近年来,随着云计算、人工智能等新兴技术的发展,数据价值的发现和流通速度加快,数据安全问题不断凸显也越来越突出。例如,2020年1月,英国政府泄露了2800万未成年人的数据。2020年4月,德国政府因冠状病毒主题的网络钓鱼攻击损失了数千万欧元。2020年6月,美国200多家公安机构泄露了296GB的数据文件,2020年10月,希腊电信巨头遭到黑客攻击,大量用户个人信息被泄露。2021年4月,苹果代工厂“广达”遭到国际黑客组织REvil的攻击。电脑内MacBookPro图纸等各类机密文件数据,通过加密勒索赎金(约3.2亿元)。这些不仅对公众和社会公共利益造成威胁和损害,甚至会严重损害相关政府部门和行业的声誉。全国政协委员、上海市信息安全行业协会名誉会长谭建峰表示,数据有价值就有风险,只是程度或影响不同。这是一个普遍而普遍的问题。那么,从行业角度来看,医疗、金融、能源、工业等各个行业都存在哪些数据安全风险,又可以采取哪些防护措施来控制风险呢?医疗数据高度敏感,能源和工业数据高度敏感。价值近年来,数据面临的威胁和风险迅速升级。据美国电信巨头Verizon发布并参与调查的81个国家的《2020年数据泄露调查报告》(以下简称泄密报告)显示,72%的数据安全事件受害者在大型企业,70%的数据泄露涉及外部入侵。由于各行业数据的特点和价值不同,其安全风险呈现出不同的特点,受损程度也不同。中关村网络安全与信息产业联盟理事长、联盟数据与信息安全智库专家刘尊良表示,行业数据安全风险的大小取决于两个基本因素,一是数据的价值;二是数据价值。二是数据泄露后果的严重性。以医疗行业为例,北京师范大学国际互联网法治中心执行主任吴申阔表示,医疗行业的特点是拥有大量患者的健康状况数据,这些数据是高度敏感和私密的。这些数据一旦泄露,可能会影响后续的诊治,也会给患者的生活和工作带来比较大的负面影响。“除了数据泄露,数据勒索也是医疗行业普遍存在的数据安全隐患,将构成严重威胁。”广东工业大学教授刘文银说。根据一份泄露的报告,针对医疗行业的勒索软件攻击连续两年占所有恶意软件事件的70%以上。另一个例子是能源和工业。吴申阔指出,能源是国家的基础战略资源,能源行业的数据实际上关系到国家的战略安全;而在工业领域,随着工业对提高制造业生产力和竞争力的重要性越来越大。工业数据的高价值特征越来越突出,这使得工业数据也成为黑客攻击的重点目标。今年5月,美国最大的石油管道因勒索软件攻击而关闭。黑客利用加密技术锁定殖民地管道运输公司的计算机系统,窃取机密文件,企图以解锁为条件勒索赎金。该公司一度被迫关闭整个能源供应网络,极大地影响了美国东海岸的燃料等能源供应。根据工信部发布的《关于工业大数据发展的指导意见》,我国34%的联网工业设备存在高危漏洞。这些设备的制造商、型号、参数等信息长期被恶意嗅探,仅2019年上半年,“嗅探”事件就高达5151万起。谭建峰表示,能源和工业领域更加复杂,不是纯粹的信息系统,工控系统与物理世界交互密切。社会重大灾害和群体性事件。因此,保障工业控制系统的生产数据安全被能源和工业企业视为重中之重。同时,谈建峰指出,近年来,随着新兴技术的兴起,智能工厂技术不断成熟,这使得此前封闭的数据墙无可避免。工业领域的数据安全压力陡然上升,安全管理的挑战也越来越严峻。.85%的数据泄露是由人为因素造成的,医疗保健行业因员工疏忽而导致的数据泄露占23%。那么,是什么导致了这些行业的数据安全风险。刘尊良指出,总体上可分为外部入侵和内部风险。外部入侵主要是由于入侵者有足够的动力、精力和机会。一方面,他们可以获得巨大的利益;另一方面,由于各行业的网络相对开放,也为外部入侵者创造了可乘之机。刘尊良表示,内部风险主要是内部人员会受到各种利诱,使其承担风险,通过非法对外提供数据获取利益。由于各行各业数据的特点不同,其产生安全风险的原因也不同。85%的数据泄露都有人为因素。有外部因素,但更多的是内部因素。谭建峰指出,正所谓坚固堡垒,往往由内而外攻破。从已披露案例来看,内部人为因素占74%。