這是描述信息
首頁-關于我們

數據安全治理:從嚴防死守到價值流動

2009年,那時的中國還沒有數據安全,只有網絡安全;也正是在那一年,安華金和成立了,從堪比荒漠般的中國數據安全領域破土而出。今天,數據安全已形成一個獨立的行業,在國家層面和企業層面都得到了高度重視和投入。如果說是有什么改變了數據安全的地位,那就是數據本身的價值。

你做的所有生意,都是數據!

正如互聯網預言大神 凱文 · 凱利 在對未來趨勢的總結中所言:“人類正處在一個數據流動的時代,數據的重要性空前提升且不斷發展,處理數據已變得同處理客戶一樣重要。”事實上,只要想想人們現在每天要花費多少時間用手機瀏覽各種圖文和視頻信息,每分鐘有多少筆在線支付或轉賬在發生,還有那炙手可熱、野蠻生長的區塊鏈和比特幣等等…不難發現,人類社會的知識、財富乃至歷史正在經由數據承載,而由此產生的、源源不斷的數據,又進一步推動著商業模式創新的車輪滾滾向前,數字化已滲透至社會的各個角落。

然而,當數據所蘊含的價值被不斷挖掘和發現的同時,另一種“生意”于暗地滋生——黑產:

1、非法交易數據:“內鬼”泄露并出售你的購物記錄、行動軌跡等個人數據變現,之后你便可能收到一連串推銷短信甚至詐騙電話;

2、勒索病毒攻擊:企業、醫院、高校乃至個人的電腦一旦感染勒索病毒,導致重要文件被加密,想要恢復數據就必須支付給攻擊者比特幣贖金。之所以選擇這種“全新”類型的贖金,是因為它無法追蹤,免去了不法分子的后顧之憂;

3、濫用數據牟利:互聯網企業、大數據分析公司等數據持有者“明修棧道,暗度陳倉”,利用合法采集到的用戶數據進行非法牟利活動;

4、盜用數據牟利:近年來最典型的案例當屬Facebook“數據門”了,5000萬用戶信息被外國商業分析公司盜用,疑被用于在美國總統大選中左右選民意志。

4%的全球營業額罰款意味著什么?

在意識到數據安全問題對個人、企業、社會乃至國家政治潛在的巨大威脅后,世界各國開始陸續出臺與數據安全相關的法律法規。中國的《網絡安全法》、歐盟的GDPR等法律條例中都明確規定了處罰標準,GDPR更因其“最高可處2000萬歐元或全球營業額的4%(以較高者為準)”的天價罰款被視作“史上最嚴”數據監管條例!

那么全球營業額4%的罰款到底是個什么水平?簡單理解,實際上有很多公司全年的凈利潤都到不了其營業總額的4%!更重要的是,GDPR絕非紙上談兵,條例頒布以來,已有多家世界級企業因數據泄露等安全問題收到其開出的上億美金巨額罰單。

在中國,自《網絡安全法》正式施行以來,《數據安全法》、《個人信息保護法》、《個人數據和重要數據出境安全評估辦法》、《關鍵信息基礎設施保護條例》等均在積極制定當中,這些變化一方面對數據安全行業的發展起到了非常重要的保護和促進作用,同時也對企業的數據安全管理工作提出了更高的要求,也造成了更多的影響。

值得一提的是,Gartner在2018年曾發布過一份“頗為有趣”的資產負債表,指出數據資產可能造成債務問題——過度收集數據可能影響企業的風控,因而從財務角度數據要被視為負資產;此外,企業為所持有的數據提供保護也需要在資金、人力等方面投入更多成本。

如今,在政策要求、法律法規、行業標準和輿論監督等諸多“約束”之下,企業由于數據安全問題面臨著極大的經營性挑戰:

1、因數據出境問題,基因研究機構收到科技部行政處罰及證監會詢問函;

2、因用戶信息被競爭對手利用,教育培訓平臺蒙受生源損失;

3、因乘客信息泄露,國際航空公司面臨GDPR巨額罰款,股票大幅下跌;

