艾瑞:中国数据安全与挑战
摘要:数据已经成为一国经济和社会发展的重要生产要素,对于数据的利用和保护不当也可能导致一国政治、经济、卫生、教育,乃至军事领域的重大安全威胁。万物皆数的世界,保护和利用好数据就是守卫国家安全。 |
外部威胁以及政策驱动下,中国网络和数据安全产业迎来发展黄金机遇。
数据已经成为一国经济和社会发展的重要生产要素,对于数据的利用和保护不当也可能导致一国政治、经济、卫生、教育,乃至军事领域的重大安全威胁。万物皆数的世界,保护和利用好数据就是守卫国家安全。
为保障大数据产业的健康发展,中国政府制定了雄心勃勃的产业发展计划。据工信部2021年7月发布的《网络安全产业高质量发展三年行动计划(2021-2023年)》(征求意见稿),到2023年,中国网络安全相关开支将超过2500亿元,相比2020年66%的增长空间。这将改变国内网络安全发展总体慢于科技行业的发展的被动局面。
全球日益增长的数据安全威胁
数据越来越多,价值也被更多的发现,针对数据的全球网络攻击威胁日渐上升。
2021年5月,一个专业黑客组织入侵了美国最大的燃油管道运营商科洛尼尔公司的燃油运输系统,导致该公司对其绝大部分输油管道失去控制权,该黑客组织同时窃取了该石油公司大约100GB的数据,事件波及全美5000万人燃油需求。后来科洛尼尔公司用了75个比特币(约440万美元)作为赎金才重新赎回管道控制权。
这是一起典型的网络勒索威胁事件,美国司法部的一位高级官员将这种现象比作“大规模杀伤性网络武器”。美国政府对此表态,勒索软件可能是美国面临的最严重网络安全威胁,按照目前的态势,这个问题在未来几年只会越来越严重。
一个月后,问题再度出现。6月10日,美国全球最大的肉联厂(JBS)遭遇俄罗斯黑客攻击。JBS拒绝支付黑客7.5万美元的比特币,但是后来公司花了1800万美元才重新恢复系统。与JBS遭遇勒索差不多同时的时间,麦当劳以及美国清洁能源公司Invenergy等也遭遇了黑客的勒索。今年8月,全球知名咨询公司埃森哲的客户数据库遭遇了黑客攻击。
经济领域的网络攻击无处不在,卫生领域同样存在安全威胁。
美剧《国土安全》描述了这样的情节,男主将副总统心脏起搏器的序列号告诉恐怖分子,让他们能在地球的另一端控制副总统的生死。美国《大西洋月刊》2018年1月一篇报道援引了2008年密歇根大学一组研究人员的研究结果,该结果表明,对于身体内安装了心脏起搏器的病人来说,黑客完全可以从起搏器中提取敏感的个人信息,并可以远程改变起搏行为或者直接将其关闭来威胁病人的生命安全,其评论到,“云连接的医疗设备可以挽救生命,但也会引发有关隐私、安全和监督的问题”。
医学和科技的结合,令“千里之外杀人于无形之中”成为可能,现实的案例是美国前副总统切尼。为防止意外的发生,切尼于2013年关闭了其体内植入的心脏起搏器的无线功能,以防止任何的外部关联。
全球网络攻击呈现上升趋势,尤其勒索软件。据网络安全服务商Check Point今年7月发布的《网络攻击趋势:2021年中报告》,2021年,美国平均每周遭受443次攻击,与今年早些时候相比增加了17%;在欧洲、中东及非洲地区,平均每周所遇攻击次数为777次,增长了36%;亚太地区每周遭受1338次攻击,增长13%。
另据《华尔街日报》援引区块链分析公司Chainalysis提供的信息,2020年,勒索软件受害者至少向犯罪分子支付了价值3.5亿美元的加密货币,金额增长了311%,另有安全专家和网络安全官员估计,目前勒索软件每年给美国经济造成总计数以十亿美元计损失。
下表为年初至今全球重要的网络安全事件:
资料显示,数据泄露是数据安全方面的最大挑战。国内安防龙头奇安信(688561.SH)今年2月份发布了一份《中国政企机构数据安全风险研究报告》。报告提到,奇安信从某暗网交易平台上抽样收录了2019年5月-2020年2月以来发布的6357则交易信息,约11.7亿条可交易数据。个人数据的黑色交易泛滥成灾,骚扰电话、大数据杀熟、垃圾邮件和短信等损害了每个人的利益。根据调查,超过40%的数据安全事件由外部攻击导致,14%是由于内部人员的违规操作造成,13%是由于合作伙伴,如供应商和服务商泄露。
