數(shù)字化轉(zhuǎn)型大潮下,數(shù)字安全意識和安全文化至關重要
出處:中外企業(yè)文化
作者:Frank
網(wǎng)編:中外企業(yè)文化
2022-06-10
“數(shù)字化是所有中小企業(yè)面臨的挑戰(zhàn)與機遇���,未來五到十年之后����,不做數(shù)字化轉(zhuǎn)型的企業(yè)就會被淘汰����。” 6月9日��,三六零(下稱“360”)公司創(chuàng)始人周鴻祎在2022中小企業(yè)數(shù)字化論壇上表示��。同時���,周鴻祎表示���,360將推出Saas產(chǎn)品“企業(yè)安全云”�,面向中小微企業(yè)免費提供終端�、網(wǎng)絡���、軟件、數(shù)據(jù)��、資產(chǎn)及防勒索等全方位數(shù)字化安全與管理服務。
周鴻祎表示���,中小微企業(yè)往往是關鍵基礎設施和大型企業(yè)供應鏈中的一環(huán)�,極容易成為國家數(shù)字安全的短板,從國家數(shù)字經(jīng)濟發(fā)展的全局考慮�,中小微企業(yè)不能掉隊,數(shù)字化不能變成只是少數(shù)有錢企業(yè)的專利����,數(shù)字安全一個都不能少��。
事實上�����,近幾年數(shù)字安全事件屢見不鮮,提升數(shù)字安全����,保護數(shù)字資產(chǎn),已經(jīng)成為越來越多的企業(yè)關心的話題���,而其中����,企業(yè)管理者的數(shù)字安全意識���,企業(yè)的數(shù)字安全文化往往成為被忽視的話題。
2022年5月�,俄羅斯黑客組織KillNet正式向美國�����、德國�、英國����、意大利等西方10國“宣戰(zhàn)”���,數(shù)小時后,意大利國家警察官網(wǎng)就成為了第一個“受害者”�����,在持續(xù)崩潰三十個小時之后才得以恢復��。
2022年4月�,北京健康寶遭受境外網(wǎng)絡攻擊的消息登上微博熱搜��。北京市委宣傳部對外新聞處副處長隗斌介紹���,北京健康寶在使用高峰期間,遭受到境外網(wǎng)絡攻擊�。北京健康寶保障團隊進行了及時有效應對��,受攻擊期間健康寶相關服務未受影響��。
2021年12月���,阿里云計算有限公司被工信部網(wǎng)絡安全管理局暫停作為網(wǎng)絡安全威脅信息共享平臺合作單位6個月,起因是����,阿里云發(fā)現(xiàn)阿帕奇(Apache)Log4j2組件嚴重安全漏洞隱患后�����,未及時向電信主管部門報告,未有效支撐工信部開展網(wǎng)絡安全威脅和漏洞管理�。
2021年4月��,來自106個國家的超過5.33億Facebook用戶數(shù)據(jù)被泄露,其中包括不少知名人士和公眾人物���,甚至Facebook創(chuàng)始人扎克伯克也在其中�����。而事實上早在2019年�,F(xiàn)acebook就曾因泄露5000萬用戶數(shù)據(jù)給劍橋分析公司,而收到美國聯(lián)邦貿(mào)易委員會50億美元的天價罰單����。
……
相信所有人都能感覺到,黑客���、網(wǎng)絡攻擊�����、數(shù)據(jù)泄露……這些曾經(jīng)只存在于科幻電影中的名詞�����,已經(jīng)離我們越來越近����。特別是新冠肺炎疫情以來,數(shù)字經(jīng)濟發(fā)展提速��,企業(yè)數(shù)字化轉(zhuǎn)型腳步加快�����,整個社會正跑步邁入數(shù)字文明時代,而隨著數(shù)字化向社會各領域的加速滲透�����,網(wǎng)絡安全風險與挑戰(zhàn)也與日俱增����,數(shù)字安全已經(jīng)成為經(jīng)濟發(fā)展中一個繞不開的話題��。
