原标题:行业数据风险升高,靠“主动防御”破解安全难题
近几年,随着云计算、人工智能等新兴技术发展,加速了数据价值的发现和流通,同时也使得数据安全问题不断凸显。
例如2020年1月,英国政府泄露2800万未成年人数据,2020年4月,德国政府遭冠状病毒主题钓鱼攻击损失数千万欧元,2020年6月,美国200多个公检法部门泄露296GB数据文件,2020年10月,希腊电信巨头遭黑客攻击,大量用户个人信息被泄露,2021年4月,苹果代工厂“广达”被国际黑客组织REvil攻击,黑客组织盗取了包括正处于计划量产中的MacBookPro图纸在内的各类机密文件数据,并通过加密方式勒索赎金(约合3.2亿元人民币)。这些不仅给民众和社会公共利益造成了威胁和损害,甚至会严重损害相关政府部门和行业的声誉。
全国政协委员、上海市信息安全行业协会名誉会长谈剑锋表示,数据有价值就会有风险,只是程度或者影响后果不同,这是共性也是普遍性的问题。
那么,从行业角度来看,目前医疗、金融、能源和工业等各个行业都存在哪些数据安全风险,又可以采取哪些保护措施,来控制风险?
医疗数据具有高敏感性,能源和工业数据具有高价值性
近几年针对数据的威胁和风险迅速升级,根据美国电信巨头Verizon公司发布的,由81个国家参与调研的《2020年数据泄露调查报告》(下称泄露报告)显示,72%数据安全事件的受害者是大型企业,70%的数据泄露事件涉及外部入侵。
而各个行业由于数据特点和价值不同,其安全风险又呈现不同的特征,并且受害程度也不同。中关村网络安全与信息化产业联盟理事、联盟数据与信息安全智库专家柳遵梁表示,行业数据安全风险的大小取决于两个基本因素,一是数据价值高低;二是数据泄露后果严重程度。
比如医疗行业,北京师范大学网络法治国际中心执行主任吴沈括表示,医疗行业的特点是,其拥有大量患者的健康状况数据,而这些数据具有较强的敏感性和隐私性,一旦这些数据泄露,可能会影响后续诊疗,也会对患者生活、工作带来较大的负面影响。
“除数据泄露外,数据勒索也是医疗行业常见的数据安全风险,将会带来严重威胁”,广东工业大学教授刘文印说。根据泄露报告显示,针对医疗领域的勒索软件攻击连续两年占所有恶意软件事件的70%以上。
再比如,能源和工业行业,吴沈括指出,能源是国家的基础性战略资源,因此能源行业数据,实际上关系到国家的战略安全;而工业领域,随着工业日益成为提升制造生产力、竞争力、创新力的关键产业,工业数据的高价值性特点越来越凸显,这导致工业数据也成为黑客攻击的重点目标。
今年5月,美国最大输油管道因勒索软件攻击关闭。黑客通过加密手段锁住科洛尼尔管道运输公司计算机系统并盗取机密文件,试图以解锁为条件来勒索赎金。该公司一度被迫关闭整个能源供应网络,极大影响了美国东海岸燃油等能源供应。
根据工业和信息化部发布的《关于工业大数据发展的指导意见》,我国34%的联网工业设备存在高危漏洞,这些设备的厂商、型号、参数等信息长期遭恶意嗅探,仅在2019年上半年“嗅探”事件就高达5151万起。
谈剑锋表示,能源和工业领域比较复杂,它们并非是纯粹的信息系统,工控系统与物理世界紧密互动,一旦工控系统受到攻击,轻则造成质量事故或者停产,重则人身伤害甚至直接导致现实社会中的重大灾难和群体性事件。因此,保证工控系统的生产数据安全,被能源和工业企业看做重中之重的事情。同时,谈剑锋指出,近年来随着新兴技术的兴起,智能工厂技术不断成熟,这使得以往封闭的数据围墙必然要被打通,工业领域的数据安全压力骤然上升,安全管理挑战越来越大。
85%数据泄露有人为因素,医疗保健行业因员工疏忽致数据泄露占比23%
那么,这些行业的数据安全风险是由什么造成的。柳遵梁指出,总体来看,分为外部入侵和内部风险。外部入侵主要由于入侵者有足够的动机、精力和机会,一方面可以获取巨大的利益;另一方面又由于各个行业的网络是相对开放的,给外部入侵者制造了机会。
而内部风险主要由于内部人员会受到各种各样的诱惑,使得他们铤而走险,通过对外非法提供数据来获取利益,柳遵梁表示。
而各行各业由于数据特点不同,其安全风险原因也不同,85%的数据泄露都有人为因素。这其中有外部因素,但更多的还是内部因素。
