过去四十年,经济史最值得关注的两个宏观变量,一个是经济全球化,另一个是经济网络化、数字化。在很大程度上,两者是一回事,全球化使互联网在全球被广泛应用推动了经济增长,而互联网则让全球经济更紧密联系,物流、信息流、资金流加速运转。无数企业抓住浪潮,快速发展,创造了非常多的商业奇迹。
1997年年初,亚洲金融危机的风暴正在东南亚酝酿。那年4月18日至21日,在深圳召开了全国信息化工作会议,会上通过了一份“国家信息化九五规划和2000年远景目标”,将互联网列入国家信息基础设施建设,并提出建立国家互联网信息中心和互联网交换中心。
(资料图片)
这是在国家层面正式将互联网纳入远景规划。当时中国互联网处在“年幼期”,最早的一批互联网创业者还在模仿发达国家的成熟模式,整个互联网对经济的贡献度可以忽略不计。
毕竟直到11月,中国互联网络信息中心首次发布的《中国Internet发展状况统计报告》显示,截止到1997年10月,中国上网计算机数仅有29.9万台,上网用户数62万,WWW站点数约1500个。
但就是互联网在中国“小荷才露尖尖角”时,国家层面就重视了网络安全问题,在那年12月30日公布了《计算机信息网络国际联网安全保护管理办法》。
可以说,中国互联网与网络安全“同年生”。
1998年是颇具历史性的年份,亚洲金融危机在全球扩散,重创全球经济,但却是全球互联网发展浪潮汹涌澎湃时。只是,初生的互联网世界也很快迎来了第一波风暴,1998年11月2日美国发生了“蠕虫计算机病毒”事件,“蠕虫”在Internet上大肆传染,全美6000多台计算机被感染,造成Internet不能正常运行,这是历史上第一个通过Internet传播的计算机病毒。
此后,病毒、网络攻击就与互联网相伴相生,互联网呈指数级发展,网络攻击也如日增多。
历来,都认为加入WTO是中国经济崛起的巨大动力,其实,在中国加入WTO的时候正赶上了互联网大爆发,使得在承接产业转移、跨国贸易大幅增加时,还赶上了新技术革命,只是,当时很少人预见到后来中国能诞生那么多互联网公司,制造业、服务业会与互联网紧密融合。
经过二十多年的发展,现在中国网民人数已达10.67亿,从2012年到2021年中国数字经济年复合增速达15.9%,移动社交、移动购物、金融理财、出行服务、移动视频、系统工具、生活服务等领域的月活跃用户规模均在数亿。互联网扩大了企业的市场半径,能以更低的成本服务更多客户,更快的速度响应客户需求,互联网与基建网双网合一,使得中国拥有全球第二大规模的数字经济,以及在各领域提供服务的数字经济企业。
除了狭义的互联网企业,制造业、交通物流、医疗、教育等行业也都全面接入互联网,运用网络技术进行升级改造。占GDP30%左右的制造业,从设计研发、生产、销售、财务、运维管理等整个环节都越来越离不开互联网,数字化与工业化深度融合,一些大型制造业企业的服务器集群规模并不输一般的互联网企业。
企业数字化程度深入,网络攻击也如影随形,随便搜一搜就能搜出《某社交媒体平台被暴力破解导致数据泄露,涉及1.7亿用户》《某汽车披露数据安全事件:部分数据遭窃取 被勒索1567万元》《某券商OA系统遭攻击,影响移动办公》《某保险公司遭受黑客攻击,大量客户信息泄露》《黑客长期潜伏国内一外贸企业邮箱,骗走200余万美元货款》等新闻。
由此可见,不仅仅是互联网/移动互联网企业会遭到网络攻击,制造业、金融业、外贸、酒店等等所有使用网络的企业都可能会遭到攻击,轻则数据泄露,重则被勒索,更有甚者就是服务器被挟持用于攻击重要目标。攻击者也不一定就是盯上有庞大服务器集群、数据的互联网企业,因为随着工业互联网的发展,制造业企业不但运用网络服务,自身也有服务器集群,其数据可能被窃取,其生产控制权限可能被劫持,其服务器可能被挟持。
