“我對正在發(fā)生的違規(guī)行為的數(shù)量感到不安。作為一名首席信息安全官，我一生中從未見過如此多的違規(guī)行為。”Check Point CISO Deryck Mitchelson近日針對越來越多的數(shù)據(jù)泄露事件發(fā)表上述評論。他粗略統(tǒng)計了今年三季度相關(guān)信息，僅這一個季度就有約1.1億條個人敏感信息被泄露。

　　顯然這還僅是數(shù)據(jù)泄露的冰山一角，因為還有很多并非個人數(shù)據(jù)，還有那些公司敏感的商業(yè)數(shù)據(jù)，甚至是政府軍事單位的機密數(shù)據(jù)。作為安全公司的一名高管，Deryck Mitchelson似乎已經(jīng)對頻繁發(fā)生的數(shù)據(jù)安全事件司空見慣，但他想要表達(dá)的是，個人可以麻木，但企業(yè)一側(cè)絕對不能。

　　數(shù)據(jù)安全僵局，不作為，不披露

　　數(shù)據(jù)泄露是我們現(xiàn)在每天都能聽聞的安全事件，它深遠(yuǎn)影響著每一個行業(yè)、每一個公司、每一個人，受害組織可能覆蓋小微企業(yè)到世界500強，其中，用戶個人信息的泄露是最突出也是最嚴(yán)重的。

　　在構(gòu)建了相關(guān)披露制度的地區(qū)當(dāng)中，以及國外那些大型上市公司體系當(dāng)中，發(fā)生安全事件才會公開披露，但也僅限于公關(guān)言語行為。比如“我們無法確認(rèn)是否存在違規(guī)行為……”“看起來發(fā)生了網(wǎng)絡(luò)事件，但似乎很小，我們相信客戶數(shù)據(jù)沒有泄露……”“可能存在有限的數(shù)據(jù)泄露發(fā)生……”“有很多客戶數(shù)據(jù)被泄露，但并不包含任何財務(wù)數(shù)據(jù)……”

　　但往往隨著黑客組織的公開承認(rèn)和披露，這些遭受安全事件的企業(yè)才會承認(rèn)，實際上他們的客戶數(shù)據(jù)已經(jīng)完全泄露。而在沒有建立披露制度的地區(qū)，往往會陷入數(shù)據(jù)安全僵局，合規(guī)了事但疏于安全管理和安全運營，一旦發(fā)生安全事件遭遇數(shù)據(jù)泄露，甚至不會公開披露。

　　勒索軟件攻擊作為近年來頻發(fā)的網(wǎng)絡(luò)攻擊手段之一，作為要挾砝碼，勒索組織不僅要求受害企業(yè)支付贖金，也通常威脅泄露客戶數(shù)據(jù)。據(jù)安全419采訪國家多家安全企業(yè)得知，雖然公開報道的勒索攻擊事件多為國外企業(yè)，但實際上國內(nèi)發(fā)生了的，以及正在發(fā)生的勒索攻擊事件實際上并不比國外少，因此，數(shù)據(jù)泄露事件也常伴發(fā)生。

　　世界經(jīng)濟論壇《2022年全球風(fēng)險報告》就曾指出，在網(wǎng)絡(luò)安全層面攻擊者經(jīng)常給組織帶來數(shù)千萬甚至數(shù)億美元的直接損失，同時次生災(zāi)害所造成的損失更難以用金錢來衡量。IBM《2022年數(shù)據(jù)泄露成本報告》估計，2022年的數(shù)據(jù)泄露成本將達(dá)到歷史新高，平均為435萬美元，這無疑是一個令人生畏的統(tǒng)計數(shù)據(jù)。

　　而對于次生災(zāi)害問題，比如對于商業(yè)組織而言，Deryck Mitchelson就認(rèn)為一旦企業(yè)遭遇數(shù)據(jù)泄露，就將失去消費者的信任，這不是短時間或長時間，或者采用那些商業(yè)手段就能挽回的客戶信任問題。

　　NCC全球首席技術(shù)官Ollie Whitehouse最近針對頻發(fā)的網(wǎng)絡(luò)安全事件評論稱，我們應(yīng)該努力建立一種開放的，廣泛參與的具有彈性的網(wǎng)絡(luò)安全文化，就像航空業(yè)現(xiàn)在擁有安全文化一樣，對于已經(jīng)發(fā)生的安全事件，我們要勇于共享信息、披露信息，對于報告安全事件的企業(yè)不應(yīng)該得到懲罰，對于這個彈性的社區(qū)而言，他反倒應(yīng)該得到獎勵。