谈剑锋指出,正所谓,坚固的堡垒往往是从内部被攻破的。从已经披露的案例来看,内部的人为因素占到74%。一方面,员工由于疏忽无意造成违规也是重要原因,例如,2020年娱乐业中有34%的数据泄露是由员工粗心造成的;医疗保健行业尽管法规严格,但由员工疏忽造成的数据泄露还是占到23%。
另一方面,也可能出于个人利益或者个人泄愤的目的而故意违规。这几年因为个人利益发生数据泄露的案件数量开始攀升,而个人泄愤的情况也频频出现,比较极端的表现就是“删库跑路”。
据IBM发布的《2020年数据泄露成本报告》(以下称成本报告;本报告中的年份是指发布年份。2020年报告中分析的数据泄露发生在2019年8月至2020年4月之间。),科技、交通、零售和金融行业由于恶意攻击,造成数据泄露的比例最高;而研究、公共部门因人为错误导致数据泄露的比例最高。并且,系统故障也成为环保和消费行业中出现数据漏洞的根本原因。
刘文印指出,对企业而言,一旦发生数据安全风险事件,不仅需要赔偿用户,还要缴纳政府的罚款,同时还有事后的法律成本和公关成本,这些都是企业要付出的代价。
刘文印表示,根据GDPR(《通用数据保护条例》)相关规定,数据隐私泄露的违法罚款可以高达全球营业额的4%(最高2000万欧元),中国即将出台的《个人信息保护法》征求意见稿中,企业罚款可以达到5%(最高5000万人民币),另外再追加个人责任人的责任和罚款,最高100万人民币。
各个行业由于特点不同,其为数据安全风险所付出的代价也不同。根据成本报告数据显示,医疗行业数据泄露的损失最大,平均总成本最高。其次,是能源和金融服务行业,这些行业的数据价值也都较大。
并且,受到更严格监管要求的组织具有更高的平均数据泄露成本,比如医疗保健、能源、金融服务和制药的平均数据泄露总成本明显高于监管较少的行业,如酒店、媒体和研究。
谈剑锋指出,随着形势的转变,数据安全风险原因和来源也更加复杂。总体而言,工作环境趋于开放,网络及信息系统就需要更安全、更灵活,这在一定程度上也会带来新的数据安全问题,给问题的原因分析也增添了难度。
“主动防御”才是各行业破解数据安全难题之钥
那么,各个行业面对这些数据安全风险,应采取哪些举措,这也是行业数据安全问题的重要难题。刘文印指出,目前各个行业对数据泄露的解决方式更多的是采用头痛医头,脚痛医脚,当数据风险被识别后再采取相应的解决方案。而这些“被动式防御”既滞后,又无法从根本上解决系统性和机制性的问题。
据成本报告数据显示,各个行业识别风险都是需要一定时间的,长短不一。虽然金融行业识别风险所需时间最短,但也要177天,而医疗保健行业识别风险所需时间最长,长达236天。同时,风险识别后,控制风险也需要一定时间,大致在50天-100天之间。
根据报告数据,各个行业从数据风险的识别,再到控制,基本都要在200-350天范围内,这个时间越长,数据风险所造成的危害就越大。而数据泄露成本最大的医疗行业,其所需要的识别和控制风险时间还最长。
因此,传统的网络安全防控方式,即发现、识别风险再控制风险的路径已经行不通。中关村网络安全与信息化产业联盟副理事长、数据安全治理专业委员会主任刘晓韬表示,解决数据安全风险问题,不应是事后发生了,再去追踪,而应根据行业特点,采取有针对性的“主动式”防御手段。
他指出,比如医疗行业,针对数据具有高敏感性,容易受到黑客攻击的问题,可以通过数据库防火墙或者数据安全网关这些防护措施,来加强防护;针对医疗数据具有高价值性,容易受到数据勒索,或者由于运维人员疏忽而导致数据泄露的这些问题,可以采取数据脱敏等相关技术手段。
“再比如能源行业,目前国网平台已经实现了数据共享,而数据的互联网化会导致一些新的风险。”刘晓韬表示。针对该问题,刘晓韬认为,可以首先对这些数据进行梳理,再通过数据态势感知或者数据管控运维平台,运用平台化的措施,再加上数据加密或者防火墙的手段,对其进行特殊保护。
除了技术手段外,数据安全的保护还要靠管理。刘文印表示,数据安全是“三分靠技术,七分看管理”,管理问题是重点,也是难点。
谈剑锋指出,防护数据安全风险,在管理方面,可以从三方面着手,一是政府加强对数据安全产业的扶持和监管力度,二是政企单位要贯彻《网络安全法》、《数据安全法》及《个人信息保护法》等相关法律法规,制定严谨详细的数据安全管理制度并严格执行,落实好数据的分级分权管理,尽量降低核心数据泄露的风险;三是企业要加强全员网络安全意识教育培训,提升员工相关意识和技能,切实做好数据安全防护工作。
新京报记者王春蕊