行業(yè)數(shù)據(jù)風(fēng)險升高 85%數(shù)據(jù)泄露有人為因素
近幾年,隨著云計算、人工智能等新興技術(shù)發(fā)展,加速了數(shù)據(jù)價值的發(fā)現(xiàn)和流通,同時也使得數(shù)據(jù)安全問題不斷凸顯。
例如2020年1月,英國政府泄露2800萬未成年人數(shù)據(jù),2020年4月,德國政府遭冠狀病毒主題釣魚攻擊損失數(shù)千萬歐元,2020年6月,美國200多個公檢法部門泄露296GB數(shù)據(jù)文件,2020年10月,希臘電信巨頭遭黑客攻擊,大量用戶個人信息被泄露,2021年4月,蘋果代工廠“廣達(dá)”被國際黑客組織REvil攻擊,黑客組織盜取了包括正處于計劃量產(chǎn)中的MacBook Pro圖紙在內(nèi)的各類機(jī)密文件數(shù)據(jù),并通過加密方式勒索贖金(約合3.2億元人民幣)。這些不僅給民眾和社會公共利益造成了威脅和損害,甚至?xí)?yán)重?fù)p害相關(guān)政府部門和行業(yè)的聲譽(yù)。
全國政協(xié)委員、上海市信息安全行業(yè)協(xié)會名譽(yù)會長談劍鋒表示,數(shù)據(jù)有價值就會有風(fēng)險,只是程度或者影響后果不同,這是共性也是普遍性的問題。
那么,從行業(yè)角度來看,目前醫(yī)療、金融、能源和工業(yè)等各個行業(yè)都存在哪些數(shù)據(jù)安全風(fēng)險,又可以采取哪些保護(hù)措施,來控制風(fēng)險?
醫(yī)療數(shù)據(jù)具有高敏感性,能源和工業(yè)數(shù)據(jù)具有高價值性
近幾年針對數(shù)據(jù)的威脅和風(fēng)險迅速升級,根據(jù)美國電信巨頭Verizon公司發(fā)布的,由81個國家參與調(diào)研的《2020年數(shù)據(jù)泄露調(diào)查報告》(下稱泄露報告)顯示,72%數(shù)據(jù)安全事件的受害者是大型企業(yè),70%的數(shù)據(jù)泄露事件涉及外部入侵。
而各個行業(yè)由于數(shù)據(jù)特點和價值不同,其安全風(fēng)險又呈現(xiàn)不同的特征,并且受害程度也不同。中關(guān)村網(wǎng)絡(luò)安全與信息化產(chǎn)業(yè)聯(lián)盟理事、聯(lián)盟數(shù)據(jù)與信息安全智庫專家柳遵梁表示,行業(yè)數(shù)據(jù)安全風(fēng)險的大小取決于兩個基本因素,一是數(shù)據(jù)價值高低;二是數(shù)據(jù)泄露后果嚴(yán)重程度。
比如醫(yī)療行業(yè),北京師范大學(xué)網(wǎng)絡(luò)法治國際中心執(zhí)行主任吳沈括表示,醫(yī)療行業(yè)的特點是,其擁有大量患者的健康狀況數(shù)據(jù),而這些數(shù)據(jù)具有較強(qiáng)的敏感性和隱私性,一旦這些數(shù)據(jù)泄露,可能會影響后續(xù)診療,也會對患者生活、工作帶來較大的負(fù)面影響。
“除數(shù)據(jù)泄露外,數(shù)據(jù)勒索也是醫(yī)療行業(yè)常見的數(shù)據(jù)安全風(fēng)險,將會帶來嚴(yán)重威脅”,廣東工業(yè)大學(xué)教授劉文印說。根據(jù)泄露報告顯示,針對醫(yī)療領(lǐng)域的勒索軟件攻擊連續(xù)兩年占所有惡意軟件事件的70%以上。
再比如,能源和工業(yè)行業(yè),吳沈括指出,能源是國家的基礎(chǔ)性戰(zhàn)略資源,因此能源行業(yè)數(shù)據(jù),實際上關(guān)系到國家的戰(zhàn)略安全;而工業(yè)領(lǐng)域,隨著工業(yè)日益成為提升制造生產(chǎn)力、競爭力、創(chuàng)新力的關(guān)鍵產(chǎn)業(yè),工業(yè)數(shù)據(jù)的高價值性特點越來越凸顯,這導(dǎo)致工業(yè)數(shù)據(jù)也成為黑客攻擊的重點目標(biāo)。
今年5月,美國最大輸油管道因勒索軟件攻擊關(guān)閉。黑客通過加密手段鎖住科洛尼爾管道運輸公司計算機(jī)系統(tǒng)并盜取機(jī)密文件,試圖以解鎖為條件來勒索贖金。該公司一度被迫關(guān)閉整個能源供應(yīng)網(wǎng)絡(luò),極大影響了美國東海岸燃油等能源供應(yīng)。
根據(jù)工業(yè)和信息化部發(fā)布的《關(guān)于工業(yè)大數(shù)據(jù)發(fā)展的指導(dǎo)意見》,我國34%的聯(lián)網(wǎng)工業(yè)設(shè)備存在高危漏洞,這些設(shè)備的廠商、型號、參數(shù)等信息長期遭惡意嗅探,僅在2019年上半年“嗅探”事件就高達(dá)5151萬起。
