2016年6月24-25日,由51CTO.com主办的【WOT2016企业安全技术峰会】在北京珠三角JW万豪酒店召开。自2012年以来,WOT品牌大会秉承专注技术、服务技术人员的理念已经成功举办九届,不仅积累了大量的专家资源,更获得了广大IT从业者和技术爱好者的认可和好评,并成为业界重要的技术分享及人脉拓展平台。
本次【WOT企业安全技术峰会】分为11大技术主题,分别是企业安全管理与运维、工控安全与物联网安全、大数据安全、移动Web与安全、云安全、CISSP开放创新论坛、金融与电子商务安全、威胁情报与攻击防护、漏洞挖掘与分析、安全测试与应急处理、技术管理专场。51CTO.com作为本次大会的主办方,将通过快速报道、现场专访与后期视频等多种形式,向广大用户全方位展示这场盛宴。
下面是大会主会场上来自普华永道风险及控制服务的合伙人冼嘉乐先生带来的主题为新形势下企业安全管理面临的挑战与应对的现场演讲实录。
普华永道风险及控制服务合伙人 冼嘉乐
(演讲实录)
大家好,我是冼嘉乐。我来自中国香港,听我普通话可以听到,我在北京待了10多年,我普通话还是不地道。
关于普华永道全球安全调查,今天跟大家分享比较重要的一些信息。我们这一次调查是跟很多的企业合作,大部分都是在大企业。全世界来讲,北美大概是37%,欧洲是30%。在中国香港本土我们有超过330%的受访者,全世界一共有1万个。
关于网络安全的事件,网络安全事件是不断地发生,差不多每天都是有新的新闻。在过去12年,通过调查发现,全世界的网络事件增长率38%,中国本土其实增长率是非常的高,增长了4倍,大概是417,过去12个月我相信,大家在本土还有中国香港都是听到不同的安全事件,有一些安全事件也是非常的多。
关于每一个安全案件带来的财务损失,也是不断地攀升。中国大陆和中国香港本土,每一个安全事件的平均财务损失现在是260万美金,去年是240万美金,比去年增长了10%。但是,如果我们在跟前年来看,前年那个数据平均180万美金,同前年跟近年来比,已经超过40%,这个金额非常大。这是一个平均数目,去年有一个很大的本地安全事件,其实它的损失的金额超过了很大很大了。那么,另外,企业来讲,有什么样子数据是黑客,还有很多人获取的目标。一直以来客户数据都是受到关注,根据我们的调查结果,很多受访者都觉得客户的数据比较的重要。重要性比去年来讲也是上升了64%。除了客户的数据以外,其他的数据都备受关注。除了客户数据,除了有关材料的数据,现在还有什么数据备受关注呢?就是我们的知识产权。比如说,我们的生产汽车的那个设计图,还有知识产权都是黑客要获取的目标。从我们普华永道来讲,我们以前一直做的安全有关的项目,大部分都是在金融行业。过去两年客户的需求,从一般的金融行业,银行有监管的要求,现在很多其他的行业。比如说汽车行业,互联网,都有安全的需求。现在各行各业都在关注网络安全,现在不仅有金融行业了。
然后,关于在网络安全的预算,通过我们的调查发现,那个是比去年增长了10%,在中国地区平均来讲800万美金。那么,很多人都有一个问题,我应该花多少钱在网络安全方面呢?根据我们的调查的结果发现,一般的公司的网络安全的预算是整个IT预算的19%,那个数据是很好一个参考数字,我们有每一个行业的数字。大概是18%到20%。所以,如果有网络安全预算,那个预算是整个IT预算的19%到20%左右。
刚刚很快地跟大家讲了一下普华永道全球安全调查的结果,我们有很多更加详细的结果,大家有兴趣可以到我们网站上面下载整体的报告。
