全球今日报丨抢滩数字经济新蓝海,谁在“裸泳”?

2023-06-17 22:22:42 来源:腾讯网

文丨林可

好莱坞电影中常见这样一幕:一名黑客闯入暗室,随手打开一台电脑,火速敲下一段代码,三分钟之内,顺利入侵某一安全网络系统。

电影情节源自现实,网络安全问题屡见不鲜


(资料图片)

随着云计算、大数据、AI等技术飞速进步,企业数字化体系的边界在不断拓展。

企业虽已开展安全建设,面对来自数据、业务等维度的新挑战,其安全应对能力常显疲态。

来源:视觉中国

“以ChatGPT为代表的AI技术加速进步,进一步使攻击行为变多、攻击规模变大,这更加难防。”IDC指出。

技术复杂多变,风险不可预测,企业如何筑牢自身的安全防线?

风险变大

“安全”是企业发展的基石。

如今,国内企业的数字化转型已进入深水区,IT环境变得更为复杂,其应用可能分布在公有云、私有云、数据中心等多个地方。网络安全问题增多,难以预测。

其中,核心数据信息泄露是最大的问题。

据IDC,2018-2022年,全球重大数据泄漏事件的发生频率,呈现上升趋势,所涉及的主体涵盖通信电子、文娱社交等行业,并且到2022年,数据泄漏从GB级上升至TB级

全球重大数据泄露事件概览,2018-2022 来源:IDC

透过上图可以看到,数据安全问题可以发生在酒店、医院、游戏网站和线上交易等所有场合。

现实案例层出不穷。

今年4月,某家医院经风险排查发现,其专用APP存在API漏洞,开发人员无需授权即可访问后台。该医院的敏感数据随时可能泄露。

数据泄漏的后果触目惊心

比如2021年,领英发生了大规模的数据“泄漏”事件。黑客获取了7亿多领英用户的姓名、电话、家庭住址等信息,在暗网售卖。

网络安全事件频发,令人细思极恐。

除数据泄露外,金融欺诈等安全漏洞也多如牛毛。

美国联邦调查局发布的一份互联网犯罪报告显示,2022年金融欺诈攻击行为,相较前一年增加了64%。为何会出现这一现象?

学界和业界经过大量调研,发现了问题。

技术发展日新月异,竞争加剧,企业只有创新业务模式和拓宽业务边界,才可能保持向上的成长曲线。此过程中被忽略的,是企业原有的安全合规体系框架和模型已不适用。

找到问题症结后,当地迅速行动。在北美等IT基础比较成熟的地方,网络安全产业已经成为数字经济之“盾”。

据市场研究机构Canalys,2022年,在网络安全支出方面,北美仍是规模最大的地区

中研普华产业院进一步调查发现,美英法德等国的企业,网络安全投入占IT投入比例激增,达到20%-23%。

针对民事机构,美国2023财年在网络安全领域的预算为109亿美元,比2022年增加11%。

我国早就意识到了这一问题,多次发文强调网络安全。2021年,工信部曾发布《网络安全产业高质量发展三年行动计划》,要求国内政企机构的网络安全投入占IT预算比重达到10%。

短板明显

IDC数据显示,目前中国企业网络安全投入占IT预算的比例大约1.7%(同期全球平均值3.4%,美国4.6%)。

“中国企业IT投入占企业收入的百分比,平均来讲,大概1%左右,金融电信行业高一点,占3%-5%。”

IDC中国副总裁武连峰指出,如果要算安全预算占总收入的百分比,相当于在现有的数字上再乘以1.7%,“是一个极小的数字。”

投入金额少,只是其一。国内企业的网络安全建设能力存在明显短板,且理念陈旧,仍以合规驱动为主。

知名安全咨询机构安在和腾讯安全联合发起的一项调研发现,国内企业网络安全建设总体水位较低,不同行业安全能力差异巨大,且企业安全自建投入产出不理想、研发效率低。

这份来自1500位CSO(Chief Security Officer,首席安全官)的企业数字安全自评报告中,呈现了一组数据:

至今仍有11.3%的企业安全能力“基本空白”;60.49%的企业安全部门人员数量不足10人;安全预算投入低于5%下限的企业,比例超过70%。

安全人员匮乏、安全投入过低成为普遍问题。1000人以上的大型企业,安全人员数量中位数也不足20人

与之形成极大反差的是,来自数据和业务等维度的安全风险,给企业的运营带来全方位的冲击,甚至关乎企业的生存基础。

2021年,受调研企业遭遇层出不穷的安全攻击,产生的经济损失达到百万美元级别。

接受调研的CSO均认为,安全与发展“断层”,已成为严峻问题,给企业经营带来威胁。

他们表示,在一个强调弹性敏捷的数字化环境下,面对突发事件,企业的应急响应通常滞后,面临的合规监管压力日益高企。

除了预算少、技术水平不足外,管理层对网络安全的重视度也不够,往往只关注突发安全事件的应急处理。

在合规驱动的视角下,管理层更多地把安全当成一项单纯的支出,认识不到其对企业发展的增益

“很多企业管理者对安全这件事情的认知不足、对于不安全造成的损失以及安全未来的价值认知不足、对业务创新与安全的相关性缺乏深入思考,重视可能只是说一说,不能落实到具体的预算上。”IDC副总裁武连峰认为。

没有自上而下的牵引,网络安全部门无法调动足够的资源,协调各业务部门合作,促进安全措施真正落地。

不止是安全

如何兼顾发展与安全,让网络安全建设助力企业高质量发展,是管理者需要思索的问题。

一位企业服务从业者分享了他经常抛给管理者的一个“终极拷问”:“再过十年,你的核心资产、核心价值是哪些?是企业的办公楼还是购买的IT设备?”

他解释道,从财务的角度来说,无论是办公楼还是高性能的硬件都会持续折旧,企业家会逐步会意识到,真正的核心资产其实是数据以及建立在数据之上的商业模式

另一位企业信息化业务负责人也表示,原来央企的信息化业务主要是肩负管理职能,随着数字化转型,“信息化部门已经向生产相关的方向转型。”

简而言之,数字化时代,数据资产成为企业的核心命脉,企业的安全建设也把成本视角切换到营收视角。

“(管理者)应将核心业务、企业数据资产作为安全防御的目标,为安全重建价值原点。”

腾讯集团副总裁、腾讯安全总裁丁珂在13号刚刚结束的数字安全免疫力研讨论坛上表示,目前很多企业的安全建设方法、人力物力的投入、数字化技术能力,还是被惯性带领的,“但安全建设应该由发展和变革驱动。”

在调研了几十位来自央国企、泛互联网和金融企业的安全管理层之后,IDC和腾讯安全提出了一个更积极、主动的安全观,用“治未病”的理念替代“治已病”,并结合不同行业的共性找到了更有通用价值的几个重点板块,形成了一套面向企业的数字安全免疫力模型。

参考这套模型,企业可以把复杂的安全问题分拆成一个针对性、系统性的安全体系,“先解决严重层面的问题,然后再在空档期逐层完成基础的建设、业务的拆分、管理逻辑的完善”,丁珂表示,“企业与企业的发展周期肯定不完全一样,只要把问题分析对了,总能找到有效的方法。”

具体而言,价值模型中,企业安全免疫力建设的痛点主要集中在组织与人员、技术、流程运营三个层面,包含理念、价值理解以及执行过程中的一系列问题。

企业打造“后天”数字安全免疫力,主要包含边界安全、端点安全、应用开发安全、运营与管理安全、数据治理安全、业务风险控制6大模块。

武连峰认为,这一套价值模型,更强调前置投入,将安全要素融入至企业的战略、管理、运营流程中,打通平台、技术、能力等层面的壁垒,强调动态、轻量、实时的反应能力,在一定程度上实现自主性地容错、纠错和升级。

更重要的是,这套模型同时贯穿企业的业务流、数据流、管理流,既可以保持业务运营和创新,提升企业商业竞争力,又能通过健全的内外部体制机制,增强企业领导力。

“腾讯的实践证明,发展的过程中,只有同步甚至适度超前地进行安全建设,才能让业务发展没有后顾之忧。”丁珂说。

标签:

上一篇:实时:新媒体运营主要工作是什么_新媒体运营的工作内容是什么
下一篇:最后一页