随机问了几家企业,在极其有限的样本中,就发现有遭遇过攻击,对企业的影响是极其麻烦的。
也就是说,如果不重视网络安全,点状的风险扩散成严重的安全“风暴”,公司的服务器成了“帮凶”,引来难以解释的麻烦和后续整改、处罚。
一、没有安全就没有发展
国家层面非常重视互联网安全问题,在“中国互联网元年”,仅有30万左右台联网计算机时,就出台《安全保护管理办法》,近年来更是出台《网络安全法》《个人信息保护法》《数据安全法》《工业和信息化领域数据安全管理办法(试行)》等一系列法律法规,尤其是《网络安全法》规定了网络运营者、网络产品和服务提供者等主体的义务和责任,以及网络安全的管理和保护措施;对个人信息的保护也提出明确要求。
也就是网络安全主体责任压实到运营者、服务提供者。
这也是全世界越来越明确的合规要求。美国的《国家网络安全战略》要求所有处理个人数据的实体更加关注保护数据,软件厂商对技术的安全性负有更多直接的责任。欧盟的《网络弹性法案》要求投放欧盟市场的互联网硬件和软件产品的制造商、进口商和分销商必须遵守增强的网络安全要求,以及《通用数据保护条例》对数据进行严格监管,该条例不仅适用于欧盟境内的企业,还适用于任何涉及对欧盟居民数据进行使用的企业,违反的企业或被处以数亿欧元的罚款。
亚马逊、Meta等企业都领教过,因违反GDPR,分别被处以7.46亿欧元、12 亿欧元的罚单。
从全球范围来看,网络安全已经不仅仅是是防范被网络攻击,还涉及到数据安全、数据合规、隐私保护、内容安全等等,是一整套合规性要求,不但要求企业有相应的措施、设备、技术,还要在组织架构、企业文化等方面满足要求,也即“合规之墙”。
因此,国外一些大公司已经大幅增加网络安全方面的投入,谷歌母公司AIphabet计划在未来三年内将网络安全方面的投资增加至100亿美元。花旗集团表示将投入13亿美元用于网络安全方面的研究和开发。摩根大通则宣布推出专门的网络安全部门,以进一步保护其企业和客户的数据安全。等等。
但我实际走访发现,大部分企业对网络安全还是相当漠视的,或者说还认为仅仅是公司采购点安全软件或服务,最多在IT部门配置一个小型安全团队。
一位网络工程师告诉我,“一般有安全团队的都算重视的了,还没有安全团队的,老板大多都是目前还没被搞过,或者被搞了损失的不是自己,比如自己的网站用户信息泄露,只是用户账号密码被偷了,老板又不会受到什么直接损失。”
这可能是为什么网络安全事件频发的重要原因,过去对安全、合规要求不高,企业老板就往往不重视安全和合规,以发展为优先甚至是唯一选项,所有资源都倾注于发展,忽视安全投入,哪怕企业的体量已经很大,在出事故之前仍然怀着侥幸心理,将安全部门、合规部门视为成本中心,能省则省,将安全、合规视为桎梏,能少就少,粗放式发展形成惯性思维,蒙眼狂奔。
另一位安全服务咨询师告诉我,“国内企业的安全都靠后,先功能先发展再安全,甚至是不出事就不管安全。”
在过去,网站被撞库泄露用户数据,可能掩盖掩盖就过去了。但在合规要求日渐严格的现在,责任落实到企业主体,再发生因安全防护不达标导致被攻击数据泄露的事故,就会付出代价。
代价不仅仅是重罚,因为用户、客户也开始重视数据隐私,一旦自己使用的服务的数据被泄露,也会对该公司失去信任甚至避而远之,导致用户、客户大量流失。
某车企就发生过遭遇大规模用户数据泄露后,面临攻击者的勒索要挟,使企业遭受巨额索赔和名誉受损等多重损失。
经济发展,用户暴增,业务上网使得企业掌握的数据量呈指数级增长,而正如中国人民大学商学院教授毛基业认为的:在数据量低的阶段,安全后果相对可控;在数据量爆炸的当下,数据安全事件造成的后果是“核弹级”。
