過去四十年,經濟史最值得關注的兩個宏觀變量,一個是經濟全球化,另一個是經濟網絡化、數字化。在很大程度上,兩者是一回事,全球化使互聯網在全球被廣泛應用推動了經濟增長,而互聯網則讓全球經濟更緊密聯系,物流、信息流、資金流加速運轉。無數企業抓住浪潮,快速發展,創造了非常多的商業奇跡。
1997年年初,亞洲金融危機的風暴正在東南亞醞釀。那年4月18日至21日,在深圳召開了全國信息化工作會議,會上通過了一份“國家信息化九五規劃和2000年遠景目標”,將互聯網列入國家信息基礎設施建設,并提出建立國家互聯網信息中心和互聯網交換中心。
(資料圖片)
這是在國家層面正式將互聯網納入遠景規劃。當時中國互聯網處在“年幼期”,最早的一批互聯網創業者還在模仿發達國家的成熟模式,整個互聯網對經濟的貢獻度可以忽略不計。
畢竟直到11月,中國互聯網絡信息中心首次發布的《中國Internet發展狀況統計報告》顯示,截止到1997年10月,中國上網計算機數僅有29.9萬臺,上網用戶數62萬,WWW站點數約1500個。
但就是互聯網在中國“小荷才露尖尖角”時,國家層面就重視了網絡安全問題,在那年12月30日公布了《計算機信息網絡國際聯網安全保護管理辦法》。
可以說,中國互聯網與網絡安全“同年生”。
1998年是頗具歷史性的年份,亞洲金融危機在全球擴散,重創全球經濟,但卻是全球互聯網發展浪潮洶涌澎湃時。只是,初生的互聯網世界也很快迎來了第一波風暴,1998年11月2日美國發生了“蠕蟲計算機病毒”事件,“蠕蟲”在Internet上大肆傳染,全美6000多臺計算機被感染,造成Internet不能正常運行,這是歷史上第一個通過Internet傳播的計算機病毒。
此后,病毒、網絡攻擊就與互聯網相伴相生,互聯網呈指數級發展,網絡攻擊也如日增多。
歷來,都認為加入WTO是中國經濟崛起的巨大動力,其實,在中國加入WTO的時候正趕上了互聯網大爆發,使得在承接產業轉移、跨國貿易大幅增加時,還趕上了新技術革命,只是,當時很少人預見到后來中國能誕生那么多互聯網公司,制造業、服務業會與互聯網緊密融合。
經過二十多年的發展,現在中國網民人數已達10.67億,從2012年到2021年中國數字經濟年復合增速達15.9%,移動社交、移動購物、金融理財、出行服務、移動視頻、系統工具、生活服務等領域的月活躍用戶規模均在數億。互聯網擴大了企業的市場半徑,能以更低的成本服務更多客戶,更快的速度響應客戶需求,互聯網與基建網雙網合一,使得中國擁有全球第二大規模的數字經濟,以及在各領域提供服務的數字經濟企業。
除了狹義的互聯網企業,制造業、交通物流、醫療、教育等行業也都全面接入互聯網,運用網絡技術進行升級改造。占GDP30%左右的制造業,從設計研發、生產、銷售、財務、運維管理等整個環節都越來越離不開互聯網,數字化與工業化深度融合,一些大型制造業企業的服務器集群規模并不輸一般的互聯網企業。
企業數字化程度深入,網絡攻擊也如影隨形,隨便搜一搜就能搜出《某社交媒體平臺被暴力破解導致數據泄露,涉及1.7億用戶》《某汽車披露數據安全事件:部分數據遭竊取 被勒索1567萬元》《某券商OA系統遭攻擊,影響移動辦公》《某保險公司遭受黑客攻擊,大量客戶信息泄露》《黑客長期潛伏國內一外貿企業郵箱,騙走200余萬美元貨款》等新聞。
由此可見,不僅僅是互聯網/移動互聯網企業會遭到網絡攻擊,制造業、金融業、外貿、酒店等等所有使用網絡的企業都可能會遭到攻擊,輕則數據泄露,重則被勒索,更有甚者就是服務器被挾持用于攻擊重要目標。攻擊者也不一定就是盯上有龐大服務器集群、數據的互聯網企業,因為隨著工業互聯網的發展,制造業企業不但運用網絡服務,自身也有服務器集群,其數據可能被竊取,其生產控制權限可能被劫持,其服務器可能被挾持。
