【文/观察者网 吕栋】
“全球四分之一的数据发生在中国,但中国的数据安全投资只占全球的五分之一,这个比例可以想象,中国在数据安全领域的投资还要进一步加大。”日前,IDC中国区总裁霍锦洁在IDC 2022 CSO全球网络安全峰会(中国站)上回答观察者网提问时表示。
霍锦洁透露,此次是IDC首次在中国举办 CSO(首席安全官)全球网络安全峰会,这也说明在中国聚集海量数据的背景下,数据安全、网络安全在中国是非常重要的。
但她也同时指出,虽然中国大量的数据应用场景蕴藏着很大机会,但数据安全只有中国做好并不够。由于数据具有广泛性、分散性、多样性、复杂性等特性,数据安全更是全球的挑战。
英国一家IT管理公司去年曾统计,仅2021年5月,全球发生的网络数据泄露和网络攻击案件记录就高达1.16亿条,其中40%由勒索软件引发。
还有知情人士告诉观察者网,中国东部某地级市平均每个月就遭受370万次境内外的网络攻击。
“二三十年前,黑客真正能攻击的对象可能只有服务器,因为那个时候的企业数字化程度并不高。但现在不仅有摄像头,还有各种物联网设备,这些都可能成为黑客攻击的对象。”IDC中国研究副总裁钟振山在接受观察者网等媒体采访时表示。
他指出,到2026年,中国物联网市场规模会达到2640亿元,成为全球第一大物联网市场,比美国还要大。而随着不同的物联网设备出现,带来的安全风险也将会越来越多。因此,企业和政府机构不仅要从技术层面去应对,更重要的是提高员工乃至整体社会面的安全意识。
在本次网络安全峰会上,IDC还发布了《IDC TechScape:中国数据安全发展路线图,2022》。该报告认为,帮助用户构建全方位数据安全治理体系将成为大趋势,各项数据安全和密码技术将在治理体系中作为重点能力模块,赋能用户实现数据安全治理目标。
图源:IDC
观察者网整理部分采访实录如下:
问:随着数字经济时代到来,中国会产生海量的数据,但数据泄露的事件时不时会被曝出。尤其是疫情期间,更存在数据泄露的风险。我们遭遇的挑战主要有哪些,是技术问题、人才问题,还是投资方面的整体问题,应该如何去应对这些挑战,减少数据泄露事件的发生?
钟振山:安全永远是对抗的过程。只要有数据、有系统,安全风险也就与之相伴。举个例子,我以前听一个专家讲过,说为什么现在数据安全事件频发,很简单,是因为现在可攻击的对象越来越多了。二三十年前,黑客真正能攻击的也就是服务器,因为那个时候的企业数字化程度并不高。但现在不仅有摄像头,还有各种物联网设备,这些都可能成为黑客攻击的对象。IDC预测,到2026年,中国物联网市场规模会达到2640亿,成为全球第一大物联网市场,比美国还要大。而随着不同的物联网设备出现,带来的安全风险也会越来越多,不仅服务器,黑客甚至可以通过物联网设备入侵企业内网。
除去技术层面不断地发展和对抗,去应对这些潜在的风险,还有比较重要的一点是提高企业员工乃至整体社会面的安全意识。很多企业内部员工可能会为了工作方便,去自己搭一台服务器,或者下载一些开源代码去写应用,他们并没有意识到这么做带来的安全风险。如果他们自行搭建服务器,可能就无法遵循企业内部的安全策略,会为企业整体的安全完整性带来挑战。这其中,企业内部除了完善对员工的管理策略外,拥有一套端到端的完整解决方案也非常重要。
很多IT项目,无论是企业端还是政府侧,其实并没有相对应的安全解决方案,去保护企业的数字核心资产,这是CIO们需要考虑的事情,也面临着一些挑战。对于如何减少数据泄露事件发生的频次,我个人建议,一是企业内部安全意识的提升,二是真正要把安全当做企业的核心战略,而不是做完系统后,再去思考如何弥补安全漏洞。很多厂商将来可能会提到原生安全或者内生安全的概念,就是真正把安全当做企业数字化转型的核心组件,这样才能降低数据安全的风险。
问:提升数据安全意识,把数据安全当做核心,我们需要去做哪些工作?
钟振山:刚才也提到一些,企业在做项目设计和规划时,首先就要把安全当做项目核心的一部分,而不是等项目上马之后,再去想安全怎么办。其次,国内很多企业或政府机构,安全是放在IT内部的。也就是说,可能安全经理或CSO需要向CIO汇报。我个人认为,这本身就是矛盾的。因为CIO的职责是项目越快上马越好,而安全可能是越慢越好,因为需要把很多安全机制补全。所以CSO向CIO汇报并不是非常完美的状态,CSO应该独立于CIO,才能真正在企业内部发挥建设整体安全能力的作用。
问:这是不是意味着,企业内部流程可能需要重置,把保护数据安全的功能分离出来?
霍锦洁:是这样的。大家以前谈到安全的时候,认为这是一项技术活,甚至包括很多安全从业者,也是从技术角度去看安全。但在企业内部,安全是一个业务层面的事情,不能只去看这套IT系统有多安全,还要看员工的行为会不会对企业核心资产带来一定风险。因此,CSO是一个技术和业务相结合的角色,他在考虑安全机制的同时,也需要去考虑业务如何去转变,才能提升公司内部整体安全的能力。
问:您刚才讲到,随着数字经济的发展,企业对数据安全越来越重视。那么在您看来,未来三到五年在数据安全领域,有哪些技术或趋势比较值得关注?
