经济观察网记者 高若瀛如果问任何一个企业主:企业网络安全是否重要?我们100%会得到肯定答复。但真需要在安全部署——这件与提高经营业绩看似无关的事情上花钱,大概率他们又会觉得没必要。
但网络安全对今天的中国企业来说,或许不再是一句政治正确的空话了。
9月14日,国家互联网信息办公室公开征求《关于修改〈中华人民共和国网络安全法〉的决定(征求意见稿)》(下简称“征求意见稿”)。这是《网络安全法》自2017年6月1日发布实施5年来,迎来的首次修订。而此次修法值得关注的一点是:提高了处罚上限,最高可至5000万元或上年度营业额的5%。
这意味着,一旦因为管理疏漏,危害到网络运行安全,企业将面临真金白银的罚款。管好自家的数据、维护好企业系统,不再是可有可无的边缘事项,正成为企业必须重视的义务。
之所以发生这样的转变,与现代化、数字化转型浪潮之下,企业网络触及范围不断拓展密不可分。过去,类似固守在城堡里的“传统安全”边界,已被打破。新时代网络安全的边界,正从办公室拓展到与之连接的办公咖啡厅办公甚至是员工家里。
Palo Alto Networks(派拓网络)是一家提供云时代网络安全解决方案的公司。随着近期征求意见稿的出台,经济观察网专访了派拓网络大中华区总裁陈文俊,他在企业科技与数据中心解决方案方面拥有逾20年的从业经验。
网络世界确实不够“安全”。
2021年5月8日,美国最大天然气和柴油运输管道公司Colonial,就因遭受勒索软件攻击,导致其美国东部沿海各州供油的关键燃油网络全部被迫关闭。一个月后,全球最大肉类供应商JBS向黑客支付价值1100万美元的比特币赎金,JBS一度因遭受攻击关闭了全美工厂,导致牛肉、猪肉产量大跌。
2022年2月,英伟达内部系统遭到入侵、遭到勒索软件攻击,勒索软件组织Lapsus$声称他们可以访问1TB的企业数据,如果英伟达拒绝支付100万美元赎金和一定比例的未指明费用,他们将在线泄露这些数据。同时间,三家丰田供应商也遭到黑客攻击。当丰田供应商Kojima Industries遭到网络攻击时,这家巨头不得不停止其14家日本工厂的运营。据说此次黑客攻击导致该公司每月的生产能力下降了5%。
不难发现,这些令人瞠目的网络攻击,往往发生在国外、大型企业身上,对于更多中小企业来说,网络世界真的不安全么,这是否是网络安全公司为推进业务故意夸大的说辞?
在陈文俊看来,大公司需要特别关注网络安全而小公司不需要,这是一个错误观念,“因为黑客会广撒网,进行各种各样的攻击,像钓鱼,只要有人上当,他们就可能产生效益,同时成本又非常低。”
陈文俊说他看到,无论在中国还是全球,每天都有很多网络攻击事件在发生。今年6月,Palo Alto Networks的威胁情报团队Unit 42公布一项最新研究结果:今年前五个月,Unit 42事件响应者处理的案例中,勒索软件支付金额平均增至92.5万美元,趋近百万美元大关,较去年增加71%。这还不包括受害者需要负担的额外损失,如修复费用、停工损失、名誉损害等。
根据Unit 42对泄密网站数据的持续分析,在双重勒索的威胁下,每三到四个小时就会新出现一名受害者。
陈文俊解释,企业之所出现这种误解,一方面或是报道造成的印象差异,但更多与各国对出现网络事故的处罚不同有关。以旨在保护欧盟公民个人数据的《通用数据保护条例》(GDPR)为例,其规定:对于严重违法,罚款上限是2000万欧元,或者在承诺的情况下,最高为上一个财政年度全球全年营业收入的4%(两者中取数额大者)。
在陈文俊看来,随着我国网络安全法规的不断完善,企业的安全观也将重塑。特别是那些关键基础行业以及会收集大量数据和用户信息的企业,进程会更快。
对话:
经济观察报:如何定义网络安全?如何定义云时代的网络安全?两者在内涵、边界发生哪些变化?
陈文俊:网络安全跟所有人息息相关。早期的网络安全,办公室像一个城堡,我们一般会通过设置防火墙,在企业的出口做类似城墙样的保护,企业员工在其中工作相对比较安全。这是最早对网络安全的一些定义。
随着企业数字化转型,远程办公,业务逐渐上云,我们每时每刻都在产生数据,城堡里的边界打破了。边界可能跨到云上,通过云回到办公室。如果员工是居家或在咖啡厅办公,这个边界也可能扩展到家里和咖啡厅。这些场所也可能成为攻击面,攻击影响到企业内部。
现在,网络安全的攻击面如此之大,已经从办公室里扩展到云上。很多APP都在云上,终端、电脑、Pad、手机,这些都可能成为攻击点。包括IoT设备,无论是办公室的打印机还是家里的微波炉、电冰箱,特别是摄像头,都可能是黑客进入的目标。正因为网络安全的跨度变大、攻击面不断拓宽,面对黑客的攻击,我们才需要更好的防御。
经济观察报:企业真的不安全么?还只是网络安全公司为推进业务故意夸大的说辞?
