时不我待!作为生产要素的数据资产的治理和安全保护
加入“ICT销售和大客户联盟”(微信ID:ICT-League),与ICT同行!
“ICT销售与大客户联盟”公众号,集千家厂商、集成商和客户于一堂,致力于ICT领域的价值挖掘和变现,围绕大数据、物联网、人工智能、数据安全、数据资产、合规、运维等ICT领域,分享ICT驱动业务的政策、商业、实战思想、方法、解决方案、人脉、资源、举措、效果,以及盟内成员之间的合作促成等,助您不断的进步和发展。
【数据资产治理与安全保护解决方案】,是华云数创(北京)科技有限公司针对内部数据泄漏、防范、加密和安全治理等提供了优秀的解决方案和产品,致力于保护数据安全,有效应对数据安全合规带来的风险与挑战。以数据智能分类为基础,对相关涉密数据进行全面的防护,保证数据全生命周期安全,重点解决企事业单位在深化信息化管理应用后面临的数据安全以及部门间、企业间数据共享的安全需求,保证用户数据无论何时何地均受到严密的安全防护及严谨的监控管理,杜绝数据被有意窃取或无意泄密的问题。
文与武、静与动之间,是有一种神秘联系的。
数据资产与企业存亡,泄密与安全,只有把他们调和好的企业,才能在看似不相干甚至完全对立的世界里如鱼得水,左右逢源。
世界万物竟然是相通的。
——Robert Xu
数字经济蓬勃发展,对我们的生产和生活方式产生了重要影响。
由此而来,数据资源也已经成为了驱动数字经济发展的关键要素。
2020年3月30日,《关于构建更加完善的要素市场化配置体制机制的意见》正式出台。这是中央第一份关于要素市场化配置的文件。
这是国家首次将数据要素与土地、劳动力、资本、技术等市场要素相并列,《意见》强调“推进政府数据开放共享……提升社会数据资源价值……加强数据资源整合和安全保护”。
数据第一次成为了生产要素。数据资源数据价值体系的根基、是信息的载体、是洞见的基础。
数据的开放共享、价值挖掘、价值整合等,是实施大数据战略的上层建筑。数据资产作为信息的载体,是政府和企业的知识积累,具有私密性和安全性的要求。要保证上层建筑的可靠、稳定、安全的完成,数据资产的治理和安全保护成为当前亟待解决的问题。
时不我待。
01
数据的资产属性
不是所有的数据都是数据资产
作为生产要素的数据资源并非都是数字资产。数据的含义很广,各种数字,符号、字符、文本、声音、图像、照片、设计、算法、软件、工艺流程、配方和视频等都是数据。而数据资产本质上是数字化的知识和信息,能够成为企业生产经营不可或缺的生产资料。
举个例子:共享单车。共享单车的交易信息、租赁者数据、租赁时间等等都属于数据本身,它不属于企业的数据资产,不可作为企业的资产进行处置和经营。但是,在此基础上分析得到的共享单车的骑行半径、租车频率等统计数据就属于数据资产了,这些合法取得的数据资产可以合法的出售、可以用来作咨询依据、可以为其他企业的办公选址、房产开发商选址、医院和银行的网点布局等等提供决策依据等等,是可以进行有偿的交易的。它能为企业带来合法的经营收入。
再比如,体检机构取得的每个人的体检数据不属于体检机构的数据资产。但是,经过统计和挖掘的地区内体检人员的年龄、身高、体重、基础疾病等分布就属于数据资产了,与共享单车一样,他可以服务于金融、保险、制造业等,据此展开柔性制造、精细化营销、精细化的服务等,是推出的产品更适合本地区人民的特征。
过去,我讲到过,互联网时代的OTO成功的三个必要条件,这三个条件是:需求刚性、服务频次、服务半径。凭空想象是无法知道自己的线下门店是不是能满足的,但是,如果能取得上述类似的信息,这些条件的判断就容易多了。OTO成功的概率就能大大提升。
可见,不是所有的数据都是资产!
