从华住酒店集团近6亿条数据被暴露,到点评类网站数据造假,再到微盟公司程序员删库跑路,无数血淋淋的案例告诉我们:对于今天的商业组织,数据就是核心资产和命脉;甚至可以说:“企业经营的本质即数据运营”。与核心数据资产相比,精干的管理人员好像没那么重要,昂贵的设备好像没那么重要,华美的办公楼好像也没那么重要。
同步地,在国家政策不断明晰和行业监管持续引导的大背景下,数据安全已经成为网络安全行业的投融资热点,更是全社会焦点话题。但不尽如人意的是,参与数据安全相关法律法规和行业标准制定的多是部委机关、科研院所以及行业寡头;试点落实数据安全防护技术多是监管单位和大型企业;数据安全保护技术亦呈现出技术壁垒极高,成本造价极高的态势。数据安全似乎与中小企业关系甚少。
事实上,一方面,中小企业是国民经济的重要组成。根据国家经济统计局数据,中小企业占比中国企业总数90%,GDP贡献达全国65%,税收贡献超过50%,并解决75%以上的城镇就业。另一方面,面对数据安全威胁和攻击,中小企业风险抵御能力极差。根据卡巴斯基2019年安全报告,全球46%中小企业遭遇数据泄露。根据2019年Zogby Analytics报告,数据泄露可能导致25%的中小企业破产。
如此,破解中小企业数据安全困局已是势在必行,更要善建慎行。
分析安全威胁,排查致命缺陷
针对数据安全风险,以下内容对中小企业面临的五个最突出安全威胁进行简要分析。
01
管理者对数据价值认知不足,导致投入少关注少
可能的原因:
a.数据价值缺乏量化分析。在数据的货币化价值探索方面,中小企业组无法得到直观的数据价值感知。
b.价值数据缺少持续投入。据统计,中小企业存活周期的平均寿命只有2.9年,由此带来的是体系化数据安全建设周期和资金保障不足。
c.关键业务数据关注较少。企业运营过程中,关注点会放在了业务组织架构和流程,以及业务模型等,在积累大量的价值数据之前,管理层对数据的价值缺少必要的关注,同时在利用数据驱动企业数字化能力方面略显不足。
02
难以打造纵深防御体系,黑客攻击更加容易
与大型企业不同,受限于业务规模和安全投入,中小企业业务架构简洁,网络复杂性低,缺少网络安全的整体性思考。在面对恶意攻击时,较短的攻击路径使得核心数据更容易暴露。中小企业由于在安全投入方面较少,因而无法打造一个完整保护体系,如边界防御、访问控制、网络隔离、应用保护、入侵检测、病毒防御、数据防泄漏等等,缺少层层安全策略,层层操作规则。根据电信运营商Verizon《2019年数据泄露调查报告》对于中小企业,70%数据安全攻击事件,在3个攻击步骤内完成攻击。
03
安全知识储备不足,安全意识仍待提高
中小企业设立1名或多名专职数据管理岗位已然困难;更多,在全社会网络和数据安全专业人员缺口达百万级情况下,中小企业招聘专业安全人员多是“郎有情来妾无意”。
上述情况,可能导致出现常识性安全误区。比如,某中小企业在意识到数据安全重要性后,特别采购满足等保三级要求的云服务器;然而,在使用过程中,不修改默认口令,不关闭特权账号远程登陆,不进行中间件升级,最终导致黑客轻易控制服务器。对于大型企业,安全管理和运营是体系化闭环管理,网络、平台、应用、数据等实现了模块化控制措施部署。
安全意识缺乏亦中小企业重要威胁。传统地,安全意识提升会占较多精力和资源,而且只有大型企业才需要定期开展体系化意识提升。事实上,在日常办公和项目实施中融入意识提升,成本极低,同时得益于规模小,中小企业的安全意识提升效果远超大型企业。
请切记:低级误操作和安全意识缺乏是数据泄露和网络攻击首要原因。
04
开源\免费埋下安全“地雷”
根据Gartner调查报告,99%的组织在IT系统会采用使用开源程序。普遍地,基于技术更新和成本控制等原因,中小企业使用开源组件亦是常态。便利与安全相向而行。据统计,2019年开源软件漏洞较2018年增加50%,平均每1000行代码存在14个安全漏洞。更多的,安全漏洞暴露后,中小企业较难通过外围安全防护设备抑止安全影响,但直接升级程序和加固系统,风险高且难度大。基于此,中小企业修复开源漏洞周期平均超过24个月。
需要深思的是:开源程序安全隐患到底来自哪里?
