数据泄露事件频发,「数据安全」创业机会何在?

吴文超

晨山资本 副总裁

随着线上化、数字化、智能化的发展,万物互联时代的逐步到来,数据体量正在快速增长。而无论是个人隐私数据,还是企业数据,都承载着巨大的价值,数据泄露事件已成为安全领域最大的威胁之一。安全产品的价值和其保护资产的价值永远成正比关系。面对数据安全这一蓝海市场,未来伴随着法律法规的健全,我们相信一定会诞生巨大的创新和创业机会。

数据泄露的源头

近年来,移动互联网和万物互联的兴起,带来了数据的爆炸式增长。据IDC介绍,全球数据容量从2018年的33ZB到2025年将超过175ZB(相当于若以25Mb/s的速度下载这些数据,你需要下载18亿年)。这其中既包含用户个人隐私数据,也包含具有重大商业价值的企业数据和涉及到国家政府安全的机密数据。

数据作为新时代的重要生产资料,在带来围绕数据处理、加工、分析等整个生产工具上的大变革的同时,其背后蕴藏着的巨大经济价值也引起了大量不法分子的觊觎。

 

通过梳理近年来发生的造成实质性安全损失的重大安全事件可以看出,越来越多的攻击者或内部员工已经看到数据变现的直接与间接价值,这使得数据泄露成为所有安全事件中最常见的安全威胁。

▲ 数据来源:安全牛、安全客、FreeBuf,晨山资本整理

而2020年疫情带来线上化办公和娱乐的加速,也使得个人隐私保护问题变得越来越严峻。开年以来,数据安全和隐私泄露事件也层出不穷:

微盟“删库事件”

2月23日,微盟公司被一名员工恶意删库,在线服务出现故障,主营业务商家小程序全线崩溃,受此牵连300万家商户生意基本停摆。之后微盟联合服务商恢复数据,历经七天七夜才找回删库数据。不过由于负面影响太大,受此牵连微盟累计市值蒸发超30亿港元。而对于给众多商家造成的影响,微盟表示准备了1.5亿元人民币赔付金对用户进行赔偿。

银行数据泄露事件

4月,原建设银行余姚城建支行行长沈某某因犯侵犯公民个人信息罪,被判处有期徒刑3年,缓刑3年,并处罚金人民币6000元。法院认定,2017年3月至4月,沈某某曾将非法获取的余姚市东城名苑业主财产信息1111条和其所在行贷款客户财产信息127条非法提供给他人用于招揽业务。

Zoom视频泄露事件

4月,据《华盛顿邮报》报道,Jackson通过“一个简单的在线搜索”,就找到了15000个完全公开的Zoom会议视频。“很多视频都被保存在单独的、没有密码的线上存储空间里”,他说,因为Zoom对视频的命名非常单一,所以他很容易地找到了大量视频,而且任何人都能下载观看。

池子银行账户信息泄露

5月6日,脱口秀演员池子(本名王越池)发布微博称,在其与上海笑果文化传媒有限公司的经纪合约纠纷案中,中信银行上海虹口支行未获本人授权,将其个人账户流水提供给笑果文化,属于侵犯公民个人信息的违法行为。

依据数据的所有人,数据大致可分为个人隐私和企业/组织的数据。随着越来越多智能化的设备与网络的连接,企业和消费者发现云服务越来越有吸引力,大家通过云可以快速、无所不在地访问他们的数据。消费者终端设备上的存储容量也逐渐减少转而借助于云端(企业端)存储。 

据IDC报告称,到2020年,我们存储在企业云中的数据将逐步超过消费者设备中的数据。这也可以解释为何现在个人隐私的数据泄露事件往往都是从企业端开始。

因此未来个人隐私保护的产品也将重点面向拥有这些数据的企业,个人隐私保护的责任也将逐步转嫁到拥有这些数据的企业之上。

▲ 数据来源:IDC,数据存储位置趋势变化

数据处理过程的潜在风险和应对逻辑

数据是信息时代最重要的生产资料。企业针对不同类型的数据往往有多个处理和加工环节,大体分类包括:数据采集、分析加工、存储、内部消费和外部共享等五步。企业采集的隐私数据在任何一个环节都面临着合规遵循的需求,以及内外部原因带来的数据泄露的安全威胁。