頂層設計——構建數(shù)字經(jīng)濟安全體系
今年5月17日�,全國政協(xié)通過專題協(xié)商會形式,對“推動數(shù)字經(jīng)濟持續(xù)健康發(fā)展”進行協(xié)商建言。全國政協(xié)委員����、360集團創(chuàng)始人周鴻祎在會上表示,“隨著數(shù)字經(jīng)濟與各行業(yè)融合��,未來所有的產(chǎn)業(yè)都將數(shù)字化��。數(shù)字經(jīng)濟發(fā)展的勝負手就是 ‘安全’�����,筑牢了安全的屏障��,就是提高了發(fā)展的效率和質(zhì)量�����;守住了安全的底線,就是守住了發(fā)展的成果���。因此要從保障數(shù)字經(jīng)濟發(fā)展的大局出發(fā)����,以底線思維���,考慮極端情況,統(tǒng)籌傳統(tǒng)安全與非傳統(tǒng)安全���,將網(wǎng)絡安全升級為數(shù)字安全�����,真正構建數(shù)字安全體系,為智慧城市���、產(chǎn)業(yè)數(shù)字化等保駕護航�����。”
事實上���,近些年來在數(shù)字化轉(zhuǎn)型進程中���,我國已建立了較為完善的數(shù)據(jù)合規(guī)法律體系����,隨著《網(wǎng)絡安全法》《數(shù)據(jù)安全法》和《個人信息保護法》等法律法規(guī)相繼發(fā)布和實施���,數(shù)據(jù)流通及使用在法律、政策層面的頂層設計初步完善����。
今年1月12日�,國務院依據(jù)《中華人民共和國國民經(jīng)濟和社會發(fā)展第十四個五年規(guī)劃和2035年遠景目標綱要》��,正式發(fā)布《“十四五”數(shù)字經(jīng)濟發(fā)展規(guī)劃》(以下簡稱《規(guī)劃》)�,要求著力強化數(shù)字經(jīng)濟安全體系�����,提升數(shù)據(jù)安全保障水平����,數(shù)字安全又一次在頂層設計規(guī)劃層面受到高度重視。
《規(guī)劃》第四章要求�,支持市場主體依法合規(guī)開展數(shù)據(jù)采集�����,聚焦數(shù)據(jù)的標注��、清洗��、脫敏�����、脫密����、聚合、分析等環(huán)節(jié)�,提升數(shù)據(jù)資源處理能力,培育壯大數(shù)據(jù)服務產(chǎn)業(yè)……推動數(shù)據(jù)分類分級管理����,強化數(shù)據(jù)安全風險評估、監(jiān)測預警和應急處置�。
《規(guī)劃》第九章要求��,著力強化數(shù)字經(jīng)濟安全體系����,提升數(shù)據(jù)安全保障水平�。規(guī)范數(shù)據(jù)采集、傳輸�����、存儲����、處理、共享、銷毀全生命周期管理��,推動數(shù)據(jù)使用者落實數(shù)據(jù)安全保護責任……健全完善數(shù)據(jù)跨境流動安全管理相關制度規(guī)范。推動提升重要設施設備的安全可靠水平��,增強重點行業(yè)數(shù)據(jù)安全保障能力。進一步強化個人信息保護�����,規(guī)范身份信息���、隱私信息�、生物特征信息的采集、傳輸和使用,加強對收集使用個人信息的安全監(jiān)管能力�。
與此同時�,國家也在加大對侵犯隱私和泄露數(shù)據(jù)等違法行為的打擊力度����。據(jù)工信部公布的數(shù)據(jù)顯示,2021年全年工信部組織對208萬款App進行了技術檢測,通報違規(guī)1549款�、下架514款�����,有力整治違法違規(guī)行為。
