数字经济是未来的发展趋势,我国十四五规划明确提出,“要加快数字化发展,建设数字中国”。与此同时,网络安全风险和威胁也随之蔓延、扩散和叠加,全球网络安全形势日益严峻和复杂。
网络安全是数字经济的基石,没有网络安全就没有数字经济的蓬勃发展。数字经济发展越快,网络安全就必须扎的越牢,恰如2021 INSEC WORLD 成都∙世界信息安全大会(以下简称“2021 INSEC WORLD大会”)的主题——“数字经济,安全为钥”。
2021年12月14-15日,2021 INSEC WORLD大会将在成都香格里拉大酒店举办。中国工程院院士沈昌祥和国际密码学会前主席、欧洲科学院院士Bart Preneel领衔大会主旨演讲。
这也是一次汇聚各界意见领袖和技术专家的行业盛会。数十位国内外网安大咖和多家知名网安企业集体亮相,与线下专业观众一起,共同探寻信息安全行业发展最新脉搏。更多演讲嘉宾、议题介绍、及论坛设置详细内容正陆续公布中,可关注大会公众号(ID:世界信息安全大会),及时获取最新信息。
在2021 INSEC WORLD大会举办的前夕,我们有幸采访了本次大会的重磅嘉宾之一,国际密码学会前主席、欧洲工程院院士Bart Preneel先生,聆听他对数字经济、数据安全、隐私保护等方面的独到见解。
多年来,Bart Preneel院士一直专注于密码学研究,曾任国际密码学会(IACR)主席。现任信息安全集群LSEC的联合创始人和董事会主席,欧盟网络与信息安全局(ENISA)顾问,欧洲科学院院士,比利时隐私管理局知识中心成员。曾荣获RSA数学领域卓越奖(2014)等多项国际大奖,并且还担任比利时新冠接触追踪应用程序Coronalert开发的技术负责人。
数字经济&数据安全
曾几何时,互联网的出现极大地改变了人们的生活,仅通过互联网我们就可以轻松地购物,聊天,娱乐等,不出门而尽知天下事。互联网也让企业有了更强的驱动力,线上线下相结合的方式释放了更多的机遇。
但那时,数据还仅仅在一个小范围内流转,所收集的数据类型也非常有限。如今,一切都大不一样。
Bart Preneel院士表示,随着大数据分析、物联网、人工智能等技术的发展,数据已经从商业信息处理、电子商务和社交网络等平台,转向无处不在的系统、关键信息基础设施、医疗卫生系统和智能化的IoT设备等领域,它们不断地收集、存储、处理、使用数据。
这也正是数字经济的基础。数据不仅仅是企业的核心生产要素,更是维持社会运转的组成。如同人体的血液一般,为社会的稳定和发展带来源源不断的驱动力。
“当我们陶醉于数字经济带来的便利时,往往忽略了隐藏在水下的风险,数据和信息正在陷入日益严重的危机之中。”在采访中,Bart Preneel院士提出了一个非常有意思的观点:数字经济的破坏性。
“无数的网络攻击事件都在表明,个人信息的大范围收集和利用,大大增加了隐私泄露、网络操纵、控制等方面的风险(如剑桥分析事件)。在这个过程中,我们看到技术不仅改变了生活,也改变了几个世纪以来精心平衡的权利关系:个人对于隐私信息的所有权,企业问责机制和信息透明度都在发生变化。”
“另一方面,个人的力量正在被技术无限放大,距离、时间都不再是限制性因素,反而成为网络攻击的辅助因素,这意味着一个攻击者可以产生非常大的危害(如Kaseya供应链攻击事件)。这就好像将一颗炸弹放在了空地上,知道开关的人都可以引爆它,并给无数人造成严重影响。”
显然,数字经济的快速发展依赖于数据的大范围流通,而数字经济的快速发展也在倒逼数据安全做出实质性改变。数据安全的基础没有打牢,数字经济就无法迈出下一步。
Bart Preneel院士认为,这也是本次成都·世界信息安全大会以“数字世界,安全为钥”为主题的原因。
我的数据属于我吗?
如今,我国数字经济发展方兴未艾,大量的数据如同血液一样遍布各个角落,如何保护这些数据的安全成为数字经济发展的关键。
在聊到数据安全这个热门话题时,Bart Preneel院士认为,“其中的核心问题之一是如何做到更精确的数据确权”。
随着越来越多的数据被采集、存储、使用和分析,如何确定数据的权属问题将会成为其中的关键。
换句话说,在被平台采集的数据中,有哪些是真正属于用户自己的呢?
