(jīng)完全泄露。而在沒(méi)有建立披露制度的地區(qū)，往往會(huì)陷入數(shù)據(jù)安全僵局，合規(guī)了事但疏于安全管理和安全運(yùn)營(yíng)，一旦發(fā)生安全事件遭遇數(shù)據(jù)泄露，甚至不會(huì)公開披露。

　　勒索軟件攻擊作為近年來(lái)頻發(fā)的網(wǎng)絡(luò)攻擊手段之一，作為要挾砝碼，勒索組織不僅要求受害企業(yè)支付贖金，也通常威脅泄露客戶數(shù)據(jù)。據(jù)安全419采訪國(guó)家多家安全企業(yè)得知，雖然公開報(bào)道的勒索攻擊事件多為國(guó)外企業(yè)，但實(shí)際上國(guó)內(nèi)發(fā)生了的，以及正在發(fā)生的勒索攻擊事件實(shí)際上并不比國(guó)外少，因此，數(shù)據(jù)泄露事件也常伴發(fā)生。

　　世界經(jīng)濟(jì)論壇《2022年全球風(fēng)險(xiǎn)報(bào)告》就曾指出，在網(wǎng)絡(luò)安全層面攻擊者經(jīng)常給組織帶來(lái)數(shù)千萬(wàn)甚至數(shù)億美元的直接損失，同時(shí)次生災(zāi)害所造成的損失更難以用金錢來(lái)衡量。IBM《2022年數(shù)據(jù)泄露成本報(bào)告》估計(jì)，2022年的數(shù)據(jù)泄露成本將達(dá)到歷史新高，平均為435萬(wàn)美元，這無(wú)疑是一個(gè)令人生畏的統(tǒng)計(jì)數(shù)據(jù)。

　　而對(duì)于次生災(zāi)害問(wèn)題，比如對(duì)于商業(yè)組織而言，Deryck Mitchelson就認(rèn)為一旦企業(yè)遭遇數(shù)據(jù)泄露，就將失去消費(fèi)者的信任，這不是短時(shí)間或長(zhǎng)時(shí)間，或者采用那些商業(yè)手段就能挽回的客戶信任問(wèn)題。

　　NCC全球首席技術(shù)官Ollie Whitehouse最近針對(duì)頻發(fā)的網(wǎng)絡(luò)安全事件評(píng)論稱，我們應(yīng)該努力建立一種開放的，廣泛參與的具有彈性的網(wǎng)絡(luò)安全文化，就像航空業(yè)現(xiàn)在擁有安全文化一樣，對(duì)于已經(jīng)發(fā)生的安全事件，我們要勇于共享信息、披露信息，對(duì)于報(bào)告安全事件的企業(yè)不應(yīng)該得到懲罰，對(duì)于這個(gè)彈性的社區(qū)而言，他反倒應(yīng)該得到獎(jiǎng)勵(lì)。

　　除了披露 更要主動(dòng)建設(shè)數(shù)據(jù)安全 敢于實(shí)踐新技術(shù)

　　據(jù)中國(guó)信通院近日發(fā)布的《全球數(shù)字經(jīng)濟(jì)白皮書（2022年）》顯示，數(shù)字經(jīng)濟(jì)為全球經(jīng)濟(jì)復(fù)蘇提供重要支撐的同時(shí)，數(shù)字經(jīng)濟(jì)發(fā)展成為各國(guó)重點(diǎn)比拼方向。從統(tǒng)計(jì)數(shù)據(jù)來(lái)看，2021年我國(guó)目前數(shù)字經(jīng)濟(jì)規(guī)模位居全球第二，規(guī)模為7.1萬(wàn)億美元（約49.56億元人民幣）。

　　今年年中工信部《關(guān)于加強(qiáng)數(shù)據(jù)安全的提案》答復(fù)函就曾指出，數(shù)據(jù)作為新型生產(chǎn)要素，在數(shù)字經(jīng)濟(jì)發(fā)展過(guò)程中的關(guān)鍵引擎作用愈發(fā)凸顯，伴隨而來(lái)的數(shù)據(jù)安全風(fēng)險(xiǎn)挑戰(zhàn)不斷加大，加強(qiáng)數(shù)據(jù)安全保障意義重大。