其一,针对成熟的开源软件,安全再投入困难。一方面,较早的开源项目少有安全投入;另一方面,开源软件经过多年版本更新,要不由3、5个工程师,甚至1个工程师独立开发,安全加固将极大增加时间成本和精力成本;要不由上万人共同迭代,新老版本代码相互调试引用,复盘程序已十分困难,更不提安全构架。种种原因,造成成熟开源软件安全性提升困难大,且成效一般。
其二,新立项目,特别常用互联网应用开源框架项目,获得了企业经费赞助,甚至人力投入(参与核心编码),安全专家亦大量参与。然而,美中不足的是:为了提升代码易用性和扩展性,较多安全配置默认“关闭”。对于大型企业,特别是行业巨头对开源程序或软件安全性重视程度较高。较多企业建立了引入管理、软件版本管理、脆弱性检测、在线告警和补丁测试环境等体系化的管理。然而,对于中小企业,在使用开源代码时,极有可能“一目十行”,根本未关注安全配置。
事实上,中小企业亦通过小行动来强化开源程序安全使用,比如设立安全原则:针对开源程序版本已被CNVD通告存在高风险安全漏洞,则禁止研发人员任何理由使用。比如,根据CIS建立企业安全基线,要求开启开源软件95%以上安全配置。再比如,针对调用开源程序且是项目核心功能,要求兼容二种以上编码语言。
请切记:开源程序安全漏洞被利用是数据泄露和网络攻击第二原因。
05
云化技术应用:天使魔鬼,结伴同路
近五年,云化技术堪称中小企业福音。大量中小企业利用云平台,在轻量化运营前提下,实现业务拓展和产能扩容。更多的,在新冠疫情背景下,工信部文件强调:支持数字化和智能化转型,助力中小企业复工复产。其中,引导大企业及专业服务机构面向中小企业推出云制造平台和云服务平台,推动中小企业业务系统云化部署是重要内容。
姑且,云化技术有安全验证,云化架构有安全设计,云服务商金口玉言,再三承诺贴合业务需求,匹配业务形态,提供可选高品质安全保障。但业务和数据毕竟是自有的,中小企业极需关注云化技术应用中业务和数据安全管理。
第一,云平台安全风险是X86和TCP/IP架构客观,曾记否Slack和CloudFlare安全漏洞泄露数百万用户个人信息,曾记否Verizon的Amazon S3服务器错误配置,泄露1400多万美国用户数据。
第二,在认识到风险后,中小企业可考虑采购国资或知名云服务;同时,根据业务模式和规模选购安全服务(注意:云平台安全服务更加论证了第一点:云平台存在安全风险)。为了减轻经营成本压力,笔者建议优先选购漏洞扫描、服务器加固等价格低但成本高安全服务。在此基础上,结合业务模式,选购业务风险、数据防泄露检测等服务。
理清合规要求,重视战略部署
根据《网络安全法》、《个人信息安全规范》等法律标准要求,网络运营者、数据控制者需要承担数据保护义务。针对中小企业,需要重点关注三个关键合规要求。
01
个人信息保护
掌握持续增长的个性化的个人信息可能是中小企业与行业寡头竞争中的“王牌”。这张“王牌”成立的首要前提做好保护义务。
a.根据《刑法》、《消费者权益保护法》、《数据安全管理办法》诸多法规和国标、行标,个人信息收集、处理、利用受到严格约束和管制。
b.需要强调,个人信息保护是法律约束,经粗略统计,2019年平均每3天新增1个侵害个人信息判例。
02
数据共享安全
流转是数据天然属性,变现也是数据最终目标,但流转不代表随意传播,变现不等于数据售卖。数据共享要求做好事前预防,事中监测,事后审计。
03
数据出境安全
当下,较多中小企业业务涉及跨境交易,同步地,部分数据可能跨境流转。涉及数据出境业务,一方面,需要注意数据接收方所在国法律法规约束,如欧盟GDPR,如新加坡、泰国等国家数据安全保护法令;另一方面,需要注意国内《个人信息出境安全评估办法》等要求。