陈文俊:无论在中国还是全球,每天都有很多攻击企业的事件发生。2022年,黑客勒索的罚金比去年多了100%。今年,企业的罚金大概是30万到50万美元,最高甚至达几千万美元。
对企业来说,网络攻击已经变成企业运行的风险。加上各种法规出台,企业面对的安全事件的压力越来越大。因此,企业对安全的投入也需要不断增加,按照自己对风险的承受度,对法规合规的要求,包括自身IT架构的成熟度,去进行部署。
我们觉得,做好防御不能只是一家公司在做,而是所有行业一起做。因此光有技术是不够的,人的意识和流程匹配好,才能更好进行防御。
黑客的主要目的是盈利,发起的攻击中假设有一个成功,就可能获得高额赎金。如果企业员工不小心点击了钓鱼邮件,黑客就有机会进入并影响到企业运营,这些都是确实存在的情况。这对黑客来说,已经成为一个产业链,他们之间会共享攻击手段和工具,也会租用云上设备进行攻击。网络攻击无时无刻存在,需要企业提高警惕。
但客户也会有一些误区:比如只有大公司才需要关注网络安全,小公司不需要。因为黑客会广撒网,进行各种各样的攻击,像钓鱼一样,只要有人上当就可能产生效益,同时成本又非常低。所以,我们希望大家都能够提高防范意识。
经济观察报:您刚才提到一些误区包括中小企业的安全意识不够强。但这里存在一个问题,特别是对中小企业企业来说,追求业务灵活、网络安全、降本增效是否是“不可能三角”?
陈文俊:很多企业能意识到信息安全很重要。他们遇到风险后会寻找一些解决方案来解决问题,比如受到病毒感染后在电脑上安装杀毒软件等,通过单点解决的方式去解决。
企业追求业务灵活,网络安全、降本增效,其实三者间并不冲突。我们其实提供的是平台化的解决方案,而非单点方案。像机场的护照检查、登机检查、行李安检,多种方式如果整合在一个平台上,对客户来说可以更好进行管理。
平台方面的保护都是互相关联,通过平台方案可以减少多产品的投入,降低运营和维护费用,更敏捷地面对新环境。我们用平台的方案帮助企业更好应对威胁,同时支持业务灵活、网络安全、降低成本。因为除了购买成本,企业还面对运营、维护和培训人员的成本。未来,企业发展应该更好采用标准化方案,面对威胁,才能更主动应对。
经济观察报:安全部署方面,中国企业和国外企业,在战略、观念等方面有哪些异同?
陈文俊:从法律层面看,无论是金融方面的监管还是信息保护的监管,欧美起步更早。比如欧洲有GDPR,如果企业出现问题,罚款金额达营业额4%以内。
最近一个月,《网络安全法》完善了合规处罚方面的要求,提高了处罚上限,最高可至5000万或上年度营业额5%。我国正在逐渐完善法规,我相信国内企业会加强保护,特别是上市公司,金融业也受到监管。
经济观察报:过去一年,中国的客户关注的问题和需求有哪些新的趋势和变化?
陈文俊:有一部分企业比较主动,随着法律法规逐渐完善,上市公司由于合规要求,开始主动进行防御。信息和网络安全问题,正变成企业运行的风险。如果出了比较大的问题,对企业声誉等各方面都会造成很大影响,这导致企业也越来越关注。
另外,一部分企业确实受到勒索攻击的影响:服务器被加密,被勒索比特币。服务器里都是客户信息和交易信息,相当于企业无法正常运转了。还有的公司发现境外服务器受到影响。比如企业国内的财务人员,收到境外的钓鱼邮件,做得和境外监管部门的很像,让他转一笔钱到账户上,把钱转出去后才发现被骗了。这时,企业会提高网络安全意识,主动按照法规要求进行完善。我们需要不断跟客户或更多企业沟通,希望更多人能够提高安全意识。
经济观察报:网络安全法规对哪些行业和企业的影响是立竿见影的?
陈文俊:我们国家的法律在逐渐完善。《网络安全法》自2017年出台,当时只是作为一个法则,最近两个月才完善了处罚部分。2021年相关法规更完善,如《数据安全法》、《个人信息保护法》、《关键基础设施保护条例》。
像最新的《跨境数据指引》,要求企业的数据在中国,如果要跨境,如何报备。凡是能够搜集大量个人数据的企业,法律上就要求这样监管。像跨境规定一百万以上就需要报备,国家批准才能出境,这些都是法规上的完善。拥有这些数据的企业都需要做好合规,国家法规出台以后,需要让更多企业知道。此外,如关键基础建设,像运营商、交易系统、输电等企业都需要提高保护,以免受到网络攻击。