例如,在数据采集过程中没有得到用户授权的非法数据采集,采集后没有按照特定的标准进行脱敏、加密的处理,没有严格按照数据的分类分级标准进行分类和存储,用户对自身数据进行请求和操作时企业无法给出相应的数据反馈。

在加工、存储和使用过程中,内部员工恶意篡改和访问数据、数据资产管理混乱导致数据被脱库或者遗失。

因为应用访问授权不当让黑客有机可乘,对合作伙伴授权不当导致核心数据被窃取,因为利益原因和第三方商业机构共享用户的个人隐私数据等等。

▲ 晨山资本整理

企业针对隐私数据处理的不同阶段面临的风险,总结下来同样可以分为几类防护手段:

01 在采集过程中,根据不同的法规约束,主动弹窗询问用户的使用授权,明确双方数据授权使用的协议。

02 在分析加工过程中,根据不同行业的数据分类分级标准,如金融行业《个人金融信息保护技术规范》,进行数据的分级分类处理,对一些敏感数据进行脱敏和加密处理。经过合理授权,防止重要核心数据被恶意操作和误操作。

03 在数据存储过程中,已经有一系列产品可以针对数据资产本身做不错的防护,这其中包括文件DLP(Data leakage prevention,数据泄密防护)和数据库安全类的产品,如数据库防火墙、审计、脱敏加密、容灾备份等。由于应用的多样化和数据库本身从最早的Oracle、MySQL逐步演进到新一代的大数据平台、NoSQL(非关系型数据库)和分布式数据库所带来的新的数据存储安全问题同样值得关注。

04 在应用和企业内部人员访问的过程中,更需要构建一整套授权体系和管理体系,其中一些基于零信任理念的安全产品实践值得参考。

05 在企业内部数据流转过程中,当数据本身停留在企业内部的网络安全防护体系时,本身的安全性还相对可控,一旦企业想进行用户隐私数据的外部共享,那就可能带来非常大的安全风险。

针对不同的对象,需要采取不同的保护策略。在面向商业数据分享领域,近年来比较火的技术如可信计算、多方安全计算、同态加密在一定程度上解决了如何在密文态的情况下提取数据价值的问题。面向外部的合作伙伴和API输出的数据授权,更多地是一套身份管理、脱敏、基于数据分级的授权系统。而面向具有数据所属权的用户,则需要根据合规提供一整套隐私数据增删改查的访问接口。

除了上述针对单一环节的数据检测响应和防护策略之外,还需要更多地关注数据在各个环节中流动过程的数据安全风险识别。这其中包含应用系统、数据存储单元、外部共享等多个层次的数据访问监控和审计,即保证数据监控无死角是响应决策的前提。这样一旦任何一个环节出现隐私暴露的问题,我们可以快速定位和溯源,及时解决风险,减少损失。

▲ 晨山资本整理

国内外企业在数据安全产品的关注焦点

针对数据处理不同阶段面临的安全问题,Gartner在几年前就提出了DCAP(Data-Centric Audit and Protection)的概念。

DCAP产品旨在构建能够跨非结构化、半结构化和结构化存储库集中管理数据安全策略。该策略将包含安全控制措施,例如对敏感数据进行分类的能力以及通过集中管理访问授权、活动监视和数据保护等。使用诸如加密、令牌化和脱敏之类的数据保护技术,来增强针对应用程序和高特权用户的职责分离。提供审计和报告的能力,以支持各种合规性要求。

但目前也没有单一产品能够满足DCAP的所有需求,而在国外往往是几类产品的组合,包括DAP(数据库审计和保护)、DAG(数据访问控制,包括分级分类、数据发现、活动监控等)、CASB(云端访问代理,针对SaaS产品的访问授权控制)和DP(数据保护,针对数据库的加密、脱敏等产品)。

▲ 数据来源:Gartner,DCAP核心能力

以Imperva(成立于2002年,历史累计融资7100万美金)为代表,国外主流的老牌数据安全供应商主要集中在不同数据库类型(包括数据库、文件、大数据平台和云数据平台)的数据发现、授权管理、审计和授权保护上,更多还是围绕资产和数据库本身,在数据流动过程的访问控制和监控做得并不多。

▲ 数据来源:Gartner,主流数据安全厂商保护的资产类别

而针对企业收集到的用户隐私数据保护,往往更需要加强对用户隐私和用户数据请求流程的合规处理功能。这其中不同的层次上,国外已诞生了一系列优秀的产品:

