肖腾飞:物联网发展趋势下的网络安全与数据保护

9O7C7592

肖腾飞 德勤中国风险咨询合伙人

摘要:随着物联网快速发展,联网设备的持续暴增,整个物联网产业获得了空前的增长和性能提升的机会。然而,安全性问题成为物联网面临的一大障碍,数据安全问题也成为物联网应用的主要挑战。德勤将分享物联网行业报告以及在当前发展趋势下的网络安全与数据保护应对之策。

 肖总站在专业服务公司的角度进行了德勤之前研究的一些分析,包括其对于整个物联网看它的安全风险方面目前的状况,包括还有国际标准方面对于物联网安全领域的支撑做一些简要的介绍和汇报。

我们的报告里面有一句话分享给大家,这段话是奥本商学院的院长提到的,过去的几年主要是遇到现象要解释这个现象是怎么产生的,但是对于响应比较延迟。但是未来的企业必须要对未来要发生的事情尽量能够做预测。这段话形容现在物联网的发展趋势是非常恰当的,就跟我们今天的会议一样,大家参加会议的人都知道,作为智能终端、物联网来说,必然要爆发,但是什么时候爆发的话?我们能看到这个趋势,但不一定是某一天,但是说不定比方说5G真的插上了一双翅膀很快有一个爆发。我们尽量的想去预测未来,所以我们多参与多来关注这块。

我们看一下最新的统计,我们和Gartner联合的报告显示,能够看到到2020年全球物联网支出超过3万亿美元,最大的一块在工业物联网方面会达到4500亿美元。

对于德勤来说怎么来看物联网的呢?我们不是说单一的看这个差别,其实我们会从一个闭环的角度来看,其实我们看的是说物联网相应的设备、接入的产品最终产生的这些信息和数据最后进行了汇集之后,汇集的这些数据再做进一步的分析,然后在其中能够产生的价值方面的驱动,这是我们关注的,我们关注的是整个物联网信息价值的环路,我们会从这个角度来看物联网对于企业所产生的推动,也就是我们提到的全新的价值元。

如果我们谈现在整个物联网商业价值方面的话,我们提到有三个方面要去关注的,在效率的提升、业务的成长,包括在自身风险管理能力提升方面都是我们要去关注的,在效率提升角度企业要关注物联网相关的资产利用率,包括减少停机的时间带来的价值,还有对于商业敏捷性和变化方面的响应产生的提升,还有减少供应链网络的成本,以及确保计划的稳定性和准确性、普惠性。当然还有业务成长这方面,包括物联网所带来的寻求业务核心增长的动因,包括对于售后市场收入来源的促进,以及对于客户的理解和洞察等等。当然不可避免的还有一个环节,我们认为对于风险管理能力的提升,包括我们说产品的安全性提升资产的安全性,包括提升作业环境的安全性,还有一些项目召回等等,还有整个网络环境的安全性,这个都是能够带来价值的,当然风险也是要关注的。今天我们关注的是物联网和智能终端的安全,我们谈谈第三部分关于整个安全风险管理这方面的问题。

如果我们回头看整个物联网安全演变的话,其实跟整个互联网走过的过程也是相关的,从我们最早的网络时代的初期关注的是盗窃、损失、破坏、欺骗等等,到我们说目前的互联网时代里面各种各样的劫持、恶意软件、恶意病毒、嗅探窃取等等,发展到万物互联的时代,更多关注像智能门锁等等都会有的身份的验证,包括编码,包括含有完整性等等新的安全问题。我们说其实整个万物互联时代的安全有着新的,而且更坚定的安全方面的挑战。

如果我们看物联网整个安全需求的话,其实我们德勤这边认为主要是三个方面的驱动因素,第一个方面我们认为是来自于风险方面的驱动,包括这里面提到的薄弱的访问控制和欺诈,包括今天有人提到的去中心化和中心化之间的博弈,我们说这种分散性,包括还有物联网大量的设备接入这种情况下的关于用户的隐私保护,我们认为这是风险的驱动因素。还有运营驱动这方面,我们说面向用户增强客户的体验,以客户为中心,包括还有IT整个由于物联网的几何级数的增长带来的IT整个复杂度的提升,以及法规整个在遵循合规这方面,其实就跟刚才看到的智能门锁一个简简单单的锁具可能会有几十个相关国外国内的监管要求。所以说在合规,在整个法律遵从方面,其实也面对着很多这方面的挑战。