尽管现在我们的企业财务的资产负债表上,数据资产还没有一项专门的分类出现,但是,我们可以借用财务准则来衡量一下,究竟什么才是数据资产。
我国《企业会计准则——基本准则》规定:企业的资产是指企业过去的交易或者事项形成的、由企业拥有或者控制的、预期会给企业带来经济利益的资源。
因此,数据能被确认为资产,必须满足三个前提条件:
其一:企业拥有该项数据资源的所有权或使用权;
其二:其成本能够可靠地计量;
其三:企业使用该项数据资源能够产生现金和现金等价物的流入,并且其价值能够可靠地计量。
所以,不是积累、收集和开发了海量的数据就是企业的数据资产,只有符合上述财务关于资产的定义,且能够可靠计量的数据资源才能被确认为数据资产。
此处,敲黑板了。界限分明啊,否则监狱的大门将向你打开!
那些通过APP收集的大量用户的私人信息,最多只是软件开发商的数据资源,如果得不到合法授权就对外出售或者作为它用,那么,不但不能成为会计上认可的数据资产,而且将会触犯法律。
02
意识不到危险才是最大的危险
数据资产一旦泄密,可能就是万劫不复
数据资产作为生产要素之一,也就明确了数据资产对企业的重要性了。
企业的数据资产如果未得到有效保护,不但会可能对企业造成不可估量的损失,也将影响广大百姓的利益。
企业发展壮大的同时,数据资产安全已成为全球最常见的网络安全事件之一。规模越大的企业泄密风险越高,带来的损失也越大。一项有关企业数据资产泄露的研究显示:
◆涉事企业平均损失资金3.47亿美元(包括法律费用、罚款、补救费用和其他费用)
◆涉事企业股价平均下跌7.5%,平均损失市值54亿美元。
◆涉事企业的股价平均花费46天才恢复到数据泄露之前的水平(当然可能有的企业因此而倒闭)。
更有一些企业,一旦企业数据资产遭到泄露,就不能轻易的恢复,甚至直接倒闭。
(图片来自华云数创www.chinaclouddata.com.cn)
全球数据资产泄密事件可以说是频繁发生。上图就一些重大的数据泄密事件给了一个总结,国内国外均有大量的发生。
前些日子,我们与一家著名的咨询公司一起合作和沟通,针对国内制造业发生的一系列数据资产泄密事件也做了一下总结,泄密事件发生后,企业的损失惨重。参见下图。
(图片来自华云数创www.chinaclouddata.com.cn)
Verizon发布2019年DBIR,报告分析了86个国家发生的41,686起安全事件,其中2,013起是数据泄露事件(如下图)。
(图片来自华云数创www.chinaclouddata.com.cn)
图中给出了三个方面的统计:数据资产泄密的受害者、攻击的背后者和泄密行为的途径(攻击的行动方式)。
另有研究显示:
近半数数据泄露(48%)源自恶意攻击或犯罪活动,此类泄露是代价最高昂的,人均损失157美元。
27%的数据泄露是人为失误导致,比如说粗心大意的员工或合作商,平均损失在131美元。
25%的数据泄露由系统故障所致,包括技术性的和业务过程上的,平均损失在128美元。
下图给出了企业数据资产由于存在以下三种主要的情况而导致泄密。
(图片来自华云数创www.chinaclouddata.com.cn)
三种主要的导致数据资产失控的途径为:
l 员工使用私人设备(如移动硬盘、手机、个人笔记本等)存储企业数据,这类占到数据资产失控原因的50%。
l 企业关键业务应用如何调用核心数据,和哪些其他应用存在数据交互不为人知,这类占到数据资产失控原因的36%。
l 企业数据使用情况和流转过程对IT不可见,这类占到数据资产失控原因的50%。
尽管数据资产的安全保护和加密已经是保护和发展企业生产力的一个关键的因素了,但是,事实上,由于各种原因,企业对数据资产的安全意识还十分的薄弱。下图给出了目前的现状。图中从“敏感信息泄露的非技术手段”、“信息泄露的行业分析”和'商业秘密信息泄露的行业分析”等几方面给出了详细的数据和分析,并指出“迷信设备、过度依赖设备”、“心存侥幸、忽略风险”和“过于自信、拒绝警示”等是导致数据资产泄密的重要原因,从而导致危险随时发生,进而导致企业蒙受重大的损失。
意识不到危险才是最大的危险!而这,恰恰是很多企业的通病。也有不少企业意识到了危险,却因为防范需要的投资而裹足不前,踌躇徘徊,最终因为损失发生才后悔莫及。
(图片来自华云数创www.chinaclouddata.com.cn)
数据资产安全意识亟待提升,才能确保企业的数据资产能发挥生产要素的作用,确保为企业的发展、利润源源不断的贡献力量。
首先,数据资产的泄密频繁发生:每400封邮件中就有一封包含敏感信息;每50份通过网络传输的文件中就有1份包含敏感数据;每2个U盘中就有一个包含敏感信息......
