大规模数据泄露频发 引爆数据安全防护需求

腾讯QQ大面积账号被盗、学习通用户数据疑似泄露……近期数据泄露事件频发，让数据安全问题受到极大关注。

不少安全行业从业者告诉《科创板日报》记者，个人信息外泄的背后，暗藏着一条规模大、链条长、获利大的网络黑色产业链，掌握用户信息的公共服务行业机构、互联网APP服务商，已经成为不法分子的目标。

Gartner预测，2024年隐私驱动的数据保护和合规技术支出将在全球突破150亿美元。毕马威（KPMG）则预计，2023年国内数据安全技术服务有望达百亿，随IT架构走向云化，长期将撬动千亿级的数据安全SaaS运营收入。

方正证券、国盛证券等多家机构指出，数据安全是数字经济的基础，数字经济健康发展须以安全为前提，数据要素市场和数据经济产业的快速发展将带动数据安全需求的爆发。

近期，不少网友反映自己QQ号被盗。腾讯QQ官方微博回应称，主要原因系用户扫描过不法分子伪造的游戏登录二维码并授权登录。“目前我们正在收集整理黑产团伙的犯罪证据，后续将根据需要配合有关部门开展工作，保护平台及用户的正当权益。”

此前，学习通疑似泄露高达1.7273亿条用户数据，后者遭黑客在非法渠道售卖。

亚信安全高级副总裁兼首席营销官马红军透露，个人信息外泄的背后，暗藏着一条规模大、链条长、获利大的网络黑色产业链，而大量掌握用户信息的公共服务行业机构、互联网APP服务商，已经成为很多不法分子的目标。

某安全行业从业者告诉《科创板日报》记者，“如今数据的价值变得更高，企业的数字化程度也有所提升，导致受到攻击后的影响范围更大了。”

“原来系统被攻击，对生产影响小，能够大事化小、小事化了地处理掉，经常悄无声息。现在业务对数字化的依赖程度加大，就会直接影响业务，甚至导致生产经营停摆，在公众层面也有更大的影响。”

上述从业者提及，此前美国乳制品巨头曾遭到勒索软件攻击，导致系统宕机，由于高度数字化，工厂和配送中心也无法运行，对牛奶供应链造成了重大打击。

《科创板日报》记者注意到whatsapp官网，美国最大燃油管道运营商Colonial Pipeline也曾遭到网络攻击，丧失绝大部分输油管道的控制权，被迫关闭长达5500英里的燃油管道。

“美国企业经常会受到网络攻击，未来我们可能也会遭遇这种情况。”该安全从业者表示。

对于数字化时代的新挑战，马红军认为，打造行之有效的数据安全治理体系，让企业用户能够合规、安全地使用数据，已经成为数字化企业、数字化业务、数字化经济时代最紧迫的安全问题。

“整体而言，基于企业用户自身的基本网络安全能力、数据的自身特性，企业用户自上而下地梳理一套思路和框架，构建出面向数据全生命周期及实际业务场景的数据安全治理体系。”

天融信科技集团助理总裁李建彬提出，除了提升自己的数据安全意识的同时，企业还需要加强整体的数据安全防护建设。“如何从数据流动过程中检测到到底是业务访问需求，还是攻击行为whatsapp网页版登录，成为当前数据安全领域需要进一步研究的方向。”

体系化治理难题

数据价值在各行各业所发挥的作用与日俱增。数据驱动着发展，同时也暗藏着风险，构建与之相适应的数据安全保障体系显得尤为关键。

李建彬向《科创板日报》记者分析，企业需要形成以数据安全治理评估、数据安全组织结构建设、数据安全管理制度建设、数据安全技术保护体系建设、数据安全运营管控建设、数据安全监管建设的“六步法”数据安全保障体系建设思路。

首先，需明确《数据安全法》和《网络安全法》、《个人信息保护法》以及“等保2.0”之间的关系。

“这几者是关联关系，即在保证网络安全的前提下，覆盖数据安全及个人信息安全。在行业领域建设相关安全体系时，特别涉及到关键信息基础设施时whatsapp登录，必须要遵从等保2.0相关规范。在关联性基础之上，建设单位需要结合具体场景、行业特性、数据属性量等，综合判断自身业务特点应该参照哪一部或哪几部法律法规。” 李建彬称。

其次，数据安全保障体系建设需明确“技术”与“管理”并重思路。李建彬强调，把“技术”作为“管理”的延续，即数据处理活动中基于数据全生命周期构建数据安全指标，借助丰富的数据安全监测手段以及快速响应机制等，通过技术手段的不断进步逐一落实数据安全管理目标。

马红军向《科创板日报》记者介绍，数据安全是一个长期的治理过程。因此建议用户，在“治”之前，首先要先进行“理”，之后才能“治”。“理”是梳理，通过落实组织、人员及制度，梳理数据的分布、数据分类分级、数据安全风险等。“治”是治疗，通过部署安全技术措施对数据处理环境和数据全生命周期提供全方位的安全保护。

随着数字化业务高速融合，让数据安全的外延被极大扩展，企业数据安全治理工作的难度也在逐步加大。马红军认为，这就要求数据安全能力构建过程中，实现全场景覆盖。

“例如，需要实现对数据采集、调用、交换等关键业务场景的实时监控风险预警；进行数据加密、脱敏、水印、模糊化等数据安全防护能力接入。另外，还包括通过数据安全管控平台对安全策略、安全事件、安全风险统一管控、集中运营，实现数据安全管控能力纳管资源的全场景覆盖。”

数据和算法安全监管将行业化

今年是《数据安全法》实施一周年，也是《网络安全法》施行五周年，《中华人民共和国个人信息保护法》也于去年11月正式实施。

李建彬表示，随着“两法一条例”的相继颁布，我国在数据安全领域已经基本完成了上位法建设，为用户建设数据安全提供了指导方式、原则等内容，但是配套落地的相关法律法规相对而言还比较欠缺，尤其多个法律中明确指出数据安全建设要行业化。

为此，李建彬分析，未来行业的发展态势或将体现以下几个方面：

首先，行业主管单位将会建立对应的数据安全行业标准和规范。包括更为具体的、落地的数据安全保护的相关规范或指南，指导行业在数据安全建设方面能够有所参照或借鉴。

其次，数据安全建设有望体系化、工程化。企业用户数据安全的建设过程将会区别于以前传统安全“重合规、轻业务”的模式，建立以业务数据为核心的数据全生命周期的数据安全治理体系，明确分级管控的安全防护手段，提升企业数据安全评估、数据安全监管的能力建设，满足当前国家、行业对数据安全的建设要求。

马红军也向《科创板日报》记者表示，结合近期监管趋势，网络安全等级保护和关键信息基础设施安全保护工作的推动力度有望持续加大。

“落实各方主体责任、构建网络安全综合防控体系和监测预警指挥协同体系的工作或将快速推进，多种形态的安全监督检查有望全面展开，以验证运营者安全防护体系有效性推动其能力安全建设。”

马红军进一步指出，数据安全尤其是个人信息和重要数据保护，也得到了各方高度重视，数据主体权利保障和数据出境管理维度监管的力度也在持续加强。

同时，对于掌握大量个人信息和重要数据的互联网企业，相关网络安全审查工作也在持续开展，为防范国家数据安全风险、维护国家安全、保障公共利益发挥重要作用。