(一)疫情期間數(shù)據(jù)安全備受全球關(guān)注,我國堅(jiān)持安全使用大數(shù)據(jù)抗擊疫情
一是以防疫抗疫為誘餌觸發(fā)的數(shù)據(jù)安全事件多發(fā)评矩。新冠
疫情的爆發(fā)叶堆,導(dǎo)致多國停工停業(yè),而黑客卻忙的不亦樂乎斥杜。例如2020年2月虱颗,印度APT黑客組織利用疫情相關(guān)題材作為誘餌文檔進(jìn)行魚叉式攻擊,以竊取敏感信息為主蔗喂,醫(yī)療領(lǐng)域成為此次攻擊的最大受害者墙滋。此外,涉防疫醫(yī)療物資購買妨屑、航班行程退改簽等詐騙新手法新套路層出不窮巍慧,境內(nèi)網(wǎng)站報(bào)道了多起涉疫情的數(shù)據(jù)安全事件,發(fā)生場景主要是醫(yī)療數(shù)據(jù)和個(gè)人信息遭泄露浑云、超范圍共享并园、被盜用等。
二是全球疫情期間數(shù)據(jù)安全措施呈現(xiàn)非授權(quán)使用庸垢、個(gè)人明示同意樊颁、跨境共享等多元化特征。多國在疫情期間為醫(yī)療數(shù)據(jù)呀逃、個(gè)人信息的收集澳银、使用、披露安全制定了臨時(shí)規(guī)則君祸。2020年3月批型,美國衛(wèi)生與公共服務(wù)部(HHS)發(fā)布公告,在公共衛(wèi)生緊急狀態(tài)期間含滴,無需COVID-19患者授權(quán)即可將其健康信息共享給相關(guān)執(zhí)法機(jī)構(gòu)和公共衛(wèi)生部門诱渤。2020年4月,美國國會引入《COVID-19消費(fèi)者數(shù)據(jù)保護(hù)法案》(CCDPA)谈况、公共衛(wèi)生緊急情況隱私法》(PHEPA)兩項(xiàng)隱私立法提案勺美,旨在通過追蹤技術(shù)有效防控COVID-19的同時(shí),加強(qiáng)消費(fèi)者的個(gè)人健康信息和數(shù)據(jù)安全保護(hù)碑韵,并要求相關(guān)機(jī)構(gòu)在收集赡茸、使用缎脾、披露相關(guān)信息之前取得用戶的明示同意。歐洲數(shù)據(jù)保護(hù)委員會(EDPB)發(fā)布了《在COVID-19爆發(fā)期間用于科學(xué)研究的健康數(shù)據(jù)處理準(zhǔn)則》占卧,闡明了透明性遗菠、目的限制、數(shù)據(jù)最小化等數(shù)據(jù)保護(hù)原則华蜒,提出允許相關(guān)健康數(shù)據(jù)跨境傳輸以加強(qiáng)疫情防控全球合作辙纬。
三是我國利用大數(shù)據(jù)抗疫的同時(shí)關(guān)注個(gè)人信息保護(hù)。工信部等政府部門協(xié)同合作叭喜,加強(qiáng)與企業(yè)聯(lián)動贺拣,積極利用大數(shù)據(jù)技術(shù)手段加大疫情防控力度。在阻擊疫情期間矗赔,國家互聯(lián)網(wǎng)信息辦公室贤丐、國家衛(wèi)生健康委員會、工信部等多個(gè)部門發(fā)布《關(guān)于做好個(gè)人信息保護(hù)利用大數(shù)據(jù)支撐聯(lián)防聯(lián)控工作的通知》《關(guān)于加強(qiáng)信息化支撐新型冠狀病毒感染的肺炎疫情防控工作的通知》《關(guān)于做好疫情防控期間信息通信行業(yè)網(wǎng)絡(luò)安全保障工作的通知》等文件坦浦,對個(gè)人信息保護(hù)提出要求辙求。
(二)全球數(shù)據(jù)安全威脅嚴(yán)重,工業(yè)互聯(lián)網(wǎng)數(shù)據(jù)安全形勢嚴(yán)峻