其次,泄密的损失超乎想象:全球有80%的企业存在信息泄漏的风险;在发达国家,泄漏一条客户信息带来的损失高达200美金......
再次,泄密防护迫在眉睫:在所有被调查的公司中,进行常规性安全检查的公司不到50%,而采取技术措施控制的公司只有30%,国内的比例则更低。在泄密事件的调查统计中,有64%是因为流程缺陷和内部员工的无意识泄密所致。
最后,这也是企业安全生产的合规监管的要求。(下文我们详谈)
03
“出海”需要数据资产保护
即是合规监管要求
也是商秘的保护神
国内企业的海外分支机构,在安全方面面临诸多问题,尤其数据安全问题随着环境的变化而进一步放大。除了常见的网络问题,通过防火墙、防病毒等手段能够进行一定程度的缓解,出海企业在数据资产安全方面保护仍存在众多的盲点和缺口亟待解决。
出海企业的数据资产安全问题主要包括两个方面:
(一)“走出去”产生的合规新问题
网络和数据安全已上升为国家战略,数据安全管理国家标准规范建立加快,个人信息保护及规范使用不断强化,全社会数据安全意识持续增强。随着互联网、大数据、云计算产业的发展,国家和社会对数据安全和技术的要求也越来越高。
(图片来自“ICT销售与大客户联盟”,微信公众号ID:ICT_League)
此外:
1、在“中国银行业信息科技“十三五”发展规划监管指导意见”第十一章第四节中明确提出“推进信息资产分类分级管理,加大敏感信息保护力度”。
2、在“工业和信息化部关于开展2016年电信和互联网行业网络安全试点示范工作的通知”中明确2016年电信和互联网行业网络安全试点示范重点引导方向的第二项就是“数据安全和用户信息保护”。
3、在央企商业秘密保护技术指引中明确提出以数据安全为核心,在新版本中还加入了“商业秘密安全保护监测”的要求,进一步优化了数据安全保护的全面性和体系性。
国内各行各业都有一系列数据资产的保护法规,如下图示。
(图片来自华云数创www.chinaclouddata.com.cn)
对于数据资产安全的合规问题,每个国家都制定了自己的法律法规,覆盖非洲、亚太、中南美洲、欧洲、中东、北美等,比如泰国的《2019年个人数据保护法》、土耳其的个人资料保护法、新加坡-个人数据保护法(PDPA)、欧盟的GDPR等等,对数据合规性都有严格的法律约束。
(图片来自华云数创www.chinaclouddata.com.cn)
国内在这方面与国外不同,国外更注重个人隐私的保护,而目前国内在个人隐私等数据合规性的方面,还没有出台正式的法律法规,对个人隐私等保护没有采取相应的强制措施。
在这样的背景下,中企出海面临诸多新问题,突出表现在对当地法律不了解,违反了本地的个人隐私的合规要求,进而造成严重后果。比如出海企业如何保护本地的海外雇员的个人隐私的合规性,如何保护本地用户的个人隐私的合规性。诸如简历、个人身份信息、医疗健康信息等等,在国内不会被关注的合规问题,在出海后则是必须解决的首要问题。
(二)从内部保护到开放发展所放大的商秘问题
国内企业对自身的商业秘密,都有一定程度的保护。像军工、央企等部门,通过内部网络管理、内网隔离等手段,获得了很好的保护效果。而出海后,一方面海外分支机构与国内机构的沟通需要借助网络进行,另一方面海外分支机构多借助自带电脑来开展工作,在这样愈加复杂的网络环境下,商业秘密保护、知识产权的保护需求被进一步放大。
商业秘密具有极高的价值,在一定条件下甚至转化为国家秘密,如何保护数据资产的安全性,是出海企业关注的重点。
此外,海外工作的模式和氛围与国内有很大差异,突出表现在人这一关键要素上,人是安全的核心要素。国内员工通过文化、制度等综合手段能够形成制约从而获得商业秘密的安全保护,而国外员工更开放,无法使用国内同样的手段约束员工来保护数据安全。
“一带一路”下,保障出海企业的数据资产安全,亟待解决上述两大问题。