　　工信部在該函的回復(fù)了已經(jīng)完成的相關(guān)數(shù)據(jù)安全工作，如政策方面的有效落地、數(shù)據(jù)分類分級(jí)保護(hù)等等工作，在“下一步工作”中則指出，將在前期工作基礎(chǔ)上持續(xù)推進(jìn)行業(yè)數(shù)據(jù)安全管理工作，以及大力發(fā)展數(shù)據(jù)安全產(chǎn)業(yè)。

　　賽博英杰創(chuàng)始人譚曉生此前在零零信安產(chǎn)品發(fā)布會(huì)上就表示，數(shù)據(jù)安全的市場(chǎng)規(guī)模未來(lái)可能會(huì)比肩如今的網(wǎng)絡(luò)安全市場(chǎng)。數(shù)據(jù)安全作為數(shù)字經(jīng)濟(jì)發(fā)展的前提和保障基石，已然成為網(wǎng)絡(luò)安全行業(yè)景氣度最高的賽道之一。據(jù)預(yù)測(cè)，2023年市場(chǎng)規(guī)模將有望突破800億元。

　　與此同時(shí)譚曉生也指出，數(shù)據(jù)安全具有自身鮮明的特點(diǎn)，無(wú)論是學(xué)術(shù)還是產(chǎn)品相較還處于早期階段，距離完善成熟還有很長(zhǎng)的路要走。

　　以此前安全419觀察的數(shù)據(jù)安全大賽道上的數(shù)據(jù)安全平臺(tái)（Data Security Platforms）產(chǎn)品為例，在國(guó)內(nèi)正呈頭部廠商、專業(yè)廠商、創(chuàng)新廠商三線并進(jìn)發(fā)展，這也為市場(chǎng)上帶來(lái)了各不相同的DSP數(shù)據(jù)保護(hù)平臺(tái)型產(chǎn)品。雖然產(chǎn)品設(shè)計(jì)存在技術(shù)上的不同，但這種技術(shù)發(fā)展路線其中好的一面是可以形成各具特色上的能力互補(bǔ)。

　　國(guó)內(nèi)國(guó)外的法律法規(guī)要求企業(yè)必須合規(guī)經(jīng)營(yíng)，對(duì)于數(shù)據(jù)安全而言，處罰力度也不斷加大。這也要求企業(yè)除了合規(guī)，更要結(jié)合安全趨勢(shì)，不斷主動(dòng)地加強(qiáng)數(shù)據(jù)安全建設(shè)工作。

　　而建設(shè)網(wǎng)絡(luò)安全并沒(méi)有捷徑，對(duì)于全新的數(shù)據(jù)安全賽道更是如此，企業(yè)要勇于實(shí)踐，并勇于采用創(chuàng)新的安全技術(shù)落地?cái)?shù)據(jù)安全建設(shè)，形成反哺，才能讓尚在早期發(fā)展階段的數(shù)據(jù)安全產(chǎn)業(yè)蓬勃發(fā)展。

　　好的一面是，在《數(shù)據(jù)安全法》落地執(zhí)行一周年之際，安全419采訪相關(guān)安全廠商得到的較好的反饋。“客戶正在摒棄幾萬(wàn)幾十萬(wàn)的硬件‘盒子’設(shè)備，數(shù)據(jù)安全建設(shè)已經(jīng)過(guò)渡到了具備多樣化思路，從不同維度去探索怎樣才能真正地讓企業(yè)構(gòu)建出一套完整的、有效的，且成本可控的，處于可運(yùn)行、可執(zhí)行狀態(tài)下的數(shù)據(jù)安全運(yùn)行平臺(tái)和管理體系。”

　　也希望企業(yè)一側(cè)能夠真正地走在安全趨勢(shì)前列，主動(dòng)建設(shè)數(shù)據(jù)安全能力，不再讓頻繁的數(shù)據(jù)安全事件發(fā)生，我們都不想讓自己陷入危險(xiǎn)當(dāng)中。

更多信息可以來(lái)這里獲取==>>電子技術(shù)應(yīng)用-AET<<