一是針對數(shù)據(jù)層面的攻擊方式新型多樣闭凡。以暴力破解憑證丝您、勒索攻擊、撞庫攻擊秩菩、漏洞攻擊等方式威脅數(shù)據(jù)安全的網(wǎng)絡(luò)攻擊日益增多但珍,尤其是勒索攻擊呈現(xiàn)目標(biāo)多元化、手段復(fù)雜化粉簇、解密難度大绎术、索要贖金高、危害估量難等特征蛀膊,成為工業(yè)互聯(lián)網(wǎng)數(shù)據(jù)安全的重大威脅材诽。專門從事勒索軟件響應(yīng)服務(wù)的Coveware公司稱,2020年第一季度企業(yè)平均勒索贖金支付增加至111605美元恒傻,比2019年第四季度增長了33%脸侥,目前勒索軟件主要的攻擊傳播方式仍以遠(yuǎn)程桌面服務(wù)和釣魚郵件為主。
據(jù)Verizon《2020年數(shù)據(jù)泄露調(diào)查報(bào)告》統(tǒng)計(jì)盈厘,因黑客攻擊引發(fā)數(shù)據(jù)泄露事件占所有數(shù)據(jù)泄露事件的45%睁枕。2020年以來,發(fā)生了多起工業(yè)互聯(lián)網(wǎng)數(shù)據(jù)安全事件沸手,如今年4月外遇,SpaceX、特斯拉、波音等公司的軍事裝備等機(jī)密文件被勒索加密跳仿;同月诡渴,葡萄牙跨國能源公司EDP遭勒索攻擊,其10TB敏感數(shù)據(jù)文件流出菲语。
二是數(shù)據(jù)竊取妄辩、網(wǎng)絡(luò)黑市數(shù)據(jù)交易等現(xiàn)象層出不窮。據(jù)美國安全情報(bào)供應(yīng)商Risk based Security公布的數(shù)據(jù)顯示谨究,2020年第一季度年發(fā)生的1196起數(shù)據(jù)泄露事件共暴露84億條數(shù)據(jù)写寄,泄漏的數(shù)據(jù)量同比增長了273%诲操。當(dāng)前烟瞳,暗網(wǎng)數(shù)據(jù)交易、精準(zhǔn)詐騙帮伙、撒網(wǎng)式詐騙等網(wǎng)絡(luò)犯罪活動十分猖獗航娩,已經(jīng)成為大規(guī)模有組織的犯罪集團(tuán)、甚至是有國家背景黑客團(tuán)體的重要“發(fā)財(cái)”方式鹰党。2020年6月威脅情報(bào)機(jī)構(gòu)Cyble報(bào)道炫茄,約2000萬中國臺灣人民的敏感個(gè)人數(shù)據(jù)已出現(xiàn)在暗網(wǎng)市場上,包含個(gè)人姓名钓藏、郵政地址状奴、電話號碼、身份ID等精臭。
三是制造業(yè)等領(lǐng)域的工業(yè)互聯(lián)網(wǎng)數(shù)據(jù)已成為重點(diǎn)攻擊對象耗憨。據(jù)Verizon發(fā)布的《2020年數(shù)據(jù)泄露調(diào)查報(bào)告》統(tǒng)計(jì),全球數(shù)據(jù)泄露事件多達(dá)3950起摇祖,同比增長96%眷篇,受影響行業(yè)排名前三依次為醫(yī)療保障、金融保險(xiǎn)和制造業(yè)荔泳,面向制造業(yè)的數(shù)據(jù)安全攻擊動機(jī)也由間諜活動向追求財(cái)富轉(zhuǎn)移蕉饼,與經(jīng)濟(jì)利益相關(guān)的制造業(yè)數(shù)據(jù)泄露事件數(shù)量占比高達(dá)73%。隨著工業(yè)企業(yè)上云玛歌、工業(yè)APP培育等工作持續(xù)推進(jìn)昧港,部分工況狀態(tài)、產(chǎn)能信息等海量工業(yè)數(shù)據(jù)向云平臺匯聚支子,存儲狀態(tài)由離散變?yōu)榧写捶剩饾u形成高價(jià)值的數(shù)據(jù)資源池,這些工業(yè)數(shù)據(jù)將日益成為不法分子牟取利益的攻擊竊密目標(biāo)译荞。