　　除了披露 更要主動建設(shè)數(shù)據(jù)安全 敢于實踐新技術(shù)

　　據(jù)中國信通院近日發(fā)布的《全球數(shù)字經(jīng)濟白皮書（2022年）》顯示，數(shù)字經(jīng)濟為全球經(jīng)濟復(fù)蘇提供重要支撐的同時，數(shù)字經(jīng)濟發(fā)展成為各國重點比拼方向。從統(tǒng)計數(shù)據(jù)來看，2021年我國目前數(shù)字經(jīng)濟規(guī)模位居全球第二，規(guī)模為7.1萬億美元（約49.56億元人民幣）。

　　今年年中工信部《關(guān)于加強數(shù)據(jù)安全的提案》答復(fù)函就曾指出，數(shù)據(jù)作為新型生產(chǎn)要素，在數(shù)字經(jīng)濟發(fā)展過程中的關(guān)鍵引擎作用愈發(fā)凸顯，伴隨而來的數(shù)據(jù)安全風(fēng)險挑戰(zhàn)不斷加大，加強數(shù)據(jù)安全保障意義重大。

　　工信部在該函的回復(fù)了已經(jīng)完成的相關(guān)數(shù)據(jù)安全工作，如政策方面的有效落地、數(shù)據(jù)分類分級保護(hù)等等工作，在“下一步工作”中則指出，將在前期工作基礎(chǔ)上持續(xù)推進(jìn)行業(yè)數(shù)據(jù)安全管理工作，以及大力發(fā)展數(shù)據(jù)安全產(chǎn)業(yè)。

　　賽博英杰創(chuàng)始人譚曉生此前在零零信安產(chǎn)品發(fā)布會上就表示，數(shù)據(jù)安全的市場規(guī)模未來可能會比肩如今的網(wǎng)絡(luò)安全市場。數(shù)據(jù)安全作為數(shù)字經(jīng)濟發(fā)展的前提和保障基石，已然成為網(wǎng)絡(luò)安全行業(yè)景氣度最高的賽道之一。據(jù)預(yù)測，2023年市場規(guī)模將有望突破800億元。

　　與此同時譚曉生也指出，數(shù)據(jù)安全具有自身鮮明的特點，無論是學(xué)術(shù)還是產(chǎn)品相較還處于早期階段，距離完善成熟還有很長的路要走。

　　以此前安全419觀察的數(shù)據(jù)安全大賽道上的數(shù)據(jù)安全平臺（Data Security Platforms）產(chǎn)品為例，在國內(nèi)正呈頭部廠商、專業(yè)廠商、創(chuàng)新廠商三線并進(jìn)發(fā)展，這也為市場上帶來了各不相同的DSP數(shù)據(jù)保護(hù)平臺型產(chǎn)品。雖然產(chǎn)品設(shè)計存在技術(shù)上的不同，但這種技術(shù)發(fā)展路線其中好的一面是可以形成各具特色上的能力互補。

　　國內(nèi)國外的法律法規(guī)要求企業(yè)必須合規(guī)經(jīng)營，對于數(shù)據(jù)安全而言，處罰力度也不斷加大。這也要求企業(yè)除了合規(guī)，更要結(jié)合安全趨勢，不斷主動地加強數(shù)據(jù)安全建設(shè)工作。

　　而建設(shè)網(wǎng)絡(luò)安全并沒有捷徑，對于全新的數(shù)據(jù)安全賽道更是如此，企業(yè)要勇于實踐，并勇于采用創(chuàng)新的安全技術(shù)落地數(shù)據(jù)安全建設(shè)，形成反哺，才能讓尚在早期發(fā)展階段的數(shù)據(jù)安全產(chǎn)業(yè)蓬勃發(fā)展。

　　好的一面是，在《數(shù)據(jù)安全法》落地執(zhí)行一周年之際，安全419采訪相關(guān)安全廠商得到的較好的反饋。“客戶正在摒棄幾萬幾十萬的硬件‘盒子’設(shè)備，數(shù)據(jù)安全建設(shè)已經(jīng)過渡到了具備多樣化思路，從不同維度去探索怎樣才能真正地讓企業(yè)構(gòu)建出一套完整的、有效的，且成本可控的，處于可運行、可執(zhí)行狀態(tài)下的數(shù)據(jù)安全運行平臺和管理體系。”

　　也希望企業(yè)一側(cè)能夠真正地走在安全趨勢前列，主動建設(shè)數(shù)據(jù)安全能力，不再讓頻繁的數(shù)據(jù)安全事件發(fā)生，我們都不想讓自己陷入危險當(dāng)中。

更多信息可以來這里獲取==>>電子技術(shù)應(yīng)用-AET<<