大家好,我是童磊,很高兴有这个机会跟大家去分享。新冠疫情突然发生之后,我们生活工作发生了很多的变化。
首先做一下自我介绍,我是来自于德勤风险咨询的总监童磊。我在行业内已有超过16年的网络安全咨询和管理经验。今天的内容会贯穿我自己积累的一些项目经验,以及现在大家在生活和工作中遇到的一些安全事件,跟大家一起互动沟通。
今天的内容主要会分为六个部分,首先一起回顾下全球的网络安全现状。
在新冠疫情的影响下,我们其实出现了很多新的安全风险,结合全球现状,我们定位在中国,尤其是近期发生在我们身边的一些安全事件,这些安全事件的背后,看看安全管理和安全技术有哪些值得我们去思考和提升的?
结合事件,纵观我们国内现有的安全服务产品,以及结合现有的一些客户事件,展望未来,看如何能够帮助我们的企业,帮助我们的整个的这样的各行各业的工作人员,去快速恢复生产,恢复我们的工作。
我也会结合德勤全球的最佳实践案例,以及相关项目经验,跟大家共同探讨业务连续性、等保2.0、GDPR、云安全云部署相关的最新解决方案,跟大家互动几个比较热的话题,以及基于我们最佳实践全球团队做出的一些安全解决方案的介绍。
01全球网络安全现状
今年的新冠疫情,毋庸置疑的是最大的一次黑天鹅事件。大家的业务与工作都大部分转战到了家庭办公,远程办公。有条件的企业可能已经有很成熟的移动办公解决方案。但是没有条件的一些中小企业,他们为了恢复业务,可能会需要用第三方的办公软件、实时通讯软件来进行业务拓展。
这个就必然面临着一个新的安全风险,哪些数据可以在公有网络上传输,哪些信息,包括视频和语音信息,是否涉及到安全隐私问题,其实都是在疫情下我们必须要面临的挑战。
同时在整个网络安全行业里,其实大家可以看到这个图,我罗列了近两年内最新的最典型的一些安全事件,这些事件其实都来源于我们德勤全球不同的威胁情报中心,有一些是我们收集到的最新的安全事件,然后把它发布到我们的威胁情报数据库里,我们会基于实践进行分析,设计出相应的最佳解决方案。
所以我们看到不同的安全事件背后其实都会有一些问题,比如从社交媒体、新闻里可以看到越来越多的数据泄露、隐私、罚款等事件。
这些事件都有一个特点,就是越来越多的企业和社会都已经认识到了信息安全的重要、网络安全的重要、隐私安全的重要,这些事件都可以归类成一些叫灰犀牛事件。
这些事件的特点就是通过我们结合最佳实践和已有的安全控制,已经能够在一定程度上控制这些风险事件的发生,或者我们可以在一定程度上控制这些事件发生之后的影响。
我们在新冠疫情期间发生的安全事件。比如说3月NBA巨星科比事件,这种信息泄露会给每一个人的日常生活带来非常不好的影响。对于企业来说,大家也可以看到二月底的微盟事件。
微盟事件其实也是发生在我们疫情最敏感、最关键期间的一个典型安全事件。从事件影响上及从网络安全的所有这些事件来分析,大部分的事件都是源于企业的数据或者个人信息数据泄露。
当然也有一部分数据属于业务数据,像微盟数据,它其实是属于业务数据,业务数据的中断、删除和被窃取,会给企业客户带来非常巨大的影响,这些影响可能是经济上的损失。微盟所有业务中断,要花费1亿的赔偿给到相关中小型商户。
像国泰航空事件也是一样,因为个人信息泄露,导致整个公司都面临合规机构处罚的天价罚款。从我们刚才分析的这些事件背后,可以看到大部分事件都集中在个人或者业务信息,这些信息都是结合越来越多的企业在信息化转型,在越来越多的业务上云的过程中,伴随发生的。
个人信息在企业线上活动,以及电商经营活动上是非常重要的。尤其现在我们使用了很多像大数据、精准营销等相关技术,就更加依赖于我们掌握到的客户信息,这些客户信息其实是有巨大的商业价值的,这其实也告诉我们在信息安全事件发生的背后,其实是有一个发展或者逐渐升级的过程。
原来的信息安全事件可能是以伴随着破坏恶意的攻击为目的,而现在大部分的事件都是基于利益驱使造成的安全泄漏。
我们通过全球的信息安全调查得出,中国的个人信息泄露已经非常严重,已经超过55亿的个人信息条目被泄露。同时大概62%日常使用的的APP,都存在不当使用、收集个人信息的行为,这些个人信息在我们使用社交媒体,使用在线APP应用时,都给我们个人甚至给企业带来风险。
对个人来说,我们个人隐私可能受到侵犯,对企业来说,他可能面临国际上的GDPR、欧盟的GDPR合规的要求处罚,以及中国的个人信息相关法律法规的处罚。
在黑产日益严峻的情况下.目前不官方的一个数据是将近万条个人信息数据,它的经济价值其实可能已经超过万美元。如何保护我们的个人信息,是全球共同面临的问题和挑战。大家其实也知道在个人信息保护方面,全球现在主要有几个很大的安全管理体系,中国在个人信息安全规范的要求和进程中,也是非常和世界同步的。
我们可以看到中国版的信息安全规范,在近期内正式发布了更新版。这个更新版其实已经很大程度上跟欧盟的GDPR数据通用保护条例相同步。
大家也可以看到像欧盟GDPR从年正式公布实行以来,其实它也有相关的一系列指南在欧盟的网站上进行对全社会的公开征集,这里我们也可以看到在全球最严或者是相对来说最完善的信息安全管理规范的制度和政策的推动下,个人信息安全的管理力度在向全球蔓延。
大家可以看到近期内其他国家以国家为首进行集中发布,像美国有隐私框架1.0,于今年年初正式颁布。去年年底,美国加州法案也是基于专门针对个人消费者的个人信息,进行合理合规,要求企业遵从的法律。英国也是针对青少年保护儿童隐私发布了相关法律。
尽管英国现在还在考虑脱欧过渡时期的问题,但是针对欧盟所有的个人信息保护的规范,GDPR已经相对成熟的落地,并且执行效果贯穿到整个欧盟成员国和相关的区域国家中。东南亚其实也是一样,我们现在也陆续接到东南亚的一些客户企业的需求,像印度、泰国这些国家,同样在陆续颁布个人信息安全规范,其实这是大势所趋,也非常合理。
因为越来越多的个人、企业把它的线下服务都搬到了线上,而且我们日常生活,包括使用的APP,已经越来越多的渗透到我们日常生活的每一个细节。在这个过程中个人信息的价值,对于商家、对于企业来说就异常重要,这也是为什么我们