勒索软件横行,数据泄露频发,暗示了不少拥有大量敏感数据的科技公司面临的安全风险不容低估。同时,这些事件也说明目前科技先行,再求安全的发展模式存在风险隐患。
科技要发展,安全应该先行。数据泄露会给企业乃至国民经济运行,公共卫生、农业生产、运输物流等带来严重冲击,并可能引发领域严重后果。推动网络与数据法规建设,加强数据安全治理,维护国家安全,刻不容缓。
中国大数据战略的压舱石——网络与数据安全
人类已经从IT时代迈入DT时代(数据时代)。以5G、云计算等为代表的技术进步,算法的不断改善,驱动了全球互联网的蓬勃发展以及数据的大爆发。未来20年,全球将有50亿人联网,目前中国有10亿网民,到2035年,全球生产和存储的数据总量将达到2142ZB(泽字节),涵盖交通、零售、工业、教育、卫生、政务等社会经济各个领域。
大数据在中国的地位也不断攀升,数字经济快速发展。信通院数据显示,2020年,数字经济规模39.2万亿,相比2005年增长近16倍,占GDP的比重从原来的14.2%上升至2020年的38.6%。
大数据上升为国家战略
大数据,正在成为社会经济发展新的驱动力,并将重新定义大国博弈的空间。大数据时代,世界各国对数据的依赖快速上升,国家竞争焦点已经从资本、土地、人口、资源的争夺转向了对大数据的争夺。未来国家层面的竞争力将部分体现为一国拥有数据的规模、活性以及解释、运用的能力,数字主权将成为继边防、海防、空防之后另一个大国博弈的空间。
基于这样的原因,全球各国都在加强大数据的国家与安全治理。美国是最早对大数据技术革命做出战略反应的国家,早在2003年就制定了《大数据研究和发展计划》,2014年颁布《大数据:把握机遇,维护价值》,利用大数据提升国家治理水平和国家竞争优势。欧盟、英国、日本、韩国等国家都根据本国情况制定了相应的大数据发展战略,旨在利用大数据改造传统治理模式,提振经济增长。
一些国际组织也十分关注大数据发展。联合国启动实施“全球脉动”(Global Pulse)项目,利用“大数据”准确预测某些地区的失业率、支出削减和疾病爆发,促进全球经济发展和公共服务管理。八国集团发布了《G8开放数据宪章》,提出要加快推动数据开放和利用。
中国政府对大数据的发展与治理,总体上落后于西方。不过,经历几年的摸索正在走向成熟,目前已经形成了从顶层设计到配套政策落地实施在内的相对完整规划体系。
顶层设计方面,网络与数据安全风险上升至国家安全高度,大数据成为经济发展的国家战略。
2015年7月,全国人大常委会审议通过新的《国家安全法》并实施,替代1993年的《国家安全法》。新的《国家安全法》强调“总体安全观”,国家安全的概念从传统的主权、国土以及政权安全延伸至非传统领域的经济安全、科技安全、信息安全、网络安全、文化安全等。
《国家安全法》第二十五条规定,“国家建设网络与信息安全保障体系,提升网络与信息安全保护能力……实现网络和信息核心技术、关键基础设施和重要领域信息系统及数据的安全可控;加强网络管理,防范、制止和依法惩治网络攻击、网络入侵、网络窃密、散布违法有害信息等网络违法犯罪行为,维护国家网络空间主权、安全和发展利益”。
在此基础之上,2016年11月,《网络安全法》正式颁布并于2017年6月实施,这是网络领域维护国家安全的第一部法律。《网络安全法》从设施、运行、数据以及内容安全四个层面对于政府、企业和个人行为予以规范。其中,数据安全是指保障网络数据的完整性、保密性和可用性,不受破坏、窃取和损害;此外,基于个人信息安全被纳入网络安全的范畴,这也导致了《个人信息保护法》在今年的正式公布实施。
