近日,公安部網安局通報一起浙江公安網安部門適用《數據安全法》對違法單位罰款100萬元的典型案例。
根據報道,2023年3月,浙江溫州公安網安部門在查處一起涉數據安全違法案件時發(fā)現(xiàn)問題。浙江某科技有限公司為浙江某縣級市政府部門開發(fā)運維信息管理系統(tǒng)的過程中,在未經建設單位同意的情況下,將建設單位采集的敏感業(yè)務數據擅自上傳至租用的公有云服務器上,且未采取安全保護措施,造成了嚴重的數據泄露。浙江溫州公安機關根據《數據安全法》第四十五條的規(guī)定,對公司及項目主管人員、直接責任人員分別作出罰款100萬元、8萬元、6萬元的行政處罰。針對建設單位失管失察、未履行數據安全保護職責的情況,當地紀委監(jiān)委依照《溫州市黨委(黨組)網絡安全工作責任制實施細則》規(guī)定,對建設單位主要負責同志、部門負責人等4人分別作出批評教育、誡勉談話和政務立案調查等追究問責決定。
該案的處罰力度引發(fā)普遍關注,數據安全的重要性再一次警醒行業(yè)。《數據安全法》第四十五條的法律責任針對的是不履行本法第二十七條、第二十九條、第三十條規(guī)定的數據安全保護義務的開展數據處理活動的組織、個人。對應來看,這幾條規(guī)定明確的是數據安全保護義務:
開展數據處理活動應當依照法律、法規(guī)的規(guī)定,建立健全全流程數據安全管理制度,組織開展數據安全教育培訓,采取相應的技術措施和其他必要措施,保障數據安全。利用互聯(lián)網等信息網絡開展數據處理活動,應當在網絡安全等級保護制度的基礎上,履行上述數據安全保護義務。重要數據的處理者應當明確數據安全負責人和管理機構,落實數據安全保護責任。
開展數據處理活動應當加強風險監(jiān)測,發(fā)現(xiàn)數據安全缺陷、漏洞等風險時,應當立即采取補救措施;發(fā)生數據安全事件時,應當立即采取處置措施,按照規(guī)定及時告知用戶并向有關主管部門報告。
重要數據的處理者應當按照規(guī)定對其數據處理活動定期開展風險評估,并向有關主管部門報送風險評估報告。風險評估報告應當包括處理的重要數據的種類、數量,開展數據處理活動的情況,面臨的數據安全風險及其應對措施等。
從滿足合規(guī)以及確保讓數據安全創(chuàng)造價值的業(yè)務目標出發(fā),數據處理活動過程的安全性是當前數據安全建設的重點和難點。數據在組織內部因暢通無阻且缺乏監(jiān)控,內部人員的種種無意識違規(guī)行為容易造成越權濫用、無序擴散、存儲混亂等風險,惡意泄露以及被攻擊竊取的風險也在不斷增加。由于傳統(tǒng)的網絡安全機制聚焦在內外部邊界部署一系列檢測、監(jiān)控、攔截等感知和處置措施,缺乏對于數據在內部流動的可見性,以及對數據全生命周期的形態(tài)、位置、副本等情況的變化跟蹤,存在很大的數據防護盲區(qū),而且發(fā)生了數據泄露等安全事故之后,也難以溯源分析出流轉路徑和事件全貌。
為了對抗數據時代的數據安全挑戰(zhàn),需要新的防護理念和安全架構,數據安全的左移趨勢愈發(fā)強烈,需要讓數據在存儲、應用以及終端中都能保證數據被安全地存儲、使用和共享,既要滿足合規(guī)要求又要做到真正的風險識別和可控,這需要將數據防護措施從傳統(tǒng)的邊界攔截延展到數據運營全流程。更早地識別并標記組織內的數據資產,并且對數據流動的軌跡、狀態(tài)的變化進行記錄成為有力的突破手段,安全策略應該依據數據本身的風險變動而做出細粒度的、動態(tài)的控制。
數安行基于對以上挑戰(zhàn)的觀察思考和探索實踐得出,通過在數據運營中內嵌安全屬性的方式,可以實現(xiàn)數據安全左移的技術落地。作為是一種自動化的安全,其基本思想即是在數據運營的第一現(xiàn)場持續(xù)地對數據處理和使用全流程進行追蹤,這樣才能監(jiān)測到數據變形處理流轉的整個過程,直面數據的多態(tài)性和多副本性,發(fā)掘數據風險的真正源頭,實現(xiàn)數據安全能力的延展。
著眼到落地實施層面,需要將該安全思維產品化,引用零信任理論打造安全平臺,以人工智能為核心驅動,通過對數據業(yè)務全流程進行無改造映射,在不改變網絡架構、不改造業(yè)務的情況下,從數據本體防護角度出發(fā),對敏感數據內容及使用環(huán)境進行持續(xù)的檢測分析,對于使用數據的主體用戶也會進行身份角色驗證和持續(xù)的風險評估,讓平臺擁有了對用戶身份及授權設備進行管理和雙重驗證的能力。
有了對敏感數據和用戶身份及風險的檢測識別能力,就可以準確地識別內部的擴散風險和違規(guī)濫用風險。默認所有的人和環(huán)境都是不可信的,而且信任狀態(tài)也是持續(xù)變化的,基于這種持續(xù)的、動態(tài)的風險評估,才能真正實現(xiàn)自適應的安全防護。最終是旨在提升數據運營過程中數據自身的安全性,保證數據運營過程中數據的安全,促進數據快速流轉及安全協(xié)作共享,防范內部數據違規(guī)濫用風險。
對應于上文《數據安全法》提出的數據安全保護義務,數據安全左移正是建立健全全流程數據安全管理制度的落地方針,包括數據收集、傳輸、使用、存儲、共享等全生命周期在內的數據流轉跟蹤與管控形成安全閉環(huán)。對數據處理活動定期開展風險評估,同樣取決于對數據資產的識別梳理和其流動過程的動態(tài)風險及變化的可見和響應,該方法對多源異構數據使用及變化過程進行標注跟蹤,支持數據使用鏈路的智能聚合及快速溯源,便可實時感知數據違規(guī)使用及流轉風險。
總體而言,涉數據處理活動的企業(yè)需要與時俱進的數據安全策略,價值在于提供自動化的數據價值發(fā)現(xiàn)及數據安全服務,實現(xiàn)隱私數據保護、商業(yè)秘密保護和數據業(yè)務的有效平衡,幫助管理跟蹤多種類型、各種來源的個人隱私數據及商業(yè)數據,促進各類數據角色的跨職能協(xié)作,滿足數據使用的法律合規(guī)要求,防范內部數據違規(guī)濫用風險,讓數據安全地創(chuàng)造價值。