近幾年，隨著云計算、人工智能等新興技術發(fā)展，加速了數據價值的發(fā)現(xiàn)和流通，同時也使得數據安全問題不斷凸顯。

例如2020年1月，英國政府泄露2800萬未成年人數據，2020年4月，德國政府遭冠狀病毒主題釣魚攻擊損失數千萬歐元，2020年6月，美國200多個公檢法部門泄露296GB數據文件，2020年10月，希臘電信巨頭遭黑客攻擊，大量用戶個人信息被泄露，2021年4月，蘋果代工廠“廣達”被國際黑客組織REvil攻擊，黑客組織盜取了包括正處于計劃量產中的MacBook Pro圖紙在內的各類機密文件數據，并通過加密方式勒索贖金(約合3.2億元人民幣)。這些不僅給民眾和社會公共利益造成了威脅和損害，甚至會嚴重損害相關政府部門和行業(yè)的聲譽。

全國政協(xié)委員、上海市信息安全行業(yè)協(xié)會名譽會長談劍鋒表示，數據有價值就會有風險，只是程度或者影響后果不同，這是共性也是普遍性的問題。

那么，從行業(yè)角度來看，目前醫(yī)療、金融、能源和工業(yè)等各個行業(yè)都存在哪些數據安全風險，又可以采取哪些保護措施，來控制風險?

[[408044]]

醫(yī)療數據具有高敏感性，能源和工業(yè)數據具有高價值性

近幾年針對數據的威脅和風險迅速升級，根據美國電信巨頭Verizon公司發(fā)布的，由81個國家參與調研的《2020年數據泄露調查報告》(下稱泄露報告)顯示，72%數據安全事件的受害者是大型企業(yè)，70%的數據泄露事件涉及外部入侵。

而各個行業(yè)由于數據特點和價值不同，其安全風險又呈現(xiàn)不同的特征，并且受害程度也不同。中關村網絡安全與信息化產業(yè)聯(lián)盟理事、聯(lián)盟數據與信息安全智庫專家柳遵梁表示，行業(yè)數據安全風險的大小取決于兩個基本因素，一是數據價值高低;二是數據泄露后果嚴重程度。

比如醫(yī)療行業(yè)，北京師范大學網絡法治國際中心執(zhí)行主任吳沈括表示，醫(yī)療行業(yè)的特點是，其擁有大量患者的健康狀況數據，而這些數據具有較強的敏感性和隱私性，一旦這些數據泄露，可能會影響后續(xù)診療，也會對患者生活、工作帶來較大的負面影響。

“除數據泄露外，數據勒索也是醫(yī)療行業(yè)常見的數據安全風險，將會帶來嚴重威脅”，廣東工業(yè)大學教授劉文印說。根據泄露報告顯示，針對醫(yī)療領域的勒索軟件攻擊連續(xù)兩年占所有惡意軟件事件的70%以上。

再比如，能源和工業(yè)行業(yè)，吳沈括指出，能源是國家的基礎性戰(zhàn)略資源，因此能源行業(yè)數據，實際上關系到國家的戰(zhàn)略安全;而工業(yè)領域，隨著工業(yè)日益成為提升制造生產力、競爭力、創(chuàng)新力的關鍵產業(yè)，工業(yè)數據的高價值性特點越來越凸顯，這導致工業(yè)數據也成為黑客攻擊的重點目標。

今年5月，美國最大輸油管道因勒索軟件攻擊關閉。黑客通過加密手段鎖住科洛尼爾管道運輸公司計算機系統(tǒng)并盜取機密文件，試圖以解鎖為條件來勒索贖金。該公司一度被迫關閉整個能源供應網絡，極大影響了美國東海岸燃油等能源供應。

根據工業(yè)和信息化部發(fā)布的《關于工業(yè)大數據發(fā)展的指導意見》，我國34%的聯(lián)網工業(yè)設備存在高危漏洞，這些設備的廠商、型號、參數等信息長期遭惡意嗅探，僅在2019年上半年“嗅探”事件就高達5151萬起。

談劍鋒表示，能源和工業(yè)領域比較復雜，它們并非是純粹的信息系統(tǒng)，工控系統(tǒng)與物理世界緊密互動，一旦工控系統(tǒng)受到攻擊，輕則造成質量事故或者停產，重則人身傷害甚至直接導致現(xiàn)實社會中的重大災難和群體性事件。因此，保證工控系統(tǒng)的生產數據安全，被能源和工業(yè)企業(yè)看做重中之重的事情。同時，談劍鋒指出，近年來隨著新興技術的興起，智能工廠技術不斷成熟，這使得以往封閉的數據圍墻必然要被打通，工業(yè)領域的數據安全壓力驟然上升，安全管理挑戰(zhàn)越來越大。

85%數據泄露有人為因素，醫(yī)療保健行業(yè)因員工疏忽致數據泄露占比23%

那么，這些行業(yè)的數據安全風險是由什么造成的。柳遵梁指出，總體來看，分為外部入侵和內部風險。外部入侵主要由于入侵者有足夠的動機、精力和機會，一方面可以獲取巨大的利益;另一方面又由于各個行業(yè)的網絡是相對開放的，給外部入侵者制造了機會。

而內部風險主要由于內部人員會受到各種各樣的誘惑，使得他們鋌而走險，通過對外非法提供數據來獲取利益，柳遵梁表示。

而各行各業(yè)由于數據特點不同，其安全風險原因也不同，85%的數據泄露都有人為因素。這其中有外部因素，但更多的還是內部因素。

談劍鋒指出，正所謂，堅固的堡壘往往是從內部被攻破的。從已經披露的案例來看，內部的人為因素占到74%。一方面，員工由于疏忽無意造成違規(guī)也是重要原因，例如，2020年娛樂業(yè)中有34%的數據泄露是由員工粗心造成的;醫(yī)療保健行業(yè)盡管法規(guī)嚴格，但由員工疏忽造成的數據泄露還是占到23%。