大数据逐步上升为国家战略。2015年3月发布的《中共中央关于制定国民经济和社会发展第十三个五年规划的建议》提出,拓展网络经济空间,推进数据资源开放共享,实施国家大数据战略,超前布局下一代互联网。这是我国首次提出推行国家大数据战略。
2021年,《国民经济和社会发展第十四个五年规划和2035年远景目标纲要》正式颁布,实施大数据国家战略确定为国家战略方向,“完善适用于大数据环境下的数据分类分级保护制度。加强数据安全评估,推动数据跨境安全有序流动”成为政策目标。
《国家安全法》与大数据国家战略,兼顾国家安全与发展的时代主题,成为统筹未来网络安全及数据安全发展的纲领性文件,后续配套法规政策陆续落地。
就大数据战略来说,不断落地生根的标志性事件是大数据被确定为生产要素。2020年4月,《中共中央国务院关于构建更加完善的要素市场化配置体制机制的意见》(以下简称《意见》)正式颁发。这是中央第一份关于要素市场化配置的文件,《意见》明确了要素市场制度建设的方向和重点改革任务。其中,数据被作为一种新型生产要素写入文件中,与土地、劳动力、资本、技术等传统要素并列。
数据作为新型生产要素,只有流通、分享、加工处理才能创造价值,这离不开数据的安全与保护。
“三足鼎立”的数据安全法规体系
配套法规建设方面,围绕大数据的生产与再生产,贸易与流通,中国形成了以《国家安全法》为总纲,《网络安全法》、《数据安全法》和《个人信息保护法》三部法律(“三足鼎立”)为基础的法律监管体系,并以一些部门规章以及政策性文件等作为补充。
职责分工方面,综合前述各项法律规定,大致形成由国家安全委员会总牵头,网信办具体负责,以及国家相关部委统筹参与的立体分工体系。
具体来看,《网络安全法》从设施、运营、数据以及内容安全四个维度对于未来的网络安全进行法规约束,并通过部门分工或者协作的方式制定和颁布进一步的安全细则,如《网络安全审查办法》、《关键基础设施信息保护条例》以及《网络信息内容生态治理规定》等。
《数据安全法》则围绕“收集、存储、使用、加工、传输、提供、公开”这样的数据处理流程,对于大数据的各参与方进行法规约束,违反相关安全措施的行为方将受到严厉惩罚。刚刚公布的《个人信息保护法》,主要从个人信息保护应遵循的原则和信息处理规则等方面进行约束,法规明确个人信息处理活动中的权利义务边界,以增强个人在数字经济时代的安全感。
伴随细分的行业配套法案陆续落地,比如《信息安全技术网络安全等级保护基本要求》、《关键信息基础设施安全保护条例》、《网络安全产业高质量发展三年行动计划(2021-2023年)》,以及最近刚刚征求意见的《关于加强智能网联汽车生产企业及产品准入管理的意见》等。
总括来看,从数据安全的技术角度出发,目前已经建立起围绕大数据的隐私、数据安全以及平台运营三个层面的立体监管框架。他们构成中国大数据产业安全发展的压舱石。
遵循网络与数据安全相关规定是相关政府部门、企业以及个人应尽的义务,企业以及个人不履行相关义务的,主管部门将对其予以处罚,轻则警告,责令改正,重者处以数万元甚至数千万的罚款,严重的还可能的,还可能从触及刑事责任。
以《数据安全法》第45条规定为例,开展数据处理活动的组织、个人,“违反国家核心数据管理制度,危害国家主权、安全和发展利益的,有有关主管部门处二百万元以上一千万元以下罚款,并根据情况责令暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照,构成犯规的,依法追究刑事责任’”。
行业发展角度不得不提的一个典型事件是天津国资云。天津国资云事件表面看来只是市场与监管的博弈,但是更深层面的问题则是监管部门对于推动数字交易以及安全的时代紧迫感,推动大数据发展(如打破数据孤岛)以及基础设施安全治理(关键基础设施)的信号不容置疑。
合规创造价值,数据安全市场迎来黄金机遇
外部威胁以及政策驱动下,中国网络和数据安全产业迎来发展黄金机遇。关键问题是,这一产业规模到底有多大?
