7月5日,在2023全球数字经济大会(2023GEDC)主论坛上,奇安信集团董事长齐向东在发表主题演讲时表示,数智时代,“安全红线”越来越多,安全主体责任不断压实,政府和企业要加快补上数智安全课,以“零事故”标准进行网络安全建设。
从安全看数智 停服停工是挑战
进入数智时代,数据是重要的战略资源,也是网络攻击的重要目标;人工智能是先进生产力,也是关系到社会生产、生活安全稳定的基础设施。
(资料图片仅供参考)
齐向东表示,在安全公司看来,政企数据化、智能化是“突如其来”,疫情三年是“加速应急”,但数智系统没有做好安全准备,没有充分的安全技术规划、安全体系建设、安全人才培养。
一方面,数据和智能与政府运作、社会服务密切相关,数据安全事故可能导致“社会停服”;另一方面,数据驱动了智能化生产过程,一旦发生智能安全事故,“智能”变“傻瓜”,就可能导致工厂“生产停工”。
“政府和企业需要加快补上数智安全课。”齐向东表示。
从数智看安全 “易攻难守”是常态
补齐安全课,需要了解数智时代的安全态势。齐向东将其总结为三个“常态化”:
一是勒索攻击常态化。作为网络空间的“流行病”,勒索攻击无法被根治。数据显示,85%的公司遭遇过至少一次勒索攻击,同时有研究机构预测,到2031年,全球勒索软件造成的赎金损失预计将超过2650亿美元,每2秒就会发生一起勒索攻击事件。
二是数据泄露常态化。数据泄露风险可能存在于采集、存储、传输等各个过程中。根据调查报告显示,超过85%的网络安全威胁来自于内部。除管理员、技术员、操作员这“三员”可能存在安全风险外,公司内部数据“投喂”ChatGPT导致的数据被动泄露也不容忽视。数据显示,有2.3%的员工会将公司机密数据“投喂”到ChatGPT中,企业平均每周向ChatGPT泄露机密材料达数百次。
三是私挖滥采常态化。数据作为资源富矿,能给业务赋能、生产提效。一些企业组织为求利益以身犯险,无视数据红线,对数据资源私挖滥采。奇安信在对全国应用市场新收录、新更新的118万多个APP进行个人信息收集情况检测后发现,大量APP未经用户同意就收集用户隐私数据,严重危害百姓个人隐私和社会信息安全。
以“零事故”标准进行网络安全建设成为大势所趋
面对频发的网络安全事件和不断加剧的网络安全事件后果,以“零事故”标准进行网络安全建设成为了大势所趋。基于奇安信圆满完成北京冬奥网络安全保障任务的成功经验,齐向东提出了“零事故”的三条标准:业务不中断、数据不出事、合规不踩线。
一是用纵深防御的内生安全体系保障业务不中断。齐向东指出,数智时代,必须进行体系化的规划、建设、运营,构建纵深防御的内生安全体系。所谓内生,就是把安全能力内置到网络的全链条中,内置到业务系统中,及时识别攻击行为;所谓纵深,就是保证多道网络安全防线联动,一道防线被突破还有其它若干防线拦截攻击。
二是用全链条数据安全保护系统,保护数据不出事。传统数据安全套件防护已难以胜任数智时代的数字安全防护要求,需要一套体系化的安全能力来应对新技术新场景下的新的挑战。奇安信最新发布的奇安天盾,就是以数据资产为核心,形成一个集“事件监测、风险分析、策略调整、访问控制”为一体的全链条闭环体系。配合零信任架构,真正实现数据安全“三能”:风险能看清、内鬼能管好、攻击能防住。
三是用人工智能的运营体系,做到既安全又合规不踩线。齐向东提出,人工智能就是“人+数据+智能”,因此需要建立起“人+数据+智能”的运营体系并与流程充分结合。只有让安全能力真正“活”起来,企业机构才能根据业务数据和风险情况调整安全策略,并对各类安全风险持续跟踪及修复,真正做到“安全合规不踩线”。