当然还有我们说整个颠覆性技术的出现,这种技术驱动因素,包括作为我们各个企业现在面临的已经进入这种数字化时代的企业,还有大量的我们传统企业要做数字化转型过程中间,包括还有我们说面向的整个企业的云化,以及还有我们说新一代的数字式的用户体验技术的应用和这些技术驱动的因素,这些对于我们物联网提出了一个概念叫做新的数字安全观。

对于整个物联网安全风险来说,我们总结为四个方面,其实大家可以关注常见的,比如说我们说维修成本高和复杂这方面的风险,比如说像智能的医疗设备等等,包括还有广泛的设备操作,其实就是相当于说我们对于大量的物联网设备聚集的情况下,这种漏洞一旦出现可以被威胁所利用的情况下,整个风险会得到一个巨大的放量。再有,就是本身设备的一些中断等等会导致的隐患,在一些健康的行业,涉及到人身方面的安全方面都会有隐患。还有最近大家一直在聊的隐私保护,比如说GDPR和美国医疗方面的,还有电子支付等等方面法规的遵从和数据的保护是我们看到比较关注的四个方面的风险。

如果我们看实践的话,国内也有很多,我们如果看国外,国外相对来说聚焦在几个领域,我们讲是三个领域,一个是在美国NIST这方面,首先说是美国这边有一个关于基础设施安全提升的框架,这个是要去参考的,还有就是在800-53关于工业信息系统的安全计划,800-82关于安全工业物联网ICS具体的细则,传统的安全很多做安全的比较熟的就是回到27000系列安全管理体系、安全管理实践,以及ICA和IEC这边会有一些关于电子安全、工业控制化和控制类方面的要求。

如果从另外一个角度看还有其他的可以几个维度看物联网的话,全球范围一般会关注这几块,一个是企业信息安全方面,包括我们刚才提到27000,还有美国安全部,还有欧洲应急安全要求。工业自动化比较著名权威的是像欧洲这边的ENISA等等的要求,还有一些特定的领域,这个更细分了,比如说在天然气、能源、电力、风电也有一些具体的方面针对于物联网方面的要求可以去参考。

在国家和国际法规这方面能够关注到的像欧盟这边相关的要求,比如说关键符和网络安全的要求,还有一个目前来说最知名的关于GDPR方面的要求,还有关于一些其他的关键基础设施保护方面的要求,都可以供我们参考关于整个物联网安全方面的内容。

我们这边针对物联网安全方面有一些总结,但是比如说从美国的国土安全部,包括ISO其他机构等等如果整理的话大概有八个领域放在物联网安全方面需要考虑的。第一个方面,在设计阶段就是一个集成,现在比较主流流行的是把我们的这些安全要求整合在设计阶段,再有就是一旦部署应用之后针对物联网特定情况下对于它的漏洞整个生命周期的管理。包括还有一些我们要结合刚才提到的业界的时间来开展实践可经得起验证的落地和执行的工作,还有就是说我们要考虑一些,毕竟物联网环境会更为庞大,这个过程中间一旦出现安全事件的时候要区分好相应的响应级别和行动的优先级。今天有很多人在谈的透明化、开放、合作、共享平台等等,这方面还有透明度的问题。再有就是考虑到新的产品使用的谨慎性方面,我们说要谨慎的接入,这个是要重点考虑的,还有分层的部署,还有提到的应急预案响应事件、响应能力等等,这八个领域是我们德勤认为在物联网安全方面重点考虑的。

提到物联网安全,其实还有一个就是如果在企业的角度考虑如何去整合物联网安全的话,不可避免的我们不能离开关于整个安全组织架构重新的定位和调整,这个里面就要把我们传统的IT和OT的结合,作为整个我们说CSO其实就要面临的考虑是给我们高层管委会,或者是治理层去做汇报的时候,要考虑把IT的安全、OT的安全,还有产品研发过程中的安全,还有整个企业风险管理这些东西要做一个整合,通盘的去看我们整个IT、OT的安全,所以说在组织架构方面存在着一个再调整和再定位的问题。