以下跟大家分享一下关于信息安全的管理的一些新的挑战。
在安全圈有一个很有名一句话,安全是相对的,不完全是绝对的,永恒不变的是变化。之前都是讲到了现在科技的发展,云计算,大数据,人工智能,移动网络等等。在科技发展当中我们有不同的应用,比如说移动的APP,智能的硬件,私有云,公有云等等,这些都我们的民生,为我们生活带来很多的益处。但是,同时也是带来很多的网络安全的风险,我们在网络安全时间有攻防林种。也是有APP,黑客群体来攻击企业的网络。还有也用0 day方法入侵企业。很多也是用机器感知,加强那个防御。那么,他们最终为了保护什么?就是为了保护企业里面商业的数据。在企业商业的数据里面有一个什么数据是非常重要的呢?就是用户个人信息,现在用户个人信息我们也是看到了,现在科技发展也是发展到那个智能的设备。现在智能设备也是获取个人信息,如果那些信息泄露出去可能会对个人得身体健康,对于我们的生命会受到很大的威胁,今天我务要是跟大家分享一下,现在法律法规的最新的那个发展,对于保护我们的个人隐私有什么需求,
我们现在的生活都围绕在网上,有互联网,移动互联网,有智能的设备。很多这些不同渠道都是获取个人信息,现在很多国家都是非常的关注去保护个人的隐私。很多现在都是有个人隐私法。尤其是欧盟,欧盟其实在95年有一个个人隐私保护法律。在去年2015年12月出了一个最新的一般个人数据保护条例,里面的要求是非常非常的严厉,一会儿跟大家慢慢分享一下里面重要的要求。
在美国,其实美国是第一个国家最早有个人隐私法的,当时个人隐私法是在1974年已经开始有了,1974年很久以前了,我当年是刚刚上小学一年级的时候,1974年,2012年奥巴马政府也是推消费者个人信息保护条例,现在也是有一个非常严谨的一个个人隐私保护。在中国我们暂时还没有一个个人隐私法,但是,草案是有的。去年我国的网络安全法的草案也是出来了。我们也是相信,这个法案也会很快地出台,但是对于用户个人信息的保护也是有一定的要求。
关于GDPR,是管辖的领域,其实不仅仅是在欧盟国家,其实全世界都是在管。为什么呢?如果你是一个阶级,你没有在欧盟国家注册。但是,如果你的业务,你卖的商品,你提供服务,你的用户,你的客户,里面有公民的话,你需要满足GDPR的要求。本土的企业如果你的客户有欧盟的共鸣,你需要满足GDPR要求,你在海外也是需要满足这个GDPR的要求。所以,这个GDPR那个法律是对全世界所有国家都是有很大的影响。还有欧盟之间他们也是有一些协议,其实在过去的15年,欧盟欧美两个地区是有一个安全岗的协议。15年以前,欧盟双方的商业数据可以自由地往来,就是两个地区。但是,后来这个安全搞这个协议。但是知道为什么吗?突然过了15年以后,在去年给欧盟暂停了。大家知道什么事情吗?2013年发生了什么事情?有一个大哥叫斯摩登,出来曝料,欧盟也是非常的愤怒,把安全岗协议砍掉。美国跟欧盟再去协调,最后有一个另外一个协议,欧盟隐私盾牌,里面什么要求?如果欧盟的公民数据传达到美国,虽然在美国,但是还是享受在欧盟GDPR法律的管辖的领域,还有美国也承诺,不会建设欧盟公民的个人数据。这个就是欧盟隐私盾牌。
大数据时代,很多我们个人信息,不同的信息都是不同的渠道给手机,然后再加工,然后进行大数据的分析。那么,在GDP里面,你要手机用户的信息,一定不可以默认,一定不可以等用户默认,一定要明确,得到用户的名称的同意,才可以知道个人数据。还有,对于未成年人的数据也是有一定的要求,在GDP里面说了,如果你手机的数据,那个个人的年龄是低与16岁,一定要父母和监护人同意才可以。有一些国家年龄段要求不一样,但是,最低不少于13岁。他们的数据一定会得到监护人的同意。所以,进行一些业务,涉及到儿童的时候我们也是需要关注的。
