来源 :人民邮电报2023-03-02
数字技术在产生社会效益的同时,也加剧了数据安全风险。数字时代,数据涉及个人秘密、企业秘密甚至国家秘密,对于数据安全问题,如果不尽快“对症下药”,将造成难以承受的后果。
全国政协委员、奇安信集团董事长齐向东在提案中表示,数据安全保护任重道远,需要政府主管部门坚持决心,加快推进数据安全合规落地;网安厂商坚守恒心,提升数据安全保障技术创新水平;政企机构坚定信心,建立纵深防御的内生安全系统。
“数据泄露事件频发,凸显数据安全防护面临三大矛盾。”齐向东表示,奇安信威胁情报中心监测发现,2022年1-10月,超过950亿条的中国境内机构数据在海外被非法交易。频频发生的数据泄露事件凸显出数据安全防护面临三大矛盾:
国家法律法规监管加码和政企单位网络数据系统安全防护合规落后之间的矛盾。国家近年出台了《数据安全法》《个人信息保护法》《数据出境安全评估办法》等法律法规,严格划定了数据安全责任红线,但部分单位的“红线意识”不强,数据安全防护措施往往是为了应付上级检查,无法应对随时可能发生的数据安全事件。
数据的高价值性和防护措施投资不足之间的矛盾。企业在数字化转型过程中,积累了大量数据资产,价值都很高,有的是个人隐私,泄露后影响百姓的生活幸福乃至生命财产安全;有的是国家秘密,泄露后会造成巨大损失,危及国家安全;有的是商业秘密,如技术资料、经营数据、用户数据等,泄露后可能使企业研发投资付之东流,企业品牌和名誉受损。投资少、技术落后,缺乏针对性的防护手段造成了大量的数据防护盲点。
数据被大肆贩卖和数据主体后知后觉之间的矛盾。黑客在盗取数据时通常会模拟正常业务,采用“蚂蚁搬家”的策略,避免攻击行为被轻易识别。很多企业缺乏多维度的风险感知能力,甚至数据已经被大量贩卖还不知情。IBM发布的报告显示,2022年识别一起数据泄露事件平均需要207天,遏制一起数据泄露事件平均需要70天。
齐向东建议,要加快推进数据安全合规落地,制定相关法律法规的实施细则,强化网络安全工作一把手责任,对瞒报、漏报网络安全事故依法追究责任,倒逼企业加大网络安全投入。
网安厂商要坚守恒心,以“零事故”为目标,提升数据安全保障水平。实践证明,“零事故”是可以实现的。建议网络安全厂商持之以恒地开展高强度科技创新,重点骨干科创企业连年保持15%以上的研发费用收入占比,用先进技术跑赢网络犯罪;持之以恒地培养高水平网络安全顶尖人才,积累网络攻防对抗实战经验,提升服务质量,杜绝黑客窃取、篡改、删除、勒索数据等重大事故发生。
政企机构要坚定信心,建立纵深防御的内生安全系统。政企单位要承担数据安全主体责任,当涉嫌踩数据安全红线时,能通过技术手段自证清白,自觉接受安全审查。建议政企单位要加大网络数据安全系统建设的投资,安全系统占IT投资比例要达到10%以上。
齐向东表示,以往很多单位都要求“不出大事故”,但随着数字化深入,供电、地铁等都实现智能化,一旦出事故就很难人为控制事故大小,所以建议网络安全遵循“零事故”的目标,杜绝网络安全事故的发生。“零事故”不是零攻破,而是当个别的终端、服务器或者其他的网络资产被破坏时,能快速采取措施,不发生网络安全事故,建议出台“零事故”的标准规范,为政企机构开展安全建设提供明确指引。