談劍鋒表示,能源和工業(yè)領(lǐng)域比較復(fù)雜,它們并非是純粹的信息系統(tǒng),工控系統(tǒng)與物理世界緊密互動,一旦工控系統(tǒng)受到攻擊,輕則造成質(zhì)量事故或者停產(chǎn),重則人身傷害甚至直接導(dǎo)致現(xiàn)實社會中的重大災(zāi)難和群體性事件。因此,保證工控系統(tǒng)的生產(chǎn)數(shù)據(jù)安全,被能源和工業(yè)企業(yè)看做重中之重的事情。同時,談劍鋒指出,近年來隨著新興技術(shù)的興起,智能工廠技術(shù)不斷成熟,這使得以往封閉的數(shù)據(jù)圍墻必然要被打通,工業(yè)領(lǐng)域的數(shù)據(jù)安全壓力驟然上升,安全管理挑戰(zhàn)越來越大。
85%數(shù)據(jù)泄露有人為因素,醫(yī)療保健行業(yè)因員工疏忽致數(shù)據(jù)泄露占比23%
那么,這些行業(yè)的數(shù)據(jù)安全風(fēng)險是由什么造成的。柳遵梁指出,總體來看,分為外部入侵和內(nèi)部風(fēng)險。外部入侵主要由于入侵者有足夠的動機(jī)、精力和機(jī)會,一方面可以獲取巨大的利益;另一方面又由于各個行業(yè)的網(wǎng)絡(luò)是相對開放的,給外部入侵者制造了機(jī)會。
而內(nèi)部風(fēng)險主要由于內(nèi)部人員會受到各種各樣的誘惑,使得他們鋌而走險,通過對外非法提供數(shù)據(jù)來獲取利益,柳遵梁表示。
而各行各業(yè)由于數(shù)據(jù)特點不同,其安全風(fēng)險原因也不同,85%的數(shù)據(jù)泄露都有人為因素。這其中有外部因素,但更多的還是內(nèi)部因素。
談劍鋒指出,正所謂,堅固的堡壘往往是從內(nèi)部被攻破的。從已經(jīng)披露的案例來看,內(nèi)部的人為因素占到74%。一方面,員工由于疏忽無意造成違規(guī)也是重要原因,例如,2020年娛樂業(yè)中有34%的數(shù)據(jù)泄露是由員工粗心造成的;醫(yī)療保健行業(yè)盡管法規(guī)嚴(yán)格,但由員工疏忽造成的數(shù)據(jù)泄露還是占到23%。
另一方面,也可能出于個人利益或者個人泄憤的目的而故意違規(guī)。這幾年因為個人利益發(fā)生數(shù)據(jù)泄露的案件數(shù)量開始攀升,而個人泄憤的情況也頻頻出現(xiàn),比較極端的表現(xiàn)就是“刪庫跑路”。
據(jù)IBM發(fā)布的《2020年數(shù)據(jù)泄露成本報告》(以下稱成本報告;本報告中的年份是指發(fā)布年份。2020年報告中分析的數(shù)據(jù)泄露發(fā)生在2019年8月至2020年4月之間。),科技、交通、零售和金融行業(yè)由于惡意攻擊,造成數(shù)據(jù)泄露的比例最高;而研究、公共部門因人為錯誤導(dǎo)致數(shù)據(jù)泄露的比例最高。并且,系統(tǒng)故障也成為環(huán)保和消費行業(yè)中出現(xiàn)數(shù)據(jù)漏洞的根本原因。
劉文印指出,對企業(yè)而言,一旦發(fā)生數(shù)據(jù)安全風(fēng)險事件,不僅需要賠償用戶,還要繳納政府的罰款,同時還有事后的法律成本和公關(guān)成本,這些都是企業(yè)要付出的代價。
劉文印表示,根據(jù)GDPR(《通用數(shù)據(jù)保護(hù)條例》)相關(guān)規(guī)定,數(shù)據(jù)隱私泄露的違法罰款可以高達(dá)全球營業(yè)額的4%(最高2000萬歐元),中國即將出臺的《個人信息保護(hù)法》征求意見稿中,企業(yè)罰款可以達(dá)到5%(最高5000萬人民幣),另外再追加個人責(zé)任人的責(zé)任和罰款,最高100萬人民幣。
各個行業(yè)由于特點不同,其為數(shù)據(jù)安全風(fēng)險所付出的代價也不同。根據(jù)成本報告數(shù)據(jù)顯示,醫(yī)療行業(yè)數(shù)據(jù)泄露的損失最大,平均總成本最高。其次,是能源和金融服務(wù)行業(yè),這些行業(yè)的數(shù)據(jù)價值也都較大。
并且,受到更嚴(yán)格監(jiān)管要求的組織具有更高的平均數(shù)據(jù)泄露成本,比如醫(yī)療保健、能源、金融服務(wù)和制藥的平均數(shù)據(jù)泄露總成本明顯高于監(jiān)管較少的行業(yè),如酒店、媒體和研究。