那么,关于数据个人隐私保护的管理。我们有几个领域,关于数据手机使用,还有删除。在数据手机的时候,刚刚我也是说了,一定要得到用户的明确的同意才用手机。还有,在国外的网站,比如说一些大的网站,你点击进去,他们有一个个人隐私声明,拿你数据是用来干什么的,怎么处理你的数据。这些都是有很细的一个描述。在我们本土的网站,虽然有一些网站也是有个人隐私的声明,但是没有这些网站的内容那么丰富。所以,这个也是我们需要完善的一个地方。
另外,关于这个数据的备份,如果谈到国家网络安全草案,里面也是说了,在本土的数据是不可以存在国外的,这个是一个明确的要求。如果你的数据需要放到海外的话,你需要跟网信办,还有国务院有关的部门申请,进行一个安全回顾。通过以后才可以把这个数据放在海外。那么,还有就是GDP,另外有一个要求,就是企业要委托一个人员,叫做EPO,叫做数据隐私关,代表公司处理个人隐私的工作。制订一个制度,还有建设个人隐私的操作。
数据删除领域,在GDPR有一个地方是非常重要的。数据被遗忘权,这个要求是非常非常的大,你要忘记用户,不是那么的简单,很痛苦。好像男朋友有一天突然跟你说,分手了,突然很难接受,很难把它忘记。对于企业来讲,首先有一些用户信息,可能企业很多不同的合作方,有很多的外包商,你要把那个用户的信息删掉,不仅仅是你自己在你范围内删掉数据。合作方,外包商也是需要同时删数据。通过大数据的加工以后的信息也要把它删掉。那么,也是可以想象一下,如果删掉一个用户,我有这样一个架构,要删除一个用户信息是多么的复杂。但是,现在这个欧盟法律删除用户信息的程度到了多少?现在是没有一个明确的说法,所以,这个问题还是需要我们去研究的。然后,关于GDPR法律的罚款也是非常的重要,大家也是需要关注。也是根据违法一个程度来定那个罚款是多少。那个法律里面说了,如果是一般的行为的违法,那个罚款的上限是1千万欧元或者是企业全球营业额的2%,看哪一个数最大。如果企业去年全球的营业额100个亿人民币,罚款的上限是到2个亿的人民币,这个是非常非常的庞大。如果是严重的违法,罚款上线是2千万欧元,或者全球营业额4%,非常非常的高。这个罚款可以导致一个小企业的倒闭。另外,如果违法了,如果对欧盟法律违法了,对于公司声誉有影响,除了罚款,还有其他的法律诉讼。所以,对于企业来讲也是很大的一个挑战。
下面给大家几个问题,可以回去思考一下,我们应该对于哪些个人隐私数据于是保护?我们对于企业个人的数据风险状况有可能的威胁,有没有一个完全的了解?我们有没有测试我们企业最终的安全框架,有没有有效?如果我们的数据给黑客获取,我们有没有一个机制恢复我们的操作?专门对媒体交代我们的一个事件,这些都是我们需要去思考的几个问题。
最后跟大家讲一下有什么应对方案。在我们的安全管理体系方面,我们有一些标准。讲到个人隐私保护,大家也是可以去看一下GDPR,也可以看到美国有一个GAPP,一般接收个人隐私原则,这个GAPP,里面写的非常的好,都是一些基本的,关于个人隐私保护的内控的要求。那么,在每一个通知点也会提供一个例子,怎么做好那个流程控制?你需要什么控制点?他会很细地、一个点一个点地告诉你的。那个GAPP那个文档是免费的,可以上网去百度搜索一下。获取到GAPP,可以打开后下载一份文档,这个文档是非常的好,大家可以用来做一个参考。