(三)數(shù)據(jù)安全風(fēng)險(xiǎn)點(diǎn)增多瓤的,工業(yè)互聯(lián)網(wǎng)數(shù)據(jù)安全防護(hù)面臨挑戰(zhàn)
一是工業(yè)領(lǐng)域互聯(lián)開放趨勢下數(shù)據(jù)安全風(fēng)險(xiǎn)加大。
隨著越來越多的工業(yè)控制系統(tǒng)與互聯(lián)網(wǎng)連接吞歼,傳統(tǒng)相對封閉的工業(yè)生產(chǎn)環(huán)境被打破圈膏,病毒等威脅從網(wǎng)絡(luò)端滲透蔓延至內(nèi)網(wǎng)系統(tǒng)塔猾,存在內(nèi)網(wǎng)大范圍感染惡意軟件、高危木馬等潛在安全隱患稽坤,黑客可從網(wǎng)絡(luò)端攻擊工業(yè)控制系統(tǒng)永炭,甚至通過攻擊外網(wǎng)服務(wù)器和辦公網(wǎng)實(shí)現(xiàn)數(shù)據(jù)竊取。此外土嚼,工業(yè)主機(jī)魏桅、數(shù)據(jù)庫、APP等存在的端口開放缓缝、漏洞未修復(fù)钳葬、接口未認(rèn)證等問題,都成為了黑客便捷入侵的攻擊點(diǎn)赂品,可造成重要工業(yè)數(shù)據(jù)泄露翩腹、財(cái)產(chǎn)損失等嚴(yán)重后果。
二是數(shù)據(jù)全生命周期各環(huán)節(jié)的安全防護(hù)面臨挑戰(zhàn)誓豺。
從數(shù)據(jù)采集看刷裂,由于不同工業(yè)行業(yè)、企業(yè)間的數(shù)據(jù)接口規(guī)范吏恃、通信協(xié)議不全統(tǒng)一米萝,數(shù)據(jù)采集過程難以實(shí)施有效的整體防護(hù),采集的數(shù)據(jù)可被黑客注入臟數(shù)據(jù)代虾,破壞數(shù)據(jù)質(zhì)量进肯。
從數(shù)據(jù)傳輸看,工業(yè)數(shù)據(jù)實(shí)時(shí)性強(qiáng)褐着,傳統(tǒng)加密傳輸?shù)劝踩夹g(shù)難適用坷澡。
工業(yè)互聯(lián)網(wǎng)數(shù)據(jù)多路徑、跨組織的復(fù)雜流動模式含蓉,導(dǎo)致數(shù)據(jù)傳輸過程難以追蹤溯源频敛。從數(shù)據(jù)存儲看,缺乏完善的數(shù)據(jù)安全分類分級隔離措施和授權(quán)訪問機(jī)制馅扣,存儲數(shù)據(jù)存在被非法訪問竊取斟赚、篡改等風(fēng)險(xiǎn)。
從數(shù)據(jù)使用看差油,工業(yè)互聯(lián)網(wǎng)數(shù)據(jù)的源數(shù)據(jù)多維異構(gòu)拗军、碎片化,傳統(tǒng)數(shù)據(jù)清洗與解析蓄喇、數(shù)據(jù)包深度分析等措施的實(shí)施效果不佳发侵。
三是新一代信息技術(shù)應(yīng)用帶來新的數(shù)據(jù)安全風(fēng)險(xiǎn)。
云環(huán)境下越來越多的工業(yè)控制系統(tǒng)、設(shè)備直接或間接與云平臺連接闲招,網(wǎng)絡(luò)攻擊面顯著擴(kuò)大精幌,單點(diǎn)數(shù)據(jù)一旦被感染,就可能從局部性風(fēng)險(xiǎn)演變成系統(tǒng)性風(fēng)險(xiǎn)蒿疲。信息技術(shù)與制造業(yè)融合發(fā)展犯暮,推動工業(yè)數(shù)據(jù)急劇增長,海量工業(yè)數(shù)據(jù)的安全管理和防護(hù)面臨挑戰(zhàn)棉玻。人工智能泣储、5G、數(shù)字孿生坝亿、虛擬現(xiàn)實(shí)等新技術(shù)應(yīng)用都會引入新的數(shù)據(jù)安全風(fēng)險(xiǎn)隱患屋廓。