所以,全球的数据安全、合规标准完善是各国当局、民众重视起来合力推动的,只会越来越严格,处罚力度越来越大。
其实,换个角度思考,市场竞争到一定阶段后,安全就成为企业的品牌和新核心竞争力,安全做得好,能让用户信任,加大好感度,更愿意接受服务,形成口碑和品牌;安全做得好,企业的业务就有保障,能更从容发展,避免爆发安全大事件导致口碑崩塌和用户、客户流失。
当下激烈的市场竞争对企业能力的要求是全方位的,数字化往往是重要抓手。随着云计算、大数据、AI、物联网等技术飞速进步,企业数字化体系的边界在不断拓展。为了应对日益加剧的市场竞争,企业在生产、财务、营销、客服等环节不断数字化,数字化帮助很多企业在短短数年就成长为大型企业,这在很多行业都有案例。
但在企业经营越来越依赖全链条数字化的时代,任何一个节点都可能存在漏洞,只有数字化的能力,但安全的底座没有同步夯实。那么除了财务被窃取、被种木马等隐患,在营销环节也会遭遇越来越多被“黑产薅羊毛”,导致企业为获客投入的巨额营销费用被薅得一干二净。2018年底,星巴克上线“APP注册新人礼”营销活动,就被黑产利用机器大量注册虚假账号领取优惠券,致使活动被迫紧急下线。
此外,如果企业遭遇网络攻击,数字支持系统服务停摆,那么损失的就不仅仅是中断期间的销售额,还会引发声誉风险。2022年5月,印度香料航空公司因遭受勒索软件攻击,导致航班取消,旅客被迫滞留机场。10月,麦德龙遭遇网络攻击,IT和支付服务被迫中断,在德国、法国、奥地利等多国的超市受影响,在线订单延误。等等。
大公司家底厚、品牌影响力大,还能暂时承受起索赔、罚款、声誉短期受损,但还在成长期的公司一旦发生类似的情况,可能财务、声誉就会被击穿,轻则被竞争对手赶超,重则关门谢客。
所以在这个时代,安全并不是发展的对立面,而是发展的基石,安全能力也是企业核心竞争力之一。这越来越成为一种共识,根据《2023企业安全建设水平抽样调研报告》显示,超过一半的CSO认为安全能力缺失会制约企业的发展。
在企业发展的每个阶段都必须匹配相应的安全能力,小有小的需求,大有大的要求,它是帮助企业发展的助推剂,应该伴随企业的发展同步升级,贯穿于企业发展当中。在企业规模尚小的时候,就应重视安全问题,有远景规划,每个阶段进行相应的投入,这部分投入绝不是能省则省的“开销”,而是和发展业务的投入一样,是投资。
“小”投入办“大”事,只有打好安全底座,才能支撑起业务的发展,支撑起业务要做的合规要求,防护业务快速发展后面临的种种攻击,建立起的屏障保护业务合规、平稳发展。
这份必要投资,绝不能等“出了事再说”。
二、安全必须前置
在走访过程中,有业内人士吐槽,不少企业对安全投入的理解是,“老板们让咨询公司在纸面上写好安全规范和流程,做一些整改,认为就够了就安全了,轮不到安全公司染指。”
当然,也有企业早早就重视了安全问题,采购了设备、软件和服务,配置了相应的人手,甚至有些还有“技术崇拜”的倾向,认为只要配了技术和人手就高枕无忧。
但这些来自不同供应商的软件、服务、设备只是个个都是孤岛,看似堆了设备堆了前沿技术,但无法互联互通,无法形成统一体系,也缺乏维护,导致漏洞不断暴露,并且不具备随着风险变化而升级应对的能力。
企业不断在发展,所面临的风险等级会增加,合规、安全要求也会相应提高,服务一百名客户和服务一万名客户到服务千万级、亿级客户所需要的能力完全不在一个数量级,相应的所用于支撑发展的安全能力也不是一个数量级。
因此,企业需要构建一套自扩展、弹性、自适用的安全架构,这套架构不但是整体性的安全技术和服务,还根植于企业的发展战略、组织架构、组织文化里,形成一种“免疫力”,抵御各种潜在和现实的安全威胁。