数据扫描和盘点:公司在保护隐私数据之前,必须首先对所有数据进行盘点,以了解其具体数据内容和存储位置。所有这些数据都必须在结构化和非结构化的企业所有的数据存储中进行查找和盘点。这其中最有代表性的企业就是BigID(2016年成立,历史累计融资1.46亿美金)。

数据分类与治理:公司识别出敏感数据后,必须了解该数据的来源以及存储在何处,控制哪些人可以访问它以及何时访问,并应用某些规则维护此顺序。像Okta(2016年成立,市值约250亿美金)构建的统一身份认证和授权管理,就在一定程度上帮助用户解决了这个痛点。

用户请求工作流程处理:公司还必须能够响应数据主体(用户)访问请求(DSAR)和其他法规查询,让数据所有者能够有权获取并且操作自身数据。随着法规的健全和用户意识的认知提升,这些请求正在急剧增加。企业将需要新的软件定义解决方案来有效地管理这些流程。诸如OneTrust(2016年成立,累计融资4.1亿美金)之类的创业公司已经在这一领域获得了很高的估值。

授权同意管理:一旦公司找到了数据,充分确定了其分类和治理策略,并处理了任何相关的法定要求,则必须确保已获得并保持足够的授权同意才能实际使用所述数据。授权同意管理可确保企业可以对消费者友好的方式使用该数据。今年的RSAC创新沙盒冠军Security.AI的核心能力就是在此。

数据脱敏化/隐藏化计算:企业盘点了数据并掌握了出处、存储、DSAR和同意后,便必须保护其最敏感的信息。我们看到像Privitar(2014年成立,累计融资1.43亿美金)这样的公司利用差异隐私、部分同态加密和其他技术来确保私有数据使用过程中的隐私,而市场上的其他公司则依靠多方计算和大量其他技术来达到相同的结果,最终保证在消费者信任的同时保留数据的价值。

▲ 数据来源:BVP

不同于国外已经逐步更加关注合规和用户对自我数据请求操作方面的诉求,国内创业公司依然更多集中在数据库、大数据平台安全和治理,也正处于“把数据作为资产来保护”到“企业数据安全的多层次管理诉求”的思路转变中。在数据共享和隐私保护领域,国内公司也逐步有基于多方安全计算和同态加密等技术的方案在市场落地,这其实和法律法规的制定进度密切相关。

国内数据安全相关法规需要持续完善

可以很明显地看见,国外数据安全保护的产品中,有一大类是针对用户个人隐私访问控制和合规处理的,而这类产品在国内却寥寥无几。这和国内外的立法进度差异息息相关。

2018年5月25日,欧盟的《一般数据保护条例》(GDPR)正式实施。2018年6月28日,《加利福尼亚州消费者隐私保护法案》(CCPA)经签署公布,并于2020年1月1日起正式实施。这两大法案的实施,对于相关企业,尤其是一些跨国企业产生了深远的影响,法案规定了个人隐私保护的具体适用对象、个人和企业对隐私数据的权利义务划分、违法应当受到的具体惩罚等,随之而来的一系列用户隐私保护相关的产品都围绕这两个方案来展开。

在个人隐私保护法规方面,国内的《网络安全法》在大的框架下规定网络运营者要对收集的用户信息严格保密。针对大家对隐私保护的诉求,中央网信办、工信部、公安部等部门也都出台了《APP违法违规收集使用个人信息行为认定方法》《信息安全技术个人信息安全规范》《数据安全管理办法》征求意见稿等规范来完善企业收集和使用个人信息流程上的合规性。

但在具体的立法层面,我们没有类似GDPR和CCPA等具有强执行力的法律,未来在法制建设方向还有很多的工作要做。随着立法的完善和明确,个人隐私保护和合规方向的创业机会也将越来越多。但在具体的隐私保护立法层面,我们没有类似GDPR和CCPA等具有强执行力的法律,未来在法制建设方向还有很多的工作要做。随着立法的完善和明确,个人隐私保护和合规方向的创业机会也将越来越多。

和大多数网络安全方向一样,数据安全同样会随着数据基础设施和数据安全法规逐步演进,其中将诞生大量的创业和创新机会。晨山资本也将持续关注企业整体数据安全防护和个人隐私保护等方向的发展和投资。