还有一个就是我们要考虑如果从端到端的角度看物联网安全的话有四个方面要去关注,一个就是我们刚才提到的安全集成,关于默认的安全设置、现代的操作系统,包括内置安全功能的内核硬件,还有失效防护机制,这是在连接设备这个角度,接下来在OT技术方面还有一个重点要关注接口中断这个方面,在接口、网关和服务平台要关注区域隔离、嗯用程序接口、通信协议等等这方面的问题,物联网数据保护要针对信息的分级、敏感信息的界定和防护,还有针对各个国家的法规遵从,这四个领域来看端到端的物联网安全。

还有一个框架可以分享给企业这边,不管我们是作为物联网产品的研发企业也好,还是说我们涉及到物联网应用的企业也好,其实我们在全球推出的一个叫做面向整个物联网的安全框架,在整个框架里面其实结合了我们说从物联网安全站在企业治理的层面如何能够分析透彻的关于物联网的成熟度、路线,包括集成项目,还有整个对于企业价值的提升,包括企业业务保证这方面的业务价值的有力支撑。接下来还有三个支柱,从具体的安全本身,比如说身份、安全的设计、隐私的设计、具体控制的落实、代码的安全,还有具体的补偿性措施这些角度构建安全的能力。还有一个支柱,就是我们说监测的角度能够实现对于物联网安全具体的态势感知和威胁情报的应用识别相应的这些恶意的行为,以确保比如说针对于物联网漏洞的评估、渗透的测试,还有针对物联网产品SIEM的实施,以及监测、补丁,这些构成了我们说在监测的角度。另外提到了弹性,当我们能够监测相应的事件,一旦有一些事件不可控发生的时候,我能够通过响应、应急、恢复和可持续构建我们整个弹性的持续的能力。这三个构成了我们整个物联网的三大支柱,在企业物联网安全的管理框架里面。

刚才这些是我们对于目前整个物联网安全总体的界定,在物联网里面有一点特别关注提到了数据安全,大家可以看到现在我们会讲要把数据安全,因为以前在讲网络安全的时候大家在讲攻击、漏洞,逐渐开始往数据方面去关注、去靠拢,再到这两年我们说叫做皇冠上的明珠,其实是关于数据的保护,我们叫做DPE的概念,我们会去关注一下整个在数据能力方面,包括数据的管理、数据的隐私、数据的安全这几个角度如何来有效的防护确保数据的安全,这是要考虑的。

还有一点,在物联网领域里面,大家考虑的隐私这块,尤其这两年我做过很多家电企业冰箱、洗衣机等等传感器,包括在进入欧洲市场过程中间的隐私方面的保护,还有手机企业、智能手表的穿戴企业,我们说如果站在物联网的角度来说,其实隐私这方面也是非常热的一个话题,这方面很多企业不见得非要进军欧洲的情况下遇到这种情况,其实也可以变成自身的能力,很多企业都开始关注隐私保护,这方面不光是欧洲,在美国比较有名的是加州最新的法案,包括现在还有企业在巴西、墨西哥等地开展业务过程中间,巴西这边有LGPD等等各种要求都在出。但是应该怎么去做呢?非常建议大家关注一下整个欧洲的GDPR,这个里面我们在LT这块、物联网这个角度来说同样是适用的,这个方面尤其在物联网的角度很多会涉及到生物信息,这些生物信息在整个GDPR里面也是明确列为隐私方面需要关注的内容。

作为GDPR大概给大家罗列了十项当中的需要关注的能力,比如当事人权利、告知、默认的隐私保护,包括很多涉及到平台在中国、应用在欧洲,这种情况下很多数据传到平台做处理,作为数据处理者怎么样应对?还有在活动中间生成的记录,这五个方面是企业需要关注的。再往下还有五项内容需要去关注的,比如通告的机制,一旦出现信息泄露怎么在72小时之内能够去响应汇报,还有就是每个企业要做的一项定的动作,叫做DPIA的动作,叫做隐私保护的影响评估,如果说你的企业在欧洲一旦有了一些问题之后,欧洲的执法机关重点会看有没有曾经按照规定动作对于你的关键流程做过相应的DPIA的工作,还有关于DPO,就是数据保护官应该具备的内容和能力,包括和欧洲相应的机构之间已经建立的沟通汇报机制,以及我们提到的跨境  数据传输,如何把你的数据跨出欧洲?当然还有救济法则等等。这些我们说如果站在隐私的角度来说,这些在物联网领域里面同样也是大家可以去参考和遵循的。

上一篇:张艳:智能锁安全态势分析及标准化进展

下一篇:李刚:主持人