隨機問了幾家企業,在極其有限的樣本中,就發現有遭遇過攻擊,對企業的影響是極其麻煩的。
也就是說,如果不重視網絡安全,點狀的風險擴散成嚴重的安全“風暴”,公司的服務器成了“幫兇”,引來難以解釋的麻煩和后續整改、處罰。
一、沒有安全就沒有發展
國家層面非常重視互聯網安全問題,在“中國互聯網元年”,僅有30萬左右臺聯網計算機時,就出臺《安全保護管理辦法》,近年來更是出臺《網絡安全法》《個人信息保護法》《數據安全法》《工業和信息化領域數據安全管理辦法(試行)》等一系列法律法規,尤其是《網絡安全法》規定了網絡運營者、網絡產品和服務提供者等主體的義務和責任,以及網絡安全的管理和保護措施;對個人信息的保護也提出明確要求。
也就是網絡安全主體責任壓實到運營者、服務提供者。
這也是全世界越來越明確的合規要求。美國的《國家網絡安全戰略》要求所有處理個人數據的實體更加關注保護數據,軟件廠商對技術的安全性負有更多直接的責任。歐盟的《網絡彈性法案》要求投放歐盟市場的互聯網硬件和軟件產品的制造商、進口商和分銷商必須遵守增強的網絡安全要求,以及《通用數據保護條例》對數據進行嚴格監管,該條例不僅適用于歐盟境內的企業,還適用于任何涉及對歐盟居民數據進行使用的企業,違反的企業或被處以數億歐元的罰款。
亞馬遜、Meta等企業都領教過,因違反GDPR,分別被處以7.46億歐元、12 億歐元的罰單。
從全球范圍來看,網絡安全已經不僅僅是是防范被網絡攻擊,還涉及到數據安全、數據合規、隱私保護、內容安全等等,是一整套合規性要求,不但要求企業有相應的措施、設備、技術,還要在組織架構、企業文化等方面滿足要求,也即“合規之墻”。
因此,國外一些大公司已經大幅增加網絡安全方面的投入,谷歌母公司AIphabet計劃在未來三年內將網絡安全方面的投資增加至100億美元。花旗集團表示將投入13億美元用于網絡安全方面的研究和開發。摩根大通則宣布推出專門的網絡安全部門,以進一步保護其企業和客戶的數據安全。等等。
但我實際走訪發現,大部分企業對網絡安全還是相當漠視的,或者說還認為僅僅是公司采購點安全軟件或服務,最多在IT部門配置一個小型安全團隊。
一位網絡工程師告訴我,“一般有安全團隊的都算重視的了,還沒有安全團隊的,老板大多都是目前還沒被搞過,或者被搞了損失的不是自己,比如自己的網站用戶信息泄露,只是用戶賬號密碼被偷了,老板又不會受到什么直接損失。”
這可能是為什么網絡安全事件頻發的重要原因,過去對安全、合規要求不高,企業老板就往往不重視安全和合規,以發展為優先甚至是唯一選項,所有資源都傾注于發展,忽視安全投入,哪怕企業的體量已經很大,在出事故之前仍然懷著僥幸心理,將安全部門、合規部門視為成本中心,能省則省,將安全、合規視為桎梏,能少就少,粗放式發展形成慣性思維,蒙眼狂奔。
另一位安全服務咨詢師告訴我,“國內企業的安全都靠后,先功能先發展再安全,甚至是不出事就不管安全。”
在過去,網站被撞庫泄露用戶數據,可能掩蓋掩蓋就過去了。但在合規要求日漸嚴格的現在,責任落實到企業主體,再發生因安全防護不達標導致被攻擊數據泄露的事故,就會付出代價。
代價不僅僅是重罰,因為用戶、客戶也開始重視數據隱私,一旦自己使用的服務的數據被泄露,也會對該公司失去信任甚至避而遠之,導致用戶、客戶大量流失。
某車企就發生過遭遇大規模用戶數據泄露后,面臨攻擊者的勒索要挾,使企業遭受巨額索賠和名譽受損等多重損失。
經濟發展,用戶暴增,業務上網使得企業掌握的數據量呈指數級增長,而正如中國人民大學商學院教授毛基業認為的:在數據量低的階段,安全后果相對可控;在數據量爆炸的當下,數據安全事件造成的后果是“核彈級”。