另一方面，也可能出于個人利益或者個人泄憤的目的而故意違規(guī)。這幾年因為個人利益發(fā)生數據泄露的案件數量開始攀升，而個人泄憤的情況也頻頻出現(xiàn)，比較極端的表現(xiàn)就是“刪庫跑路”。

據IBM發(fā)布的《2020年數據泄露成本報告》(以下稱成本報告;本報告中的年份是指發(fā)布年份。2020年報告中分析的數據泄露發(fā)生在2019年8月至2020年4月之間。)，科技、交通、零售和金融行業(yè)由于惡意攻擊，造成數據泄露的比例最高;而研究、公共部門因人為錯誤導致數據泄露的比例最高。并且，系統(tǒng)故障也成為環(huán)保和消費行業(yè)中出現(xiàn)數據漏洞的根本原因。

劉文印指出，對企業(yè)而言，一旦發(fā)生數據安全風險事件，不僅需要賠償用戶，還要繳納政府的罰款，同時還有事后的法律成本和公關成本，這些都是企業(yè)要付出的代價。

劉文印表示，根據GDPR(《通用數據保護條例》)相關規(guī)定，數據隱私泄露的違法罰款可以高達全球營業(yè)額的4%(最高2000萬歐元)，中國即將出臺的《個人信息保護法》征求意見稿中，企業(yè)罰款可以達到5%(最高5000萬人民幣)，另外再追加個人責任人的責任和罰款，最高100萬人民幣。

各個行業(yè)由于特點不同，其為數據安全風險所付出的代價也不同。根據成本報告數據顯示，醫(yī)療行業(yè)數據泄露的損失最大，平均總成本最高。其次，是能源和金融服務行業(yè)，這些行業(yè)的數據價值也都較大。

并且，受到更嚴格監(jiān)管要求的組織具有更高的平均數據泄露成本，比如醫(yī)療保健、能源、金融服務和制藥的平均數據泄露總成本明顯高于監(jiān)管較少的行業(yè)，如酒店、媒體和研究。

談劍鋒指出，隨著形勢的轉變，數據安全風險原因和來源也更加復雜。總體而言，工作環(huán)境趨于開放，網絡及信息系統(tǒng)就需要更安全、更靈活，這在一定程度上也會帶來新的數據安全問題，給問題的原因分析也增添了難度。

“主動防御”才是各行業(yè)破解數據安全難題之鑰

那么，各個行業(yè)面對這些數據安全風險，應采取哪些舉措，這也是行業(yè)數據安全問題的重要難題。劉文印指出，目前各個行業(yè)對數據泄露的解決方式更多的是采用頭痛醫(yī)頭，腳痛醫(yī)腳，當數據風險被識別后再采取相應的解決方案。而這些“被動式防御”既滯后，又無法從根本上解決系統(tǒng)性和機制性的問題。

據成本報告數據顯示，各個行業(yè)識別風險都是需要一定時間的，長短不一。雖然金融行業(yè)識別風險所需時間最短，但也要177天，而醫(yī)療保健行業(yè)識別風險所需時間最長，長達236天。同時，風險識別后，控制風險也需要一定時間，大致在50天-100天之間。

根據報告數據，各個行業(yè)從數據風險的識別，再到控制，基本都要在200-350天范圍內，這個時間越長，數據風險所造成的危害就越大。而數據泄露成本最大的醫(yī)療行業(yè)，其所需要的識別和控制風險時間還最長。

因此，傳統(tǒng)的網絡安全防控方式，即發(fā)現(xiàn)、識別風險再控制風險的路徑已經行不通。中關村網絡安全與信息化產業(yè)聯(lián)盟副理事長、數據安全治理專業(yè)委員會主任劉曉韜表示，解決數據安全風險問題，不應是事后發(fā)生了，再去追蹤，而應根據行業(yè)特點，采取有針對性的“主動式”防御手段。

他指出，比如醫(yī)療行業(yè)，針對數據具有高敏感性，容易受到黑客攻擊的問題，可以通過數據庫防火墻或者數據安全網關這些防護措施，來加強防護;針對醫(yī)療數據具有高價值性，容易受到數據勒索，或者由于運維人員疏忽而導致數據泄露的這些問題，可以采取數據脫敏等相關技術手段。

“再比如能源行業(yè)，目前國網平臺已經實現(xiàn)了數據共享，而數據的互聯(lián)網化會導致一些新的風險。”劉曉韜表示。針對該問題，劉曉韜認為，可以首先對這些數據進行梳理，再通過數據態(tài)勢感知或者數據管控運維平臺，運用平臺化的措施，再加上數據加密或者防火墻的手段，對其進行特殊保護。

除了技術手段外，數據安全的保護還要靠管理。劉文印表示，數據安全是“三分靠技術，七分看管理”，管理問題是重點，也是難點。

談劍鋒指出，防護數據安全風險，在管理方面，可以從三方面著手，一是政府加強對數據安全產業(yè)的扶持和監(jiān)管力度，二是政企單位要貫徹《網絡安全法》、《數據安全法》及《個人信息保護法》等相關法律法規(guī)，制定嚴謹詳細的數據安全管理制度并嚴格執(zhí)行，落實好數據的分級分權管理，盡量降低核心數據泄露的風險;三是企業(yè)要加強全員網絡安全意識教育培訓，提升員工相關意識和技能，切實做好數據安全防護工作。