04
数据资产安全自动化解决方案企业部署现状:
只有16%的企业完全部署了
36%的企业进行了部分部署
前面的综合分析给出了数据资产安全在企业数字化转型工作中的重要性和必要性。
从目前来看,几乎任何市场上的单一的安全模型都不能解决所有的问题。完美的解决需要从三个维度来考虑:人、数据、位置。一套新的方法论由此产生:以人与数据为中心,发现敏感数据和数据资产,识别、标注、分级数据资产,发现异常人员和异常行为,将传统技术与创新技术相融合,在数据资产的流动中实现保护和预警等,从而实现人、终端、业务系统、操作的完整跟踪和追溯。
(图片来自华云数创www.chinaclouddata.com.cn)
尽管数据资产安全如此重要,但是现实的情况还是让人触目惊心的。只有16%的企业完全部署了安全自动化解决方案,36%的企业进行了部分部署,36%的企业没有部署但准备在24个月内部署,最终还剩下12%的企业没有也不准备部署该方案。下图给出了2018~2019年企业部署的统计数字。
(图片来自华云数创www.chinaclouddata.com.cn)
当然,事实上也不是所有的企业都需要部署数据资产安全解决方案和系统的。哪些用户需要呢?他们需要重点保护的又是哪些内容呢?从笔者多年从事并与客户交流和部署的经验和总结来看:
首先,金融、保险、电信机构等:需要特别关注的内容包括但不限于,交易数据、账目信息、融资投资信息、董事会决议、大客户信息、上市公司中报/年报等;
其次,政府和军队:需要特别关注的内容包括但不限于,公文,统计数据,机要文件,会议机要,军事情报、军事地图、作战方案;
再次,咨询型企业:需要特别关注的内容包括但不限于,调查报告、咨询报告、招投标文件、专利、客户资料、价格等;
再次,设计类机构:需要特别关注的内容包括但不限于,设计图、设计方案、策划文案、客户信息、软件程序等;
再次,制造业:需要特别关注的内容包括但不限于,设计图纸、价格体系、商业计划、客户资料、财务预算、市场宣传计划、采购成本、合同订单、物流信息、管理制度等;
最后,特别强调的一类是出海企业:需要特别关注的内容包括但不限于以下几个方面:
1)掌控商业秘密的静态存储:发现各终端中商业秘密的存储情况;
2)把握数据流动情况,发现数据的异常流动并及时采取保护措施;
3)水印追溯进一步建立数据防泄密的威慑体系,防止用户通过屏幕、打印等输出方式造成商业秘密的泄漏;
4)商业秘密输出防护控制:对商业秘密通过U盘,网络,打印等输出方式进行审计和控制;
5)特定涉密数据特殊保护:对特定的敏感文件可通过加密、设定使用权限,使用范围等方式形成加强级保护。
通过上述商业秘密保护手段,以数据为中心的商业秘密审计和防护的立体纵深安全体系,形成数据安全的闭环,在不影响正常工作前提下,及时发现、识别可能侵害出海企业商业秘密的行为,保护企业的商业秘密安全。
另外,出海企业更需要关注和建立个人隐私保护体系。对个人隐私进行识别和保护,以便解除出海企业在不同国家不同标准的合规性方面的困扰。
这就要求在数据资产安全体系中,通过内置各个国家、各种语言的合规标准规则,涵盖各行业的各种数据分类标准,逾越法律与技术、安全之间的鸿沟,把最后一公里打通,实现个人隐私的发现和保护,防止因企业原因泄漏个人隐私而违反当地法律法规。
05
结束语
(图片来自华云数创www.chinaclouddata.com.cn)
本文分析了数据资产的基本概念和数据资产安全保护的现状、重要性和必要性等问题。对于出海企业,目前各类纠纷不断,数据资产的安全和保护,不能只是依据国内的做法来完成,需要遵循所在国的法律、法规、习惯等一些列的国内不具备的条件来完成,做好数据资产的安全工作更为重要,也更为紧迫。
关于数据资产安全和保护的架构、实现等,由于篇幅所限,我们另文探讨。
欢迎大家咨询沟通。
欢迎大家拍砖。