(四)數(shù)據(jù)安全治理日趨嚴(yán)格,工業(yè)互聯(lián)網(wǎng)數(shù)據(jù)安全保護(hù)和監(jiān)管提上日程
一是國外加強(qiáng)個(gè)人隱私保護(hù)法規(guī)政策制定喳律。據(jù)統(tǒng)計(jì)周狱,目前全球有130余個(gè)國家和地區(qū)制定了專門的個(gè)人信息保護(hù)法。2020年以來赤朽,多國紛紛加強(qiáng)個(gè)人隱私保護(hù),例如脫歐過渡期中的英國在其《數(shù)據(jù)保護(hù)法》的支持下根據(jù)歐盟《通用數(shù)據(jù)保護(hù)條例》(GDPR)進(jìn)行數(shù)據(jù)管理昆码,韓國計(jì)劃根據(jù)《個(gè)人信息保護(hù)法》推出《個(gè)人信息保護(hù)執(zhí)行令》气忠,日本通過修訂版《個(gè)人信息保護(hù)法》,新西蘭發(fā)布了《個(gè)人數(shù)據(jù)保護(hù)法(修訂)》草案等赋咽。美國參議院相繼提出《數(shù)據(jù)隱私法案》《隱私權(quán)利法案》《通知隱私披露法案》等旧噪,進(jìn)一步要求企業(yè)落實(shí)隱私保護(hù)責(zé)任,強(qiáng)化個(gè)人隱私權(quán)利脓匿。2020年1月1日起正式生效的美國《加利福尼亞州消費(fèi)者隱私法案》(CCPA)淘钟,在消費(fèi)者隱私權(quán)和數(shù)據(jù)安全保護(hù)領(lǐng)域引發(fā)了重大關(guān)注。
二是發(fā)達(dá)國家數(shù)據(jù)跨境安全監(jiān)管升級陪毡。數(shù)據(jù)跨境流動已成為當(dāng)前國家地區(qū)間政策博弈最為復(fù)雜的領(lǐng)域之一米母,2019年年底,美國參議員提出《國家安全和個(gè)人數(shù)據(jù)保護(hù)法案》毡琉,明確禁止美國公司在中國和俄羅斯以及其他可能對美國國家安全構(gòu)成威脅的國家境內(nèi)存儲數(shù)據(jù)铁瞒,同時(shí)限制在美國境內(nèi)工作的其他國家公司收集有關(guān)美國人的數(shù)據(jù)。歐洲數(shù)據(jù)保護(hù)委員會于2019年11月發(fā)布《GDPR域外適用指南》桅滋,加強(qiáng)歐盟國家數(shù)據(jù)跨境安全監(jiān)管慧耍,保護(hù)歐盟數(shù)據(jù)主體的權(quán)利。2020年7月推妈,澳大利亞政府服務(wù)部長Stuart Robert在國家新聞俱樂部演講中宣布了新的數(shù)據(jù)主權(quán)規(guī)則了赖,加強(qiáng)數(shù)據(jù)本地化管理,包括考慮是否應(yīng)宣布某些公眾關(guān)注的數(shù)據(jù)集為主權(quán)數(shù)據(jù)集(sovereign data sets),并且只能在澳大利亞境內(nèi)的笆滓、受認(rèn)可的澳大利亞數(shù)據(jù)中心托管漫介,只能由澳大利亞政府和澳大利亞的服務(wù)提供商訪問。2020年9月囊叛,愛爾蘭隱私監(jiān)管機(jī)構(gòu)要求Facebook停止將其歐洲用戶的數(shù)據(jù)轉(zhuǎn)移到美國赏碑。