这就是“数字安全免疫力”。经过多年发展,企业已经从数字化转型时代进入到数字化业务时代,由于数字化体系具有开放、高效等特征,传统事件驱动型的安全战术,“亡羊补牢”代价太大,会让企业面临巨大风险,因此不应再专注于攻防和事件的被动安全模式,而是要转变为面向未来部署和企业长远发展,构建完整的、基于风险与合规的安全体系。
这个理念在IDC发布的《加强数学安全免疫力,促进数字化时代下的韧性发展》白皮书里多有阐述。总的来说,数字安全免疫力强调前置投入,将安全要素融入至企业的战略、管理、文化、运营流程中,打通平台、技术、能力等层面的壁垒,建立数据安全治理和业务风险控制两座免疫“堡垒”,做好网络防护、数据合规、隐私保护、内容合规等,保障企业平稳发展。
(来源:《数字安全免疫力白皮书》)
企业和人一样,有生命周期,因此在企业发展的“不同年龄”(阶段,针对不同需求,接种相应“疫苗”。如同接种疫苗应由专业医护来做,数字安全同样也要由专业厂商来做,企业与其闭门造车,不如借助专业安全厂商所提供的能力/服务,针对自身情况,加强针对特定风险的抵御能力。
毕竟从风险角度来看,全球网络攻击的频次和损失日渐增多,如果说过去攻击者多少带着“炫技”的成分,那么现在的攻击越来越倾向于经济利益,IDC数据显示早期企业遭勒索金额平均在100~200美元之间,而到2021年,此类攻击导致的经济损失已达到百万美元级别。至于那种借道企业服务器“肉鸡场”对国家安全形成威胁的攻击,随着地缘局势复杂性加剧,威胁程度也在上升。
从数据量来看,根据IDC统计,2021年全球创造了84.4ZB数据,预计到2026年,全球数据量将达到221.2ZB,年复合增长率达到 21.2%。企业在发展过程中会存下大量高价值的数据,这些数据是企业未来发展的重要资产,但正如一位企业安全负责人所言:“数据在哪里,价值就在哪里,攻击就在哪里。”
过去攻击者可能只是把偷盗来的数据包小范围分享,而今数据价值的显露引发大批黑色产业的觊觎,攻击者通过爬虫、木马、漏洞等技术手段,再结合社会工程学方法进行拖库、撞库,频繁攻破企业的安全防线,实施勒索或者贩卖数据,给企业带来惨痛经济损失。
而在合规性要求严格、用户重视隐私的当下,企业遭受经济损失的同时,还会面临严重的法律风险和社会舆情压力。
这些变化,企业应该重视,甚至不仅仅是CSO要重视,企业的当家人更应该重视。
因为安全投入的价值产出不够直观和显性,也难以量化,在风险爆发前,很多时候无法引起企业决策层和管理层的足够重视,企业安全建设更多就是被动式的投入以及应对检查、评审,做面子工程,无法形成自上而下的安全意识。
企业里所有人都是围绕着当家人的意识、意志运转,如果当家人缺少对安全、合规价值的战略认知,让企业形成数字安全免疫力,别说落实到预算,连中层都传达不到。
这就给企业的安全和后续发展埋下巨大隐患,成为“不定时炸弹”。
安全领域有个悖论是:安全工作做足,一直风平浪静,老板就心疼起钱来,觉得没啥事还要花钱,很可能就把这块预算给砍了,结果防护力削弱,发生风险,造成更大的损失。
其实,相比起建立“数字安全免疫力”后,企业业务能安全发展所带来的价值,这个预算其实也是对业务投资的一部分,正如IDC中国副总裁、首席分析师武连峰所言,“投入安全的钱其实是小钱,反而如果不重视安全造成事件,那损失的钱可能是大钱。”
这个“钱”不一定只是金钱。
由于对数据的价值有了共识,所以安全行业要保护的对象始终在升级,不但国家层面在这方面有更多的法律法规和部署,企业话事人也应该更早意识到:自己的核心资产绝不能丢了。