4、因GDPR正式頒布,電商公司選擇終止歐洲業務;

5、因用戶數據泄露,社交網站簽署巨額和解協議,并重新定義企業戰略;

6、因公司數據和備份全部被黑客刪除,郵件服務供應商宣告破產。

此外,數據安全不僅會影響企業的正常經營和發展,與政府機構的穩定運轉同樣緊密相關。2015年的中國社保信息泄露事件、2016年的徐玉玉案件、2017年個人信息納入刑法保護范圍以及近年來因涉嫌數據泄露等安全問題被依法懲處、判刑的國家公職人員案例,這些都表明了國家在鼓勵數據開放共享的同時,面臨著層出不窮的威脅和隱患,隨之對數據安全的監管和要求也提升至新的高度。

在這種背景下,數據究竟該如何被使用和共享呢?如果企業、政府等用戶無法掌握敏感數據的分布,不能明確數據泄露的責任歸屬,也沒有能力保障數據的安全,那么對數據的開放反倒會成為一種困擾,不論是監管還是黑產,都將阻礙數據真正實現自由的流動與安全的使用。面對數據這把“雙刃劍”,該如何應對上述問題呢?

“零信任”帶來的可能只是“過度防御”

1、過去做攻防對抗、防黑客防漏洞等等,采用“御敵于國門之外”的思路,即筑起一道邊界,做好嚴密的防御和監控,讓外部攻擊無法侵入,從而實現內部數據的“安全”;然而,在這種保護下的數據更像是被戴上了枷鎖,不能被自由的流轉和使用,其價值也就得不到發揮;換句話說,如果一味遵循以“零信任思考安全”的觀點看待數據安全,帶來的可能只是“過度防御”,從而導致資源浪費、性能下降、事倍功半等問題。這種數據安全是低效甚至無效的安全,數據是需要“走出去”的。

2、安華金和提出以數據為中心的場景化安全理念,即根據用戶對數據使用場景的分析研究,有針對性的制定防護措施,從而在保障數據安全使用的同時,省卻非必要的投入。比如,測試開發系統如果只需要使用具備生產數據特征及其相互間關聯關系的仿真數據,那么只要對數據進行脫敏一項防護措施就可以解決問題,而不是盲目的把審計、加密等一系列產品全都配置上去。在這類場景中,即做到了有分析規劃、有目的性的取舍。

3、除數據場景化安全防護外,伴隨時代步伐的邁進,數據安全建設要合規、要安全、要穩定、要靈活、要高效等等等等,需要考量和應對來自不同層面的問題和要求。未來,想要應對持續變化發展的數據安全環境,既不能靠單一技術的應用,也不能靠安全產品的加碼堆砌,而要靠對數據安全的治理。數據安全治理是一套方法論,也是一個體系化的工程,需要建設科學的組織架構。而做到這些,需要國家、行業和企業三者共建生態、共同協作來實現。

開放合作,共建數據安全治理大生態

在國家層面上,由政府出臺政策,由公安、網信、工信、保密局、密碼局等主管部門制定法律和標準;在行業層面上,由金融、教育、醫療等行業監管單位提出規范和要求,帶動行業整體意識和行動;在企業層面上,由數據安全相關技術廠商和產品提供商提供技術支撐,更需要廣大用戶持續提升數據安全意識與自主防護能力。

作為中國專業的數據安全企業,安華金和一直致力于數據安全治理生態體系的理念倡導與實踐。公司于2017-2019連續三年舉辦“中國數據安全治理高峰論壇”,分享優秀案例,交流實踐經驗。而在推動這一理念普及發展的過程中,也欣喜的看到,國家和很多行業媒體正在成為數據安全治理的最大提倡者。

同時安華人對生態的理解,是要堅持做自己,即不為追求短期的商業利益去模仿或照搬,而是通過廣泛合作,集合各方所長構建符合中國國情和需要的數據安全治理大生態,最終實現數據安全治理工作的價值最大化。幫助廣大用戶在這個流動的時代里,讓數據使用自由而安全!