产业调研:数据安全吹得很热,未来如何落地?| 国君计算机李沐华
行业更新系列
— 作者:李沐华、钱劲宇 —
近期数据安全很火,我们跟行业内的专家朋友做了交流,旨在搞清楚数据安全如何落地。应该说目前行业仍在早期阶段,不但产品形态不清楚,需求也说不清楚。但在政策加持之下,相信行业会逐渐从混沌初开走向成熟。
1. 为什么数据安全火了?
数据作为当今时代的新资产,在网络信息时代占据极其重要的位置。 Canalys 的报告显示,2020年泄漏的数据呈井喷式增长,平均数据泄漏 达到超过1.01亿, 同比增长24.7%,近似2018年的两倍。
突如其来的疫情大流行迫使企业从本地化转为数字化,安全业务却没有同步跟上是造成数据安全问题的一个重要因素。IBM的报告中提到,2020年数据泄漏的平均成本达到了惊人的386万美元,发现和控制的平均时间达到了280天。成本中,正面的成本包括了检测和升级以及通知,而事后补救的如业务损失、事后分析响应损失是数据泄漏成本的重要组成部分。报告同样提到,平均在业务流失上带来的成本达到152万美元,然而部署了安全自动化的组织平均能节约358万美元,而这个群体从2018年的15%已增加到了21%。
2. 如何落地?从法律法规到具体实践
我国积极立法保障数据安全。欧盟于2018年5月颁布了GDPR《通用数据保护条例》,美国加州于2020年1月生效CCPA《加州消费者隐私保护法》,我国在2015年首次提到网络安全空间主权的概念,第一次把网络安全纳入高层次的法律中。后续持续发布了《国家安全法》、《网络安全法》、《数据安全法》、《网络安全保护条例》等一系列法律与条例。从各国立法来看,无论是从国家层面还是公民个人层面,数据安全都被极大重视了起来。GDPR的特点在于,保护自然人隐私的权利,较少涉及国家安全,处罚严格,最高面临2000万欧元或全球营业额4%的处罚。加州的CCPA与联邦政府法律呈平行管理,作为国土安全法下个人信息保护的补充法律,处罚较轻。
我国的数据安全法以《个人信息保护法(草案)》为例,其核心内容为保障国家和全体人民的利益,同时兼顾个人权益,在处罚上与 GDPR相比,有着“严重问题处罚更严重,较轻情节处罚更轻”的特点。
数据泄漏在医疗、能源、金融三个行业最为显著,也是需要应对措施更多的行业。2020年,根据IBM数据,上述三个行业平均成本达到了713、639、585万美元,同比增长14.1%、10.5%、9.2%。归咎到三大数据泄漏的原因:1.系统故障;2.人为失职;3.恶意攻击。从行业看,企业与个人的数据存在并生的特点,当数据量增大,交互用户量增多,数据不仅仅是用户托付的资产,更是企业资产的基石。外部威胁为中心的安全保护措施需要被进一步加强,配合国家各项法规,无论是行业、企业、还是个人都需要加强数据安全保护的意识,积极采取主动的安全保护措施。
数据安全法则顶层设计已基本完毕。国务院发布的条例及以上的法律法规基本上已经完善了。下属的办法或者说条例正在拟定当中,目前做的比较多的两个行业,一个是互联网行业,一个是金融行业。这两个行业是相对而言比较完善的,包括国标等等。
那么企业它要怎么做?是不是说一定要等到这个法规全部完善了之后再做,不是的,基本上现在已经有哪些了,企业就要做到哪些,现在已经有的有依据的就得做,比方说数据分类分级,现在法律有要求了,企业就必须要做数据分类分级,因为这个是履行义务,从处罚的角度来考虑的话,企业做与不做处罚的力度肯定是不一样的。
数据安全产品目前还比较空缺。数据安全、网络安全对于大部分公司来说,其实是一个成本部门。但是现在某些公司尤其是大公司,像阿里、腾讯,对于他们来说,网络安全已经不只是一个成本部门,他们可以对外输出能力,也就是说把基于自己的需求转化成了可以对外输出的能力。
同理,数据安全未来也可能会也有类似的发展,比方说Google,微软,他们在GDPR实施比较早,他们有欧洲的业务,那么他们其实现在已经开始做一些合规的业务了。
各行各业数据类型千差万别,数据合规的产业,目前其实国内没有一个特别标准化的解决方案,怎么样进行一个数据分类,分级,这也是目前比较棘手的问题。
现在的解决办法是什么?各个部委会制定行业内的规范要求,目前来说金融行业是做的相对比较完善的,而且金融行业有他自己更高的要求,因为直接涉及到用户的财产。
可能的情况是,部委会联合一些行业内龙头的企业来落地具体规则。他们的数据量往往是比较全面的,比方说像工商银行或者4大行这种来做,像电信互联网行业的话,工信部就会先在运营商做试点,运营商就是三大运营商,基本上该有的数据都有了,其他的互联网公司的数据基本上都能涵盖。
然后也会联合一些研究机构和一些安全厂商来讨论制定标准接下来就是慢慢推进。从目前来看,电信互联网试点差不多了,接下来就是推进的节奏。我们认为未来应该会有比较快的发展,因为是政策驱动的。
合规声明:本文节选自已经入库的正式研究报告,如需报告原文PDF请后台留言。
网络安全相关报告
6. 为什么教育和医疗行业未来两年是网安公司必争之地?| 产业调研
16.网络安全产品从入门到精通
17.海外专题:寻找中国网络安全公司中的Palo Alto(深度)
22. Zscaler:云安全服务与接入领头羊(30页PPT)
23. Okta:身份认证独角兽(深度)
30.奇安信:创新业务实力强大,助推公司成为全球网安龙头(深度)
33.数据安全法带来的一些变化
41. 网安公司三季报分化之谜
42. 深信服:重构防火墙,用意深远
43. 读完Fortinet三季报,我对网安行业又有了信心(附纪要)
44. Palantir:野心贼大,想做世界的创新引擎(附纪要)
46. 为什么中国没有真正的云安全公司?
- end -
欢迎加入产业交流群!
欢迎所有对计算机产业研究和投资感兴趣的盆友(包括云计算、网络安全、医疗IT、金融科技、人工智能、自动驾驶等)后台留言加入我们的产业交流群。我们的目标是建立系统的计算机产业研究框架,提高整个A股的IT行业研究水平,减少韭菜数量,普度众生。
法律声明
本订阅号发布内容仅代表作者个人看法,并不代表作者所属机构观点。涉及证券投资相关内容应以所属机构正式发布的研究报告内容为准。市场有风险,投资需谨慎。在任何情况下,本订阅号中信息或所表述的意见均不构成对任何人的投资建议。在决定投资前,如有需要,投资者务必向专业人士咨询并谨慎决策。本订阅号运营团队不对任何人因使用本订阅号所载任何内容所引致的任何损失负任何责任。本订阅号所载内容为原创。订阅人对本订阅号发布的所有内容(包括文字、影像等)进行复制、转载的,需明确注明出处,且不得对本订阅号所载内容进行任何有悖原意的引用、删节和修改。