今年在数据安全领域发生了许多大事:6月10日《数据安全法》正式获得通过,并将于2021年9月1日正式施行;网络安全审查办公室先后对“滴滴出行”“运满满”“货车帮”“BOSS直聘”启动网络安全审查;国家网信办针对多款App违法违规收集使用个人信息先后进行通报等。
在安全合规趋紧的当下,企业加强数据安全能力建设已是势所必然。
对于网络安全特别是数据安全来说,2021年绝对是令人印象深刻的一年。虽然2021年刚刚过半,但在半年的时间里关于网络安全发生了许多的大事。
特别是近期关于数据安全的一系列热门事件成为社会广泛关注的焦点。
数据安全再成焦点
数字时代下,数据已经成为数字经济发展的核心生产要素。随着数据价值的不断提升,来自数据安全的风险也与日俱增,数据安全已成为国家社会发展的重要课题。
赛迪智库网络安全研究所发布的《数据安全治理白皮书》指出,我国数据安全面临七大挑战:
数据贩卖严重侵害个人隐私;数据跨境流动带来国家安全隐患;高价值特殊敏感数据泄露风险加剧;重要数据安全面临外来攻击威胁加大;新技术新应用催生新型数据安全风险;互联网平台企业滥采滥用个人信息并实施数据垄断;国际数据规则制定话语权与我国互联网应用领先地位严重不匹配。
由此可以看出,从个人、企业、社会乃至国家层面,数据安全带来的严峻挑战是全方位的,也是最为紧迫的问题之一。
数据安全就是企业生命线
6月10日正式通过的《数据安全法》从数据安全与发展、安全制度、安全保护义务、政务数据安全与开放四大领域对数据安全提出了具体要求,明确了开展数据活动的组织、个人的数据安全保护义务,落实数据安全保护责任,同时也加大了对违法的处罚力度。
数据无处不在,来自数据安全的威胁也是无处不在。对于企业而言,因数据泄露导致的损失越来越成为企业难以承受之重。
IBM发布的《2020年数据泄露成本报告》显示,数据泄露事件给企业造成的平均成本为386万美元,而其中员工账户遭受攻击是最昂贵的原因。
越是安全防护能力薄弱的企业,对安全风险和攻击行为的发现时间越久,等到发现网络攻击并带来潜在的数据泄露问题时已经为时已晚了。 为避免来自网络攻击导致的数据泄露风险,企业需要做到快速识别即将发生的安全风险。一般来说如果有以下情况,企业需要提高警惕:
出现异常登录活动;出现异常的文件和数据库的更改操作;出现可疑或未知的文件;帐户和或凭据被异常锁定或更改;安全投入过少,对敏感数据的保护力度不够;异常管理活动;网络速率莫名降低,资源占用突然增大等。
当然,以上只是遭遇网络攻击的基本表象。在应对网络威胁时,快速发现和识别风险,及时响应威胁,是企业防范网络攻击的有效方法。
加强数据安全能力建设
合规是前提,落地是关键
在国内,《网络安全法》、《数据安全法》、等保2.0等法律法规规定了组织对网络安全特别是数据安全的保护义务。因此,不管是出于合规的要求,还是企业自身安全建设的需要,加强对数据安全能力的建设已成企业当务之急。
另一方面,随着欧盟出台《通用数据保护条例》(GDPR)以来,世界范围内各个国家或地区针对数据安全的管控日趋严格,相关法律法规不断出台。
确保数据跨境流动下的数据安全合规问题同样成为跨国企业无法绕开的重要课题。
对此,赛迪智库网络安全研究所在《数据安全治理白皮书》中提出建议:
鼓励企业运用技术手段强化数据安全治理。鼓励企业开展区块链、隐私计算等数据安全保障技术的研究,提高技术成果转化率,切实保护用户数据安全。
建立企业数据安全能力成熟度评估制度。通过明确不同类型的数据安全能力成熟度要求,推动企业建立与数据类型和规模相匹配的数据安保能力,实现业务竞争力与安全的正向挂钩,并组织开展数据安全能力成熟度评估。
建立企业数据流向监管制度。鼓励企业开发、使用追踪数据使用情况及流向的工具,明晰数据用途,配合国家开展数据资源使用情况追踪调查。
而从技术层面开展数据安全防护,关键在落地。
在安全技术手段方面,可以通过采用假名等技术措施,即以无法用于识别个人身份的方式存储和处理数据。
加密是最重要的技术解决方案之一,当然加密技术有强弱之分,若要确保尽可能安全的程度,还需要确保采用最新加密技术,并与其他多种验证方式相结合。
使用机密计算可以进一步加强合规性。该技术通过使用基于硬件的完全隔离的可信执行环境来保护数据在运行时的完整性、机密性和可用性,即使基础设施遭到破坏,数据也能够保持安全。
当下火热的零信任理念也成为解决数据安全问题的新思路,零信任以“持续验证,永不信任”为理念,通过与其他相关安全技术相结合,近年来在多种应用场景得到了许多成功的落地实践。
深信服首席数据安全专家訾然表示,对于企业而言,当下首先要解决的事情明确数据处理活动概览和数据安全合规要求、梳理数据资产,形成重要数据保护目录、重要数据保护和监控。
深信服通过以数据为中心,围绕数据生命周期全过程,融合技术、管理和运营,打造涵盖“云、网、端”的时空一体化动态安全防护体系,确保数据流转全过程持续处于有效保护、合法利用的状态,保障数据安全释放价值。
奇安信集团副总裁韩永刚认为,《数据安全法》给安全行业带来了空前机遇,也给企业带来更高要求。
安全企业需为客户尽快开展数据安全治理和建立数据安全保护体系,尤其在身份安全、零信任、行为审计、数据敏感地图等领域加速技术创新。为此,奇安信推出精准防护、基于数据流转的安全保护、数据安全态势感知、数据要素数据交易安全等几大关键举措。
安全与发展是一体之两翼,驱动之两轮,在做好数据利用的同时确保数据安全,平衡好二者关系亦是如此。
《数据安全法》的正式发布,为数字经济的安全健康发展提供了有力的制度支撑,我国数据安全迎来新的发展良机。
对于企业而言,这是挑战更是机遇,各行业企业要在满足安全合规的前提下,不断加强自身数据安全能力建设,迎接暴风骤雨后的晴天。