钟振山:我们发布的TechScape报告中列出了10多个新技术点,如果真要选一个,我觉得隐私计算是未来值得关注的领域。最近几年,我国也出台了很多和数据安全相关的法律,除了《网络安全法》《数据安全法》之外,还有《个人信息保护法》,都是和数据保护以及如何使用数据相关的。大家可能都有过这样的经历,如果给一个中介打电话说想租房子,可能第二天会收到十几个不同中介打来的电话。
作为数据安全从业者,我当时就会想数据是怎么被传出去的。从监管的角度来讲,法律法规约束了我们应该如何使用法律。但如何约束员工,或者说企业内部如何确保合规性,这其实是企业的责任。隐私计算这项技术,可以从很大程度上帮助企业规避一些个人信息泄露方面的风险。虽然隐私计算市场目前还处于非常初级的阶段,市场规模也不大,但未来五年的增速可能是TechScape十几个技术点当中最快的一个。
问:您刚才讲到的隐私计算是近年来比较热的数据安全技术,无论是大厂还是创业公司均在布局这项技术,像隐私算法的落地也推动了隐私计算的发展。您刚才讲到这项技术还处在初级阶段,那隐私计算在商业模式方面有没有什么瓶颈?
钟振山:我觉得不一定是商业瓶颈。无论大厂还是小厂,目前产品的完整度或成熟度已足够支撑现有市场的一些需求。但隐私计算是一个比较难理解的概念,企业最终去看这项技术的时候,可能会考虑这项技术到底用在哪里,或者这项技术是不是真正能产生足够大的价值。这可能是CIO的视角,如果一项技术的价值无法量化,CIO或CSO们就会面临很大压力,CEO会询问为何要付出这么大的成本去引进这项技术。但无论是从IDC的角度还是厂商的角度,包括隐私计算在内的任何一项技术,给企业带来的价值都能量化出来。
当引入一项技术的时候,只有把投资回报率讲清楚,CIO们才有信心跟老板提出需求。所以我认为,现在企业中的CIO和CSO们所面临的一个非常大的挑战,就是大家都以为传统的IT或技术部门是一个花钱的部门,对整体业务没有直接影响。但随着越来越多的企业进行数字化转型,这些数字化的业务很大程度上就会依赖企业自身的技术能力。也就是IT部门和安全部门所做的事情会对企业自身业务产生直接影响。所以将技术价值量化的方式,会不断提高技术部门在企业内部的地位,从而让它真正能融入到企业核心业务中去。
问:霍总刚才提到,全球四分之一的数据发生在中国,但中国的数据安全投资只占全球的五分之一。我的问题是,在发展数据安全产业方面,中国相比其他国家有哪些优势和劣势?未来中国在数据安全方面应该加强哪些具体领域的投资?
霍锦洁:我觉得中国的优势就是数据多,相比其他国家有各式各样的数据应用场景,这些不同的场景会给中国的数据安全产业带来非常多的机会。但安全这件事,只在中国内部做好并不够,因为数据是全球互通的。所以我们也要了解一些全球的案列,学习一些他们理解的解决方案,中国这边最重要的还是多做。
钟振山:我补充一下,大家对于数据安全或数据保护最基本的认知,可能只是数据存在哪,然后把它保护好。但现在业界有这样的说法,即数据是一个生命周期,包括数据的采集、传输、存储、使用,甚至到最后的销毁,每个环节都可能出现问题。刚才也讲到,中国将来会成为全球最大的IOT市场,IOT弱口令这件事大家应该都听说过,一个摄像头被黑可能会导致整个内网被攻击。
无论是政府部门还是传统企业,面临的最大问题,就是随着IT和OT不断地融合,IT部门对于安全的意识可能相对高一些,但做生产的OT部门的安全意识可能没那么高,他们使用的各种数字化设备无时无刻都在产生大量数据,这些都是可攻击的对象。
所以从数据安全或数据保护的发展来讲,将来肯定是一个全生命周期的过程,不只是保护好内网的数据库就行了,其实在数据产生的一刹那,就已开始面临着网络安全的风险。在我看来,技术只是保护数据安全的一方面,另一方面则是数据安全意识的提升。企业能不能意识到潜在的安全风险在哪,毕竟只有知道问题在哪,才能去解决。所以数据安全不仅是安全部门或IT部门的事情,可能会涉及到公司所有的员工,只有每个都具有数据安全意识,才能把数据安全风险降到最低。
问:疫情期间,企业运行会有很多新的数据产生,这在数据安全方面会相应增加哪些需求?
钟振山:远程办公零信任的案例,就是由疫情催生出来的。因为疫情带来很多远程办公场景,这其中不仅要远程连接公司内网,还涉及大量的数据交换,如何确保员工在办公室之外也能得到足够的安全保护,对企业来说是一大挑战。Zoom刚火起来的时候也遇到类似挑战,现在很多安全企业也在推零信任的解决方案。
另外一点,企业内部整体的网络环境在不断地复杂化,随着更多的IOT设备的出现,公司内部的网络安全压力不断增大。所以企业在上一个新项目的时候,要考虑到整体安全风险都在存在哪里。企业在做远程办公系统的时候,也要考虑到对公司内网的冲击,是不是有足够的能力保护远程办公的安全,从而保护公司整体的数据核心资产。
本文系观察者网独家稿件,未经授权,不得转载。