关于我们企业在IT部门里面,我们的安全的组织架构,这个我提供的一个比较标准的一个结构,给大家参考,里面除了我们的CIO,还有CISO,里面有安全的分析员、信息安全的管理员,审计员等等等等。现在除了这些岗位以外,我们也需要考虑增加数据保护专员,这个是GDP要求的一个岗位,如果你觉得你企业会涉及到欧盟公民,是需要完成个人信息保护的管理。还要做数据保护专员,这个专员,如果你的企业是在欧洲的国家,是有分支机构,你可以委任当地同事做那个。如果企业在欧盟没有分支机构,但是你还需要有个DPO,你怎么找DPO,你的DPO一定要在欧洲找,就需要找第三方,找一个中介。在欧洲有一些中介是可以帮你装DPO。建设个人保护隐私操作,如果有什么问题发生,他是联系人,需要跟相关的监管机构去汇报。
现在的企业所做的业务都可能跟其他的国家有关系,尤其我们做电商,不仅仅是做本土,我们也是做跨国传输我们的数据,通过业务操作。所以,我们除了要了解本土的要求,我们也是需要了解国外的个人隐私保护的要求。刚刚我讲的是GDPR,除了美国之外,还有其他国家也是需要了解他们有关的个人隐私的保护的要求,因为每一个国家都有他不同的要求。有一个共同的地方,我们一定要跟我们的数据做一个分级,做一个风险评估。然后,我们也是需要根据他的那个分级,然后,再设定一定的安全的管控来保护那些数据。
比如说,在俄罗所他们个人隐私法也跟我国网络安全草案一样的,国民数据不可能传到国外,澳大利亚那边的数据可以传到国外,但是一定要做好数据分级,风险评估,做那个评估。就是保护那个数据,才可以把这个数据传到国外。
有一些国家和地区,如果关于电信行业的数据,是不允许把一些数据传到国外。但是,有一些国家他说,我的数据虽然放在国外。但是,我们本土的也是需要留一个备份,比如说马来西亚,放在国外没有问题,但是需要有一个备份放在马来西亚。对于其他国家以外,我们需要了解其他国家对于个人隐私法的要求。我们的业务是涉及到不同的国家。
我提上5个点完善我们数据保护工作。首先,刚刚说了,了解不同国家的要求,我们确保我们是监管的。我们要识别我们的核心数据,进行分析,进行分级,然后,再做风险的评级。那就把高风险数据来做好安全的保护。然后,如果我们的数据发生泄露,我们一定有一个响应机制,怎么去处理那个事件?怎么和媒体报道?怎么恢复我们那个问题?另外,刚刚说了,如果有一个用户需要你删除它的数据,可能你有很多不同的合作方。那么,你一定要有一个机制。最终数据跟其他的合作方立马把那个数据删掉。所以,我们要不停跟第三方和外包商多沟通。最后,定期去做网络安全的评估,如果发生了什么问题,我们马上整改。
最后,想跟大家说的,是GDPR,这个是去年12月份立法,但是,现在一直到18年是一个过度期,是18年全面落实。如果大家觉得你的企业是需要满足欧盟的GDPR,其实我们现在要做好准备,因为18年,一年半以后,这个法律会全面落实。还有刚刚提到,我国网络安全反草案还没有出台,但是应该很快。里面涉及到关于用户信息的保护。但是,那个要求是什么?是比较的宏观,暂时没有很详细的一个落实的一个方法给大家参考。我国有可能会参考欧盟那个GDPR,有可能做一些东西把它本地化。建议大家关注欧盟GDPR,看看详细要求。现在是时候去准备了。
我今天跟大家分享的到此为止。谢谢大家。
以上是51CTO.com记者从【WOT企业安全技术峰会】一线为您带来的精彩报道。一大波精彩内容报道正在袭来,敬请持续关注!