2月15日,由国家互联网信息办公室等十三部门联合修订发布的《网络安全审查办法》正式施行。
随着国家对网络安全问题愈发重视,从2017年起已陆续出台《网络安全法》、《数据安全法》、《关键信息基础设施安全保护条例》等法规,把网络安全提高到立法层面,而作为建设关键信息基础设施所涉及的产品、服务以及数据处理活动并没有设立明确的审核办法。
基于上述原因,由国家互联网信息办公室制定《网络安全审查办法》,为了确保关键信息基础设施供应链安全,保障网络安全和数据安全,维护国家安全。该办法可以说是对网络安全相关法律法规、条例的具体落实。
此次修订并实施的《网络安全审查办法》,仍以关键信息基础设施的供应链安全为核心。工控安全厂商威努特的安全专家在接受安全419采访时指出,《办法》第二条“关键信息基础设施运营者采购网络产品和服务,网络平台运营者开展数据处理活动,影响或者可能影响国家安全的,应当按照本办法进行网络安全审查”,清晰表达了网络安全的决定因素就是国家关键信息基础设施安全,只有关键信息基础设施安全得到保证,才能实现国家网络安全。
近年来,全球关键信息基础设施网络安全事件层出不穷,涉及电力、石油、制造等国计民生领域,其中2021年SolarWinds 黑客入侵事件就属于典型的供应链攻击。安全风险通过供应链进行渗透的渠道越来越多样化,并成为安全威胁的主要来源,严重影响了关键信息基础设施的稳定运行。
威努特安全专家同时向我们阐释了工业体系中目前普遍面临的安全症结点,即工业用户通常认为供应商对其系统的缺陷和安全性了如指掌,实际上大部分供应商仅限于其所能够提供的功能,当系统真正出现安全问题时,其所能提供的解决办法有限,他们更关注的是工控系统功能的实现,其外围终端设备所做的防护十分有限。
“利用系统中第三方产品或服务升级过程中,通过合法的途径恶意利用安全漏洞及脆弱性是破坏关键信息基础设施的重要手段,可能造成设备损坏、系统失效、重要数据泄露等后果。”威努特安全专家解释道。
《办法》第五条明确,“关键信息基础设施运营者采购网络产品和服务的,应当预判该产品和服务投入使用后可能带来的国家安全风险。影响或者可能影响国家安全的,应当向网络安全审查办公室申报网络安全审查。”因此,此次《办法》的施行有利于工业企业用户进一步强化网络安全、数据安全和供应链安全的意识,将安全保障工作关口前移,防范第三方网络产品及服务供应链中引入安全漏洞、恶意代码,木马后门等,这样可以从源头消解网络安全风险,为关键信息基础设施网络安全提供可靠保障。
《数据安全法》中明确规定国家建立数据安全审查制度,此次修订的《网络安全审查办法》将网络平台运营者开展数据处理活动影响或者可能影响国家安全等情形纳入网络安全审查范围,如此更广泛、更严格的审查制度引发了行业大面积关注。
对此,数据安全厂商昂楷科技的安全专家向安全419解释,网络平台含有大量个人隐私信息及相关的影响国家安全的敏感信息,比如个人使用打车平台,会记录个人相关的路线轨迹,人物、地点、时间、频率等多要素可以很轻易把个人信息、家庭地址、工作地址等相关联,这些信息如果被敌对势力利用,会对个人、企业及国家造成风险。其他社交、招聘、互联网金融平台等也会涉及到这些问题,所以网络平台运营者的数据处理活动纳入监管是合理合法且十分必要的。
另一方面,将网络平台运营者的数据处理活动纳入监管,实际上也在一定层面上帮助网络平台更早地对数据安全问题采取措施,避免在出海后受国外的法律制裁(或者说只需要经过微调即可符合国外法律法规的要求),比如Facebook在欧洲被罚款就是数据安全方面触犯了欧盟的隐私法。
因此,数据处理活动中可能面临的安全隐患及其防范举措就成为企业用户需要重点注意和加强的。昂楷科技数据安全专家认为,数据处理活动主要指收集、存储、分析画像、数据杀熟、数据出境、数据交易、流转等方面的活动。网络平台运营者数据处理过程中的安全防护重点在数据安全建设和数据安全运营两方面。数据安全建设方面,要从组织、制度、流程及安全能力方面进行建设;数据安全运营是一项持续的工作,数据安全是一个过程,需要不断优化,以业务为主体进行持续的运营,这也是安全工作的重中之重。
“目前行业中数据安全工作普遍面临的难点在于数据如何分类分级,亟待行业和企业一起将标准定义出来,以标准为基础不断优化。另一方面,各企业员工的安全意识如何提高也是比较棘手的,需要通过培训、制度及流程等持续影响。”昂楷科技数据安全专家说道。
毋庸置疑,《网络安全审查办法》重点加强了对数据安全的关注和规范。威努特安全专家指出,工业企业已逐步进入到了数字安全时代,网络安全风险遍布工业场景中,数据安全风险也急剧增加,一旦出现安全问题,影响后果将会比过去更加深远。所以建议工业企业在进行网络安全建设时,应提高对数据安全防护能力建设的投入。其次,安全取决于最薄弱的环节,而供应链攻击正在变得更加广泛,其频率和复杂程度也在不断增加,因此要强调供应链安全的核心思想。
昂楷科技数据安全专家建议行业用户以数据安全建设能力和数据安全运营能力为两大抓手来完善数据安全治理体系建设,在选择服务商时,应充分评估供应商的数据安全治理的技术和服务能力,以及公司价值观及愿景,是否可以成为本组织长期的合作伙伴。
另外,昂楷科技也呼吁国家和行业制定更多更明确的标准指南,帮助行业用户加速数据安全治理体系的建设。在政策层面,建议国家和行业监管部门继续完善和制定行业数据分类分级相关的政策、标准和实施指南,建立长效工作机制;数据处理组织层面,建议数据处理组织参照国家监管要求、行业标准及成功案例,明确本组织数据分类分级及数据安全管理的目标、工作流程、检查内容、责任部门等。