所以,全球的數據安全、合規標準完善是各國當局、民眾重視起來合力推動的,只會越來越嚴格,處罰力度越來越大。
其實,換個角度思考,市場競爭到一定階段后,安全就成為企業的品牌和新核心競爭力,安全做得好,能讓用戶信任,加大好感度,更愿意接受服務,形成口碑和品牌;安全做得好,企業的業務就有保障,能更從容發展,避免爆發安全大事件導致口碑崩塌和用戶、客戶流失。
當下激烈的市場競爭對企業能力的要求是全方位的,數字化往往是重要抓手。隨著云計算、大數據、AI、物聯網等技術飛速進步,企業數字化體系的邊界在不斷拓展。為了應對日益加劇的市場競爭,企業在生產、財務、營銷、客服等環節不斷數字化,數字化幫助很多企業在短短數年就成長為大型企業,這在很多行業都有案例。
但在企業經營越來越依賴全鏈條數字化的時代,任何一個節點都可能存在漏洞,只有數字化的能力,但安全的底座沒有同步夯實。那么除了財務被竊取、被種木馬等隱患,在營銷環節也會遭遇越來越多被“黑產薅羊毛”,導致企業為獲客投入的巨額營銷費用被薅得一干二凈。2018年底,星巴克上線“APP注冊新人禮”營銷活動,就被黑產利用機器大量注冊虛假賬號領取優惠券,致使活動被迫緊急下線。
此外,如果企業遭遇網絡攻擊,數字支持系統服務停擺,那么損失的就不僅僅是中斷期間的銷售額,還會引發聲譽風險。2022年5月,印度香料航空公司因遭受勒索軟件攻擊,導致航班取消,旅客被迫滯留機場。10月,麥德龍遭遇網絡攻擊,IT和支付服務被迫中斷,在德國、法國、奧地利等多國的超市受影響,在線訂單延誤。等等。
大公司家底厚、品牌影響力大,還能暫時承受起索賠、罰款、聲譽短期受損,但還在成長期的公司一旦發生類似的情況,可能財務、聲譽就會被擊穿,輕則被競爭對手趕超,重則關門謝客。
所以在這個時代,安全并不是發展的對立面,而是發展的基石,安全能力也是企業核心競爭力之一。這越來越成為一種共識,根據《2023企業安全建設水平抽樣調研報告》顯示,超過一半的CSO認為安全能力缺失會制約企業的發展。
在企業發展的每個階段都必須匹配相應的安全能力,小有小的需求,大有大的要求,它是幫助企業發展的助推劑,應該伴隨企業的發展同步升級,貫穿于企業發展當中。在企業規模尚小的時候,就應重視安全問題,有遠景規劃,每個階段進行相應的投入,這部分投入絕不是能省則省的“開銷”,而是和發展業務的投入一樣,是投資。
“小”投入辦“大”事,只有打好安全底座,才能支撐起業務的發展,支撐起業務要做的合規要求,防護業務快速發展后面臨的種種攻擊,建立起的屏障保護業務合規、平穩發展。
這份必要投資,絕不能等“出了事再說”。
二、安全必須前置
在走訪過程中,有業內人士吐槽,不少企業對安全投入的理解是,“老板們讓咨詢公司在紙面上寫好安全規范和流程,做一些整改,認為就夠了就安全了,輪不到安全公司染指。”
當然,也有企業早早就重視了安全問題,采購了設備、軟件和服務,配置了相應的人手,甚至有些還有“技術崇拜”的傾向,認為只要配了技術和人手就高枕無憂。
但這些來自不同供應商的軟件、服務、設備只是個個都是孤島,看似堆了設備堆了前沿技術,但無法互聯互通,無法形成統一體系,也缺乏維護,導致漏洞不斷暴露,并且不具備隨著風險變化而升級應對的能力。
企業不斷在發展,所面臨的風險等級會增加,合規、安全要求也會相應提高,服務一百名客戶和服務一萬名客戶到服務千萬級、億級客戶所需要的能力完全不在一個數量級,相應的所用于支撐發展的安全能力也不是一個數量級。
因此,企業需要構建一套自擴展、彈性、自適用的安全架構,這套架構不但是整體性的安全技術和服務,還根植于企業的發展戰略、組織架構、組織文化里,形成一種“免疫力”,抵御各種潛在和現實的安全威脅。