特别注意,数据安全和网络安全是国家针对全行业国家网络空间安全可控战略要求,是无论规模、形态的企事业都必须遵循安全监管。遵循安全合规需要上升到中小企业主经营管理战略目标。
落地安全战术,践行第一举措
中小企业不适用搭建一个事无巨细的完整数据安全保护框架,宜采用“精准发力,有的放矢”安全战术。以下从意识提升、安全管理、安全技术、专项工作等4方面分析提出优先安全举措来推演中小企业数据安全建设,即从诸多安全举措中找出最迫切选项(本文会给出两个项目以供读者参考)。
01
安全意识
安全意识提升形式多样,方法灵活。考虑到,中小企业经营成本限制和实施便捷要求,建议优先开展两项意识提升工作:
a.案例宣贯。整理个人信息侵害判例或同行业数据泄露事件,在例会前,进行10分钟案例学习,对照分析本企业不足,提升企业主对数据资产价值认识,强化员工违规思想的威慑。
b.知识学习。整理安全运营简要知识或常见设备和系统默认口令或典型安全漏洞分析,在月度总结中,进行30分钟集中学习。
02
安全管理
完整的数据安全管理可能至少覆盖岗位、人员、制度、流程、监管配合等,但对于中小企业可优先尝试如下两项工作来开展数据安全管理:
a.建章立制。不可因为对制度落地期望低,或实施效果差而拒绝建立制度。制度是现代企业管理的“神经”。特别地,对于数据安全工作,制度的建立更是正视数据工作第一步,亦可能成为安全事件发生后,公安机关追责时,相关人员“适当勤奋”第一证明。针对制度执行落地难,第一,建议在企业内部强化安全制度的统一性、权威性和严肃性,要做到“令行禁止”;第二,建议企业减少“家长式”管理,可考虑场景化演练、安全制度专题活动等,增强企业数据安全文化建设,激发执行层员工参与感。
b.聘用兼职顾问。如前文,专职人员培养难、成本高,建议中小企业,特别员工数量不足150人中小企业,建议聘用兼职数据安全顾问进行技能指导。
03
安全技术
大型企业数据安全防护技术可以覆盖整个数据活动生命周期,可能从资产识别,覆盖到分类分级、威胁检测、安全监视等。然而,数据的安全命运可归纳为二种:被破坏、被非法访问(含泄露)。再结合前面安全威胁分析,建议中小企业优先开展如下两项工作:
a.数据备份。不论是本地数据还是云端数据,备份是抵御攻击低成本策略,是降低数据被破坏影响最优解。
b.加密应用。对于非法访问,大型企业极有可能采购和部署完备的访问控制系统,覆盖网络边界、主机服务、应用业务、甚至指令级的权限管理。不足之处,此类访问控制会在后续不断增加管理成本,如访问控制策略要频繁调整,会增加额外人力;如业务或网络扩容,引发访问控制系统同步扩容,会增加额外成本。建议中小企业利用加密技术减缓来自非法访问威胁(加密技术是开放性技术,多数情况下,算法完全公开)。
注:加密并不能解决非法访问,但对于小规模组织,可以减少数据暴露和传播。
04
专项工作
结合威胁分析和合规要求,建议中小企业开展如下两项专项工作。
a.个人信息保护。特别是在2020版《个人信息保护规范》发布后,个人信息保护工作是对全行业刚性要求,中小企业的个人信息保护专项工作需要至少包含隐私政策管理、数据收集授权同意和安全保护(范围、频次)、加密传输、加密存储、不留存原始身份特征数据和及时处置。
b.数据出境管理。数据共享交换安全是企业数据管理重头戏。其中,数据出境尤其需要特别关注。2018年GDPR的实施,对涉欧盟业务的中国企业明确了数据管理要求,更加明确了数据跨境流动的方式和通道。更多,随着《个人信息和重要数据出境安全评估办法(征求意见稿)》和《信息安全技术 数据出境安全评估指南(征求意见稿)》相继发布,显然数据出境合规管理将日趋严格。特别地,针对从事跨境电商、跨境贸易的中小企业,建议至少从数据出境范围管控、数据出境风险评估和影响分析以及数据接收方法律合同约束等方面开展数据出境安全专项工作。