以“智能汽车场景”为例。一辆行驶在路上的智能汽车,每分每秒都在收集各种数据和信息,包括路面数据、汽车数据、位置信息和用户语音信息等。那么问题来了,这辆智能汽车产生、收集的数据到底属于谁呢?是汽车厂商、汽车服务商还是车主;谁又可以访问、使用和分享这些数据?
显然,为了了解汽车的性能和故障信息,汽车厂商和服务商需要访问这些数据,但他们应该只访问聚合数据,而不需要随时获取车辆位置信息。类似的数据访问场景还有很多,倘若难以厘清谁拥有这些数据的权益,自然也就无法确定,谁在滥用用户的数据和信息。
Bart Preneel院士表示,想要真正解决这一问题还需要安全从业者群策群力,进行更加广泛的社会辩论,其中涉及用户隐私权益和其他利益者之间的平衡:我们既要保障数据流通,更好保护消费者的权益,真正做到公平和透明。
值得庆幸的是,随着数据安全的深入开展,近年来很多国家都在尝试解决这一问题,就“我的数据到底属于谁”进行讨论,并且已经迈出了关键性的一步,出台了相应的法律进行支持。
例如2018年欧盟颁布的GDPR就已经赋予用户多项数据权益,包括知情同意权、访问权等,大大增强了用户隐私信息保护。
我国也出台了多部相关法律,诸如《数据安全法》《个人信息保护法》等,进一步明确了数据的权属问题。例如知情、决定权,查阅、复制个人信息的权利,请求转移指定个人信息处理者的权利等。
这两部重磅法律的出台表明了我国对待数据的态度:数字经济的发展绝不是以牺牲个人信息和数据安全为代价,对于数据权益的归属有了明确的说法。
未来,互联网平台在获取个人数据时需要授权,在数据存储、使用等生命周期中也要有更完善的数据安全解决方案。但并不意味着数据流动将会受到限制,相反,此举的目的正是为了数据更好地流动,并形成数据合规价值导向,最终促进数字经济健康、有序、可持续发展。
谁能100%被信任?
数据是数字经济的血液,而网络安全是数字经济的底座。
无论是防火墙还是身份认证,亦或是其他的网络安全解决方案,绝大多数网络安全产品的底层逻辑都是在解决“信任”的问题。
一旦被系统认定为“可信”,那么就可以进入并给予一定的权限;如果被系统认定为“不信任”,那么就无法进入。因此,网络攻击的最终目的就是将自己伪造成“可以信任”,获取相应的权限并最终完成攻击目的。
当被问及如何看待时下火热的“零信任体系”时,Bart Preneel院士并没有直接回答,而是着重聊了聊“信任”的话题。
在现实世界中,我们每个人都会有多个身份,诸如丈夫、儿子、同事、朋友等,那么我们是如何解决信任问题呢?答案是基于某种共同的属性(比如在同一个公司,有相同的爱好)建立起关系,并基于多种生物特征,包括外貌、身高、声音等确定身份。
在网络世界中是否也可以用这样的方法建立信任关系呢?Bart Preneel院士表示,早在上世纪90年代,IBM就曾开发了一套类似的好友识别系统,只显示需要建立信任的最小属性,可以有效解决信任被滥用的问题。
而“零信任体系”是在此基础上做的更彻底,不再区分内部和外部,默认所有的人都是坏人,彼此之间毫无信任关系,因此每一次都需要重新进行验证。
理论上来说,“零信任”可以解决信任的难题,但是也给企业增加了庞大的IT负担和业务成本。从这点来看存在本末倒置之嫌,因为并不是所有的业务都需要100%信任,一定的安全风险的也并非不能接受,这需要根据企业的实际情况来确定。
毕竟对于企业而言,信任问题最终还是风险控制问题;如果风险在可接受范围内,信任度不高又有什么问题呢?
在数字经济时代,很多网络安全问题最终还是回归到风险控制问题,并不是纯粹的为了安全而安全。
“如今,我们正在转向数字经济,数据安全和隐私保护也迎来了更多的难题。”在采访快要结束时,Bart Preneel院士再次强调,“这并非一朝一夕能够解决,因此在接下来的时间里,我们需要聚合网络安全行业的力量,加大投资力度,在数据安全和隐私保护方面做出实质性的改变。”
这也是Bart Preneel院士参加并领衔本次大会演讲的原因,聚行业之力量,创网安新发展。为此,本次大会在保留了往届热门分论坛的基础上,还特地增加了“金融科技安全”主论坛、“金融行业(银证保)安全”分论坛,以及“关键信息基础设施安全保护工作研讨会”,期待与诸位一起共探数字经济,共同开启网安之钥。
PS:想要报名参加大会的小伙伴们可以点击下方链接,或扫码登记哟!
https://onlinereg.insecworld.com/INSEC21/cn/?source=freebuf