(原标题:360杜跃进ISC演讲:每个企业都要有数据安全官)
“如果大数据杀熟、侵犯用户隐私等数据安全问题不能得到控制,数字经济的整个社会秩序便会受到影响。”7月28日,三六零(601360.SH,下称“360”)集团副总裁、首席安全官、大数据协同安全技术国家工程实验室常务副主任杜跃进博士,在ISC 2021数据安全与隐私保护战略峰会上作题为《数据安全与人才培养》的演讲。
杜跃进指出,数据安全,是当前最恐慌、最混乱的新问题,企业不能假装看不见当前数据被滥用、被误用等数据安全问题。
“在此背景下,数据安全专业人员将成为保障企业或组织数据安全与依法合规的关键因素。”杜跃进表示,每个企业都需要数据安全官,以提升企业数据安全整体能力,并以达到保障数据安全效果为最终目标。
(360集团副总裁、首席安全官、大数据协同安全技术国家工程实验室常务副主任杜跃进博士)
大数据杀熟也是一种数据滥用
“数据安全,是当前最恐慌、最混乱的新问题。”在杜跃进看来,数据安全不是传统数据文件保密、数据版权保护、数据库安全等,更不是大数据平台安全、云计算安全和传统网络信息系统安全,而是大数据和智能化时代下,从不同视角关注的数据防窃取/破坏、防滥用和防误用。
具体来说,数据破坏,即黑客潜入其他主体的电脑,对文件加密、窃取或者删除;数据滥用,即别人的个人隐私或信息在自己手里,自己违背别人的意愿访问或使用这些信息,危害别人的利益;数据误用,即拥有大数据的主体对大数据的使用方法不当,导致隐私泄露等用户权益受损。
杜跃进举例说,如果拥有数据的企业,因为某个消费者消费高,便将同一个商品涨价30%售卖给他,便侵犯了消费者利益,这就是大数据杀熟,其本质也是一种数据滥用,也在客观上让消费者遭受了不公平待遇。
“如果企业等机构不能控制滥用和误用数据等安全风险,用户就无法放心。普通老百姓都很关注这件事情,监管部门对此也有回应,企业等机构不能假装没看见。”杜跃进指出。
而从不同视角来看,数据安全面临不同的问题。比如,在电商平台购物,从个人视角来看,注册信息以及购物相关行为数据构成消费者隐私,从企业视角来看,涉及企业利益问题,从监管视角来看,一定情况下则涉及国家安全问题。因此,如果大数据杀熟、侵犯用户隐私等数据滥用和误用问题不能得到控制,消费者、企业、监管部门相互之间不能放心,数字经济的整个社会秩序便会受到影响。
围绕真实场景迭代数据安全解决方案
传统的数据安全概念和方案已经不适用于数字经济时代的数据安全,需要新理念和新框架。
杜跃进指出,技术上,要跳出传统IT安全的限制,从“以系统为中心”,转到“以数据为中心”;管理上,要改变原来自上而下的单一模式,从特定行业的强化“管理”方式,转到面对普遍问题的多方“治理”模式,建立多方参与的数据安全治理生态;机制上,要调整只会处罚的一刀切做法,从“处罚一招鲜”,转到有处罚有激励有帮助,充分调动积极性。
“同时,解决数字经济时代的数据安全问题不能闭门造车,一定要从产业中来,到产业中去,在产业实践中找问题、找方法,并不断迭代和完善。”杜跃进举例称,数字经济的技术和业务依然在快速发展变化,不同行业不同企业中数据是什么形态、如何应用的有很多不同,在这些场景中究竟面临哪些数据安全威胁和风险也在快速变化,黑灰产规模庞大人数众多,对这些内容没有充分了解,就难以找到真正科学有效的数据安全应对方案。因此,对数字经济时代的数据安全问题,亟需各行各业总结经验,包括亟需将安全公司与攻击者对抗的经验进行总结提炼,并再运用到产业中去。
此外,仅靠安全产业界现有的力量是远远不够的,要开放创新,建立数据安全生态,从而广泛依靠社会力量共同探索,才能提高数据安全水平,提高数据安全整体能力。
快速变化和充满不确定性将伴随数字工业革命时代,要适应这个特点,应遵循场景为王,并保持持续迭代。“所有的研究都不能停留在理论证明层面,而是要围绕真实的场景和问题,依靠真实的效果评价进行检验,并且要保持快速迭代和改进。”杜跃进表示。
每个企业都要有数据安全官
“安全不仅是技术问题已经成为常识,但是对组织和管理的要求却经常被忽略。”杜跃进指出,目前很多企业给出的数据安全方案中忽略了组织和管理的部分,并解释了为什么数据安全能力成熟度标准(DSMM)中的能力要素专门增加了“组织建设”的部分:构建能力的要素一般共识是技术、人员、流程(含资源),但数字经济时代的数据安全必须“以组织为单位”,组织中的数据安全设计必须考虑到数据安全组织结构的匹配问题,否则就无法保证数据安全能力体系的良好实践。
数据安全问题当前最紧迫的问题是人才不足,一个组织的数据安全能力也离不开组织中人员的能力,在企业内设计数据安全岗位势在必行,国家法律其实也提出了要求。杜跃进表示,该岗位需要理解法律要求、业务情况、数据安全风险和技术等,按照数据在组织内的生命周期进行梳理,并根据不同的数据生命周期阶段的安全需求,对可能涉及的岗位的数据安全能力作出不同要求。
因此,数据安全官也将成为企业的必要岗位。在杜跃进博士看来,数据安全官相当于“数据风险的治理者”,要负责统筹规划数据安全战略目标,协调各部门共同协作进行体系化建设,以提升组织的数据安全整体能力,并以达到保障数据安全效果为最终目标。
在此背景下,数据安全人才能力培养成为当前数据安全领域最紧迫的问题。据悉,大数据协同安全技术国家工程实验室已联合广泛的合作伙伴,充分吸取产业界的经验,推出注册数据安全官、注册数据安全工程师、DSMM(数据安全能力成熟度模型)测评师三类人才培训。
此外,杜跃进博士现场宣布,中国计算机学会大数据与计算智能大赛(CCF-BDCI)组委会、大数据协同安全技术国家工程实验室将联合360集团,首度开设“CCF大数据与计算智能大赛大安全专题赛道“数字安全公开赛”,围绕数据安全、人工智能安全、工业互联网安全等方向,持续开展开放创新活动。大赛将于8月22日正式开赛,用众研众创的生态力量,寻找真问题,探寻最优解,开放数据集,共建大生态,也为社会发现更多高质量数据安全人才。
实际上,《网络安全法》、《数据安全法》和将发布的《个人信息保护法》等法规标准早已对数据安全人才培养、人员能力提出明确要求,尤其是《数据安全法》指出,重要数据的处理者应当明确数据安全负责人和管理机构,落实数据安全保护责任。拥有专业的数据安全管理和技术人才,将成为现代企业不可或缺的重要安全保障。