一方面,员工疏忽和无意违规也是重要原因。例如,2020年,娱乐行业34%的数据泄露是由员工粗心造成的;在医疗保健行业,尽管有严格的规定,但由于员工疏忽造成的数据泄露仍然占到23%。另一方面,也可能存在为谋取私利或以泄私愤为目的的故意违规行为。近年来,因个人利益而导致数据泄露的案件数量开始上升,个人泄愤案件也频频出现。更极端的表现是“删库跑路”。根据IBM的《2020年数据泄露成本报告》(以下简称成本报告;本报告年份指发布年份。2020年报告中分析的数据泄露事件发生在2019年8月至2020年4月之间。),科技、交通、零售金融行业因恶意攻击导致数据泄露的比例最高;而研究和公共部门因人为错误而导致数据泄露的比例最高。此外,系统故障是环境和消费行业数据泄露的根本原因。刘文银指出,对于企业来说,一旦发生数据安全风险事件,不仅需要赔偿用户,还需要支付政府的罚款,以及事后的法律费用和公关费用,这些都是企业付出的代价必须付钱。刘文银表示,根据GDPR(《通用数据保护条例》)的相关规定,数据隐私泄露的违法罚款最高可达全球营业额的4%(最高可达200??0万欧元)。5%(最高5000万元人民币),加上个人责任人的额外责任和罚款,最高100万元人民币。由于各个行业的特点不同,他们为数据安全风险付出的代价也不同。根据成本报告数据,医疗保健行业的数据泄露成本最高,平均总成本最高。其次是能源和金融服务行业,这些行业的数据价值也比较大。而且,受更严格监管要求约束的组织平均数据泄露成本更高,例如医疗保健、能源、金融服务和制药,其中数据泄露的平均总成本明显高于监管较少的行业,例如酒店、媒体,和研究。谈建峰指出,随着形势的变化,数据安全风险的成因和来源更加复杂。总的来说,随着工作环境趋于开放,网络和信息系统需要更加安全和灵活,这在一定程度上也会带来新的数据安全问题,也增加了分析原因的难度。问题。“主动防御”是解决各行业数据安全问题的关键。那么,面对这些数据安全风险,各行业应该采取怎样的应对措施,也是业界数据安全问题中的一个重要问题。刘文银指出,目前各行业数据泄露的解决方案更多的是解决问题。当发现数据风险时,采取相应的解决方案。但这些“被动防御”滞后,不能从根本上解决体制机制问题。根据成本报表数据,识别各个行业的风险需要一定的时间,长短不一。金融行业识别风险所用时间最短,为177天,而医疗保健行业所用时间最长,为236天。同时,风险识别后,需要一定的时间来控制风险,大致在50-100天之间。报告数据显示,各行业数据风险识别和管控基本需要200-350天。这个时间越长,数据风险带来的危害就越大。数据泄露成本最高的医疗行业,需要最长的时间来识别和控制风险。因此,传统的网络安全防控方式,即发现风险、识别风险、控制风险的路径已经行不通。中关村网络安全与信息产业联盟副理事长、数据安全治理专业委员会主任刘晓涛表示,解决数据安全风险问题,不能事后追溯,而应立足于行业的特点。“主动”防御。他指出,例如在医疗行业,对于高度敏感、容易受到黑客攻击的数据,可以采用数据库防火墙或数据安全网关等保护措施加强保护;对于价值高、易被数据勒索的医疗数据,或因运维人员疏忽造成数据泄露等问题,可采取数据脱敏等相关技术措施。“再比如能源行业,目前国家电网平台已经实现了数据共享,数据的互联网化会带来一些新的风险。”刘小涛说道。针对这个问题,刘晓涛认为,可以先对这些数据进行梳理,然后通过数据态势感知或者数据管控运维平台,平台化措施,再加上数据加密或者防火墙,可以用于特别保护。数据安全保护除了技术手段外,还要靠管理。刘文银表示,数据安全“三靠技术,七靠管理”,管理问题是重点和难点。谈建峰指出,在管理上,可以从三个方面防范数据安全风险。一是政府要加强对数据安全行业的扶持和监管;等相关法律法规,制定严谨细化的数据安全管理制度并严格执行,对数据实行分级分散管理,最大限度降低核心数据泄露风险;三是企业要加强对全体员工网络安全意识的教育和培训,提高员工的网络安全意识和技能,做好数据安全保护工作。
