近几年,随着云计算、人工智能等新兴技术发展,加速了数据价值的发现和流通,同时也使得数据安全问题不断凸显。
例如2020年1月,英国政府泄露2800万未成年人数据,2020年4月,德国政府遭冠状病毒主题钓鱼攻击损失数千万欧元,2020年6月,香港服务器租用,美国200多个公检法部门泄露296GB数据文件,2020年10月,希腊电信巨头遭黑客攻击,大量用户个人信息被泄露,2021年4月,苹果代工厂“广达”被国际黑客组织REvil攻击,黑客组织盗取了包括正处于计划量产中的MacBook Pro图纸在内的各类机密文件数据,并通过加密方式勒索赎金(约合3.2亿元人民币)。这些不仅给民众和社会公共利益造成了威胁和损害,甚至会严重损害相关政府部门和行业的声誉。
全国政协委员、上海市信息安全行业协会名誉会长谈剑锋表示,数据有价值就会有风险,只是程度或者影响后果不同,这是共性也是普遍性的问题。
那么,从行业角度来看,目前医疗、金融、能源和工业等各个行业都存在哪些数据安全风险,又可以采取哪些保护措施,来控制风险?
医疗数据具有高敏感性,能源和工业数据具有高价值性
近几年针对数据的威胁和风险迅速升级,根据美国电信巨头Verizon公司发布的,由81个国家参与调研的《2020年数据泄露调查报告》(下称泄露报告)显示,72%数据安全事件的受害者是大型企业,70%的数据泄露事件涉及外部入侵。
而各个行业由于数据特点和价值不同,其安全风险又呈现不同的特征,并且受害程度也不同。中关村网络安全与信息化产业联盟理事、联盟数据与信息安全智库专家柳遵梁表示,行业数据安全风险的大小取决于两个基本因素,一是数据价值高低;二是数据泄露后果严重程度。
比如医疗行业,北京师范大学网络法治国际中心执行主任吴沈括表示,医疗行业的特点是,其拥有大量患者的健康状况数据,而这些数据具有较强的敏感性和隐私性,一旦这些数据泄露,可能会影响后续诊疗,也会对患者生活、工作带来较大的负面影响。
“除数据泄露外,数据勒索也是医疗行业常见的数据安全风险,将会带来严重威胁”,广东工业大学教授刘文印说。根据泄露报告显示,针对医疗领域的勒索软件攻击连续两年占所有恶意软件事件的70%以上。
再比如,能源和工业行业,吴沈括指出,能源是国家的基础性战略资源,因此能源行业数据,实际上关系到国家的战略安全;而工业领域,随着工业日益成为提升制造生产力、竞争力、创新力的关键产业,工业数据的高价值性特点越来越凸显,这导致工业数据也成为黑客攻击的重点目标。
今年5月,美国最大输油管道因勒索软件攻击关闭。黑客通过加密手段锁住科洛尼尔管道运输公司计算机系统并盗取机密文件,试图以解锁为条件来勒索赎金。该公司一度被迫关闭整个能源供应网络,极大影响了美国东海岸燃油等能源供应。
根据工业和信息化部发布的《关于工业大数据发展的指导意见》,我国34%的联网工业设备存在高危漏洞,这些设备的厂商、型号、参数等信息长期遭恶意嗅探,仅在2019年上半年“嗅探”事件就高达5151万起。
谈剑锋表示,能源和工业领域比较复杂,它们并非是纯粹的信息系统,工控系统与物理世界紧密互动,一旦工控系统受到攻击,轻则造成质量事故或者停产,重则人身伤害甚至直接导致现实社会中的重大灾难和群体性事件。因此,保证工控系统的生产数据安全,被能源和工业企业看做重中之重的事情。同时,谈剑锋指出,近年来随着新兴技术的兴起,智能工厂技术不断成熟,这使得以往封闭的数据围墙必然要被打通,工业领域的数据安全压力骤然上升,安全管理挑战越来越大。
85%数据泄露有人为因素,医疗保健行业因员工疏忽致数据泄露占比23%
那么,这些行业的数据安全风险是由什么造成的。柳遵梁指出,总体来看,分为外部入侵和内部风险。外部入侵主要由于入侵者有足够的动机、精力和机会,一方面可以获取巨大的利益;另一方面又由于各个行业的网络是相对开放的,给外部入侵者制造了机会。
而内部风险主要由于内部人员会受到各种各样的诱惑,使得他们铤而走险,通过对外非法提供数据来获取利益,柳遵梁表示。
而各行各业由于数据特点不同,其安全风险原因也不同,85%的数据泄露都有人为因素。这其中有外部因素,但更多的还是内部因素。
Copyright © 2013-2021 8a.hk All Rights Reserved. 八艾云 版权所有 中山市八艾云计算有限公司 粤ICP备14095776号