现状并不是很理想。长期以来,中国网络安全的发展落后于科技业务的发展。国家统计局从2018年开始才正式对外公布信息安全收入数据,彼时全年收入1163亿元,占软件收入的比重1.88%;2020年,尽管收入上升为1495亿元,但是占比1.84%,与2018年几乎没有变化。从2018年至2020年,信息安全收入增长29%,慢于信息软件收入32%的增长率。
国际对比来看,据IDC数据,2017年,中国安全业务占IT投入的1.88%,全球平均水平为4.13%,存在一倍以上的差距。这一发展差距未来将被弥补。
网络安全产业过去多年发展总体落后于软件产业,很大程度上源于企业的被动“合规”需求。随着外部威胁的快速增长,以及政策与法规的驱动,企业对于网络与数据安全的需求将呈现“内驱式”快速增长。
此外,为了推动企业遵循《网络安全法》,以及《信息安全技术网络安全等级保护基本要求》(等保2.0)等法规要求,公安部于2021年修正了等保2.0的评测模板。据修正后的评测模板以70分为及格线,同时对于安全缺陷采取扣分制,且对于关键指标的评分如果不符合实行3倍扣分,重要测评指标不符合2倍扣分。新版评测模板倡导动态安全。初步评测结果显示,新版评测导致大量企业不满足安全要求,或者得分大幅下降,这将直接带动网安业务的增长。
企业终将理解,合规才能创造价值。
从行业基础看,足够的迹象显示,大数据的发展在加速。2021年,行业内有三个重大的产业动向。一个是2021年6月21日首批9只基础设施公募REITs公开上市交易,此举将进一步缓解云计算、大数据相关基础设施的建设资金瓶颈。一个是7月份工信部印发《新型数据中心发展三年行动计划(2021-2023年)》,此举从大数据产业发展的角度,属于基础设施先行。第三个是今年7月,上海宣布探索设立数据交易所,力争年内出台数据条例,为数据要素市场建设筑牢法制基础。
从行业变革的角度,推进中的上海数据交易所的建立影响深远,目的在于打通数据要素流通的各关键环节,让数据成为经济发展的动力。可以想见,随着数据交易所的建立,以及大数据规模的蓬勃发展,数据的交易将快速发展。如何维护数据收集、存储、交易和传输的安全等,成为云服务商以及数字生产企业的刚需。
另据《网络安全产业高质量发展三年行动计划(2021-2023年)(征求意见稿)》规定,2023年,网络安全产业规模将超过2500亿元,年复合增长率超过15%;该计划还规定电信等重点行业网络安全投入占信息化投入比例要达10%。
行业机会方面,未来安全领域多个细分都存在较好的发展空间。以车联网为例,随着电动汽车的发展,两年后车联网将是一个约5000亿元的黄金产业,智能驾驶的发展离不开车联网的安全保驾护航。云计算方面,据艾瑞咨询此前研究结果,云计算几年后是一个近万亿的黄金赛道,云计算的发展必然带动安全产业的发展。
技术趋势方面,随着技术进步,5G的进一步发展,“云”将逐步取代企业传统的物理(硬件)边界,这也意味着企业间“安全”边界的消失。企业如何更好的保护自己的数据安全,从事云服务的厂商如何更安全的服务客户,都是挑战,这也是行业发展的机会,尤其是隐私计算领域或将迎来爆发。
责任编辑:张华