胡剑锋:微盟数据被删除,数据安全从黑天鹅变成了灰犀牛
微盟的数据库被某运维人员恶意删除事件,成了业界的头条。原本一个企业的数据丢了,不会引起这么大的反响,但微盟不一样。
这件事之所以沸沸扬扬,主要是两个原因:
一是微盟有号称300万的企业用户,关键是这些客户都在用微盟产品做生意,数据丢失、生意受损而使影响面极大。
二是删除数据库,甚至备份数据库,这在业界乃是人神共愤的恶劣事件。
微盟事件给数百万家小微企业带来了损失,也给所有涉及数据的商业机构上了一课。
无论愿不愿意、承不承认,今天的网络化、信息化和智慧化,已成必然。尤其在新冠肺炎疫情突袭之下,懵懵懂懂开始网络办公的大有人在,几乎无一幸免。凡事兴一利必有一弊,相伴随而来的,数据安全也变得越来越重要。
如果说,微盟事件是黑天鹅,那么微盟事件之后,网络安全就成灰犀牛。
数据很重要。过去马云说数据是资产,也许到现在很多人仍然不以为然。但当网络工作成为常态,数据就真的变成了实实在在的资产。当下的一切商业活动,最终落脚点几乎都在数据上。不仅是产品资料、合同往来、交易记录,连商业中最基本的“钱”,也都是银行账号上的数据而已。
当数据变得越来越重要的时候,数据的安全就需要提到一个足够的高度。
什么样的高度才算“足够”,又怎么才能实现?
首先是法律体系对国家整体而言,无论是从技术还是商业,目前对数据安全的重视程度都不够。《刑法》第二百八十六条和后续的司法解释,还只是针对“计算机信息系统”,而且造成重大损失不过有期徒刑五年以下,特别严重、社会影响巨大才会五年以上。可是近十年来互联网的发展可谓天翻地覆,商业数据也早已经不是原来“计算机信息系统”的概念了。所以应当有更新的修正案,严刑峻法应是必然。提升对恶意破坏数据行为的惩罚,才能让全社会对数据安全的认识提升到足够的高度,才能减少此类犯罪。笔者以为恶意破坏数据应等同于蓄意纵火论罪。其次是全民教育
数据安全需要宣传普及,让所有人都明白,而不只是搞信息技术的人。既然数据成为资产,保护资产安全和对资产侵犯行为的反击,都是有数据安全意识的表现。宏观层面的应对,只能呼吁,路还很长。不过对企业而言,可以立即行动。解决数据安全问题,说难也不难,无外乎指导思想、组织保障、方法与工具三个层面:第一层面是健全规则、提升意识
企业必须要提升安全意识。但当前状态是,非信息技术人员通常会认为,数据安全与我无关、离我们很远,即便是技术人员也对此并不敏感。没有意识到数据安全的重要性,未来必将会有更多麻烦。互联网改变了人类的生活。但是任何事物的发展,都必须有相匹配的秩序和教育,否则都不会长远。第二层面是提升高度、健全组织
数据安全问题,必须上升到企业决策层面。中国已经成为互联网的中心国度之一,依赖于在互联网的经济体越来越多,数据安全直接威胁企业的生存安全。所以,企业决策层必须关注数据安全,防止数据泄露和数据灾难,甚至应该将数据安全问题提高为董事会的议题之一。企业重视数据安全的表现之一,便是决策者担当数据安全的责任人,而非过去的行政人员或者技术人员。至于具体怎么管,每个企业都有自己的逻辑,确定责任者后,组织结构设计并不是问题。第三层面是改变方法、利用工具
任何数据安全的措施都需要有预算投入,没有投入就不可能实现数据安全。至于多大的投入,则决定于企业的形态和规模。这对于一个缺乏技术力量的企业来说,也许会有很大的压力。所以,安全投入本质上还是意识问题。数据安全当然不仅仅是人的问题,安全工具也非常重要。数据安全涉及到的管理和技术手段非常多,市场上的产品也非常多。但是真想要用起来,就必须有人能够掌握这些工具,而且不会被工具反噬。如果认为一次性工具和人员投入太大,企业可以选择第三方安全服务,既可以降低成本,又可以提升整体能力。当然数据安全服务商也要提供更合适、更简单、更有效的产品。两者结合才能相得益彰。从长远来看,根本上改变数据安全问题,更经济的方式还是要在商业形态、基础技术和基础设施上下手。例如,是否可以有类似保险公司的组织来做安全支撑?是否会有更新的技术发明出来?是否可以用国家背书的联盟区块链技术?这当然是后话。虽然存在着不确定的数据安全风险,但网路化、信息化和智慧化的行动却不能停止。这一切是未来、是必然,断然不能因噎废食。夸张点说,正如美国是一个建在轮子上的国家一样,中国也已经架在互联网上了。所谓问题,只不过是滔天大浪中的一个水花。既然不能拒绝趋势,那就重视过程吧。