顯然�����,正如《中國紀檢監(jiān)察報》評論所說���,過去部分互聯(lián)網(wǎng)企業(yè)針對個人信息“野蠻掘金的時代”已經(jīng)成為過去����。在新的數(shù)字安全體系下�����,企業(yè)應該重新尋找自己的位置�����。
企業(yè)管理——數(shù)字安全意識亟待加強
傳統(tǒng)企業(yè)對于安全生產(chǎn)的重視基本已形成共識,但隨著企業(yè)數(shù)字化轉(zhuǎn)型加速�����,越來越多的傳統(tǒng)企業(yè)投入數(shù)字化大潮,數(shù)字技術融入到每個人的生活和工作�,數(shù)字安全已經(jīng)不再是互聯(lián)網(wǎng)企業(yè)專業(yè)人士的 “獨門絕技”�,而應成為數(shù)字時代人人需要理解的常識�。
從這個角度上來說�,當前很多企業(yè)管理者和員工,數(shù)字安全觀念還相對淡薄����。以下這組數(shù)據(jù)或能說明一些問題——
2017卡巴斯基實驗室和B2B International調(diào)查報告顯示:2017年�,每年有46%的IT安全事故是由企業(yè)員工造成的���。52%的受調(diào)查企業(yè)承認員工是他們IT安全中最薄弱的一環(huán)�����。
SolarWinds數(shù)據(jù)顯示����,2019年����,在所有的網(wǎng)絡意外中,超過65%是由內(nèi)部的失誤而引起的意外�,內(nèi)部因素對網(wǎng)絡安全有更大威脅。
Verizon 2020年數(shù)據(jù)泄露調(diào)查報告顯示�,2017-2019年,數(shù)據(jù)泄露事件根源中����,唯一逐年遞增的行為類型是內(nèi)部人員的錯誤,如錯誤操作�����、錯誤配置等,錯誤配置相比于上一年增加了2倍多�����。
人是安全問題的根源����,也是安全防御的核心。這在網(wǎng)絡安全行業(yè)其實已經(jīng)是一種共識�,安全體系要發(fā)揮作用,必須要建立以人為核心的運營機制�。只有構建了完整的安全運營團隊,才能真正實現(xiàn)檢測和響應�,最終提升防御能力,降低響應時間����,才能真正解決問題。因此��,企業(yè)數(shù)字安全體系的建設�����,需要基于人來構建業(yè)務體系設計和安全技術體系�,通過人與技術的協(xié)同,建立以人為核心的安全體系�。而在這個過程中,數(shù)字安全意識的樹立無疑是重中之重���。
如何建立數(shù)字安全意識����,首先不能把數(shù)字安全只當作專業(yè)人士或者專業(yè)工具的事�����,要對所有員工開展培訓�����、宣傳強化員工的數(shù)據(jù)安全意識��,把數(shù)據(jù)安全文化納入企業(yè)文化體系�����。其次是規(guī)范數(shù)據(jù)采集�、流轉(zhuǎn)和使用流程,建立數(shù)據(jù)安全管理制度。最后是明確數(shù)據(jù)安全責任���,落實到每一位員工�。
數(shù)字經(jīng)濟時代�����,數(shù)據(jù)已經(jīng)成為重要的基礎性戰(zhàn)略資源�����,更是企業(yè)的核心資產(chǎn)����,數(shù)據(jù)應用能力決定著企業(yè)的市場競爭力。而《網(wǎng)絡安全法》《數(shù)據(jù)安全法》《個人隱私保護法》等相關法律的施行����,不僅明確了政府部門的監(jiān)督管理職責,更對數(shù)據(jù)管理者���、運營者以及個人信息處理者的數(shù)據(jù)保護責任進行了明確的規(guī)范����。這些都在為企業(yè)敲響警鐘,加強企業(yè)的數(shù)字安全意識����,提升數(shù)字安全管理水平����,平衡安全與發(fā)展的關系,應該成為每一個企業(yè)需要重視和解決的問題���。
文/Frank
