一、数据泄露事件频发,凸显数据安全防护面临三大矛盾。
奇安信威胁情报中心监测发现,2022年1-10月,超过950亿条的中国境内机构数据在海外被非法交易,其中有570多亿条是个人信息,相当于平均每人泄露了41条信息。频频发生的数据泄露事件,凸显出数据安全防护面临以下三大矛盾:
1.国家法律法规监管加码和政企单位网络数据系统安全防护合规落后的矛盾。上述被泄露的个人数据绝大多数都是从政企单位盗窃的,他们没有尽到保护责任。为了约束这些单位,国家近年出台了《数据安全法》《个人信息保护法》《数据出境安全评估办法》等法律法规,严格划定了数据安全责任红线。但目前政企单位的“红线意识”不强,数据安全防护措施多数是为了应付上级检查,无法应对随时可能发生的数据安全事件。
2.数据的高价值性和防护措施投资不足的矛盾。政企单位在数字化转型过程中,积累了大量数据资产,价值都很高,有的是个人隐私,泄露后影响个人的生活幸福乃至生命财产安危,网络诈骗让很多百姓家破人亡的案例时有发生;有的是国家秘密,泄露后会造成巨大损失,危及国家安全;有的是商业秘密,比如技术资料、经营数据、用户数据,泄露后可能使企业研发投资付之东流,企业品牌和名誉受损。投资少、技术落后,缺乏针对性的防护手段,甚至不清楚自己有多少数据、数据都存在哪儿、都在被谁使用,造成大量数据防护盲点,无法有效保护业务数据。
3.数据被大肆贩卖和数据主体后知后觉的矛盾。黑客在盗取数据时通常会模拟正常业务,采用“蚂蚁搬家”策略,避免攻击行为被轻易识别。很多企业缺乏多维度的风险感知能力,甚至数据已经被大量贩卖还不知情。IBM发布的报告显示,2022年识别一起数据泄露事件平均需要207天,遏制一起数据泄露事件平均需要70天。
二、数据安全保护任重道远,需要政府主管部门坚持决心,网安厂商坚守恒心,政企机构坚定信心。
1.政府主管部门坚持决心,加快推进数据安全合规落地。建议制定相关法律法规的实施细则,强化网络安全工作一把手责任,对瞒报、漏报网络安全事故依法追究责任,倒逼企业机构加大网络安全投入。建议财政部明确要求在新增IT预算中10%用于网络数据安全建设。
2.网安厂商坚守恒心,以“零事故”为目标提升数据安全保障技术创新水平。奇安信创造了奥运网络安全“零事故”。实践证明,“零事故”是可以实现的。建议网络安全厂商以“零事故”为目标,持之以恒地开展高强度科技创新,重点骨干科创企业应连年保持15%以上的研发费用收入占比,用先进技术跑赢“网络犯罪”;持之以恒地培养高水平网络安全顶尖人才,积累网络攻防对抗实战经验,提升服务质量,杜绝黑客窃取、篡改、删除、勒索数据等重大事故发生。
3.政企机构坚定信心,建立纵深防御的内生安全系统。政企单位要承担数据安全主体责任,当涉嫌踩数据安全红线时,能通过技术手段自证清白,自觉接受安全审查。建议政企单位要加大网络数据安全系统建设的投资,安全系统占IT投资比例要达到10%以上。