這就是“數字安全免疫力”。經過多年發展,企業已經從數字化轉型時代進入到數字化業務時代,由于數字化體系具有開放、高效等特征,傳統事件驅動型的安全戰術,“亡羊補牢”代價太大,會讓企業面臨巨大風險,因此不應再專注于攻防和事件的被動安全模式,而是要轉變為面向未來部署和企業長遠發展,構建完整的、基于風險與合規的安全體系。
這個理念在IDC發布的《加強數學安全免疫力,促進數字化時代下的韌性發展》白皮書里多有闡述。總的來說,數字安全免疫力強調前置投入,將安全要素融入至企業的戰略、管理、文化、運營流程中,打通平臺、技術、能力等層面的壁壘,建立數據安全治理和業務風險控制兩座免疫“堡壘”,做好網絡防護、數據合規、隱私保護、內容合規等,保障企業平穩發展。
(來源:《數字安全免疫力白皮書》)
企業和人一樣,有生命周期,因此在企業發展的“不同年齡”(階段,針對不同需求,接種相應“疫苗”。如同接種疫苗應由專業醫護來做,數字安全同樣也要由專業廠商來做,企業與其閉門造車,不如借助專業安全廠商所提供的能力/服務,針對自身情況,加強針對特定風險的抵御能力。
畢竟從風險角度來看,全球網絡攻擊的頻次和損失日漸增多,如果說過去攻擊者多少帶著“炫技”的成分,那么現在的攻擊越來越傾向于經濟利益,IDC數據顯示早期企業遭勒索金額平均在100~200美元之間,而到2021年,此類攻擊導致的經濟損失已達到百萬美元級別。至于那種借道企業服務器“肉雞場”對國家安全形成威脅的攻擊,隨著地緣局勢復雜性加劇,威脅程度也在上升。
從數據量來看,根據IDC統計,2021年全球創造了84.4ZB數據,預計到2026年,全球數據量將達到221.2ZB,年復合增長率達到 21.2%。企業在發展過程中會存下大量高價值的數據,這些數據是企業未來發展的重要資產,但正如一位企業安全負責人所言:“數據在哪里,價值就在哪里,攻擊就在哪里。”
過去攻擊者可能只是把偷盜來的數據包小范圍分享,而今數據價值的顯露引發大批黑色產業的覬覦,攻擊者通過爬蟲、木馬、漏洞等技術手段,再結合社會工程學方法進行拖庫、撞庫,頻繁攻破企業的安全防線,實施勒索或者販賣數據,給企業帶來慘痛經濟損失。
而在合規性要求嚴格、用戶重視隱私的當下,企業遭受經濟損失的同時,還會面臨嚴重的法律風險和社會輿情壓力。
這些變化,企業應該重視,甚至不僅僅是CSO要重視,企業的當家人更應該重視。
因為安全投入的價值產出不夠直觀和顯性,也難以量化,在風險爆發前,很多時候無法引起企業決策層和管理層的足夠重視,企業安全建設更多就是被動式的投入以及應對檢查、評審,做面子工程,無法形成自上而下的安全意識。
企業里所有人都是圍繞著當家人的意識、意志運轉,如果當家人缺少對安全、合規價值的戰略認知,讓企業形成數字安全免疫力,別說落實到預算,連中層都傳達不到。
這就給企業的安全和后續發展埋下巨大隱患,成為“不定時炸彈”。
安全領域有個悖論是:安全工作做足,一直風平浪靜,老板就心疼起錢來,覺得沒啥事還要花錢,很可能就把這塊預算給砍了,結果防護力削弱,發生風險,造成更大的損失。
其實,相比起建立“數字安全免疫力”后,企業業務能安全發展所帶來的價值,這個預算其實也是對業務投資的一部分,正如IDC中國副總裁、首席分析師武連峰所言,“投入安全的錢其實是小錢,反而如果不重視安全造成事件,那損失的錢可能是大錢。”
這個“錢”不一定只是金錢。
由于對數據的價值有了共識,所以安全行業要保護的對象始終在升級,不但國家層面在這方面有更多的法律法規和部署,企業話事人也應該更早意識到:自己的核心資產絕不能丟了。
關鍵詞:
營業執照公示信息