談劍鋒指出,隨著形勢的轉(zhuǎn)變,數(shù)據(jù)安全風(fēng)險原因和來源也更加復(fù)雜。總體而言,工作環(huán)境趨于開放,網(wǎng)絡(luò)及信息系統(tǒng)就需要更安全、更靈活,這在一定程度上也會帶來新的數(shù)據(jù)安全問題,給問題的原因分析也增添了難度。
“主動防御”才是各行業(yè)破解數(shù)據(jù)安全難題之鑰
那么,各個行業(yè)面對這些數(shù)據(jù)安全風(fēng)險,應(yīng)采取哪些舉措,這也是行業(yè)數(shù)據(jù)安全問題的重要難題。劉文印指出,目前各個行業(yè)對數(shù)據(jù)泄露的解決方式更多的是采用頭痛醫(yī)頭,腳痛醫(yī)腳,當(dāng)數(shù)據(jù)風(fēng)險被識別后再采取相應(yīng)的解決方案。而這些“被動式防御”既滯后,又無法從根本上解決系統(tǒng)性和機(jī)制性的問題。
據(jù)成本報告數(shù)據(jù)顯示,各個行業(yè)識別風(fēng)險都是需要一定時間的,長短不一。雖然金融行業(yè)識別風(fēng)險所需時間最短,但也要177天,而醫(yī)療保健行業(yè)識別風(fēng)險所需時間最長,長達(dá)236天。同時,風(fēng)險識別后,控制風(fēng)險也需要一定時間,大致在50天-100天之間。
根據(jù)報告數(shù)據(jù),各個行業(yè)從數(shù)據(jù)風(fēng)險的識別,再到控制,基本都要在200-350天范圍內(nèi),這個時間越長,數(shù)據(jù)風(fēng)險所造成的危害就越大。而數(shù)據(jù)泄露成本最大的醫(yī)療行業(yè),其所需要的識別和控制風(fēng)險時間還最長。
因此,傳統(tǒng)的網(wǎng)絡(luò)安全防控方式,即發(fā)現(xiàn)、識別風(fēng)險再控制風(fēng)險的路徑已經(jīng)行不通。中關(guān)村網(wǎng)絡(luò)安全與信息化產(chǎn)業(yè)聯(lián)盟副理事長、數(shù)據(jù)安全治理專業(yè)委員會主任劉曉韜表示,解決數(shù)據(jù)安全風(fēng)險問題,不應(yīng)是事后發(fā)生了,再去追蹤,而應(yīng)根據(jù)行業(yè)特點,采取有針對性的“主動式”防御手段。
他指出,比如醫(yī)療行業(yè),針對數(shù)據(jù)具有高敏感性,容易受到黑客攻擊的問題,可以通過數(shù)據(jù)庫防火墻或者數(shù)據(jù)安全網(wǎng)關(guān)這些防護(hù)措施,來加強(qiáng)防護(hù);針對醫(yī)療數(shù)據(jù)具有高價值性,容易受到數(shù)據(jù)勒索,或者由于運維人員疏忽而導(dǎo)致數(shù)據(jù)泄露的這些問題,可以采取數(shù)據(jù)脫敏等相關(guān)技術(shù)手段。
“再比如能源行業(yè),目前國網(wǎng)平臺已經(jīng)實現(xiàn)了數(shù)據(jù)共享,而數(shù)據(jù)的互聯(lián)網(wǎng)化會導(dǎo)致一些新的風(fēng)險。”劉曉韜表示。針對該問題,劉曉韜認(rèn)為,可以首先對這些數(shù)據(jù)進(jìn)行梳理,再通過數(shù)據(jù)態(tài)勢感知或者數(shù)據(jù)管控運維平臺,運用平臺化的措施,再加上數(shù)據(jù)加密或者防火墻的手段,對其進(jìn)行特殊保護(hù)。
除了技術(shù)手段外,數(shù)據(jù)安全的保護(hù)還要靠管理。劉文印表示,數(shù)據(jù)安全是“三分靠技術(shù),七分看管理”,管理問題是重點,也是難點。
談劍鋒指出,防護(hù)數(shù)據(jù)安全風(fēng)險,在管理方面,可以從三方面著手,一是政府加強(qiáng)對數(shù)據(jù)安全產(chǎn)業(yè)的扶持和監(jiān)管力度,二是政企單位要貫徹《網(wǎng)絡(luò)安全法》、《數(shù)據(jù)安全法》及《個人信息保護(hù)法》等相關(guān)法律法規(guī),制定嚴(yán)謹(jǐn)詳細(xì)的數(shù)據(jù)安全管理制度并嚴(yán)格執(zhí)行,落實好數(shù)據(jù)的分級分權(quán)管理,盡量降低核心數(shù)據(jù)泄露的風(fēng)險;三是企業(yè)要加強(qiáng)全員網(wǎng)絡(luò)安全意識教育培訓(xùn),提升員工相關(guān)意識和技能,切實做好數(shù)據(jù)安全防護(hù)工作。
