1.5 从“网络安全”到“企业安全”
网络空间的存在已经是不争的事实。企业是社会的组成单元和有机体,也是网络空间的组成部分。网络安全(从本节起,本书将使用“网络安全”代指“网络空间安全”)话题中的重要内容之一,就是讨论网络空间环境下企业的网络安全。在今天的时代,企业的日常运作以及业务流转已经不可能离开网络空间的环境。因此可以说,企业的网络安全,甚至就是相当程度上的企业安全,关乎企业的生存和发展。虽然“企业安全”的含义范畴要大于“企业的网络安全”,但本书不严格区分“企业安全”和“企业的网络安全”这两种表达之间的差别,在不进行特意声明的情况下,认为两种表达方式的含义等价。
网络空间肇始于互联网的蓬勃发展。尤其是互联网的商业化应用(互联网经济),在事实上逐步促成了网络空间的形成。正是经济基础决定上层建筑,互联网经济的基础催生了网络空间的政治博弈,并且,由于这种博弈而引发的诸多边际效应,反过来又在深刻地影响社会,并影响到企业。企业在网络空间时刻面临生存问题。此处所说企业的生存问题不是指企业的经营和运作比没有网络空间时要艰难,而是说,网络空间中有一种力量在不断地将原有的社会关系持续地碎片化。在这种碎片化过程的冲击下,人力、资本、科技、资源和市场等这些关乎企业生存的要素所依赖的经济、技术、社会、政治、法律环境甚至自然资源环境都将存在不确定性。这种不确定性的存在,甚至对国家安全这样的宏大结构也会有所撼动。习近平主席指出:“没有网络安全就没有国家安全,就没有经济社会稳定运行,广大人民群众利益也难以得到保障。”
这就决定了企业对网络安全问题要比以往任何时候都应该更加重视。
1.5.1 国家战略的要求
我国是社会主义国家,在中国共产党的领导下,国家的各项事业和中华民族的伟大复兴取得巨大发展。自2012年11月中国共产党的第十八次全国代表大会召开以来,以习近平为核心的党中央高度重视网络与信息安全工作,推动网络安全和信息化发展取得了历史性成就、发生了历史性变革。网络安全的顶层设计逐步显现并日臻完善。
2012年12月,全国人民代表大会常务委员会做出了加强网络信息保护的决定,为加强网络信息保护提供了法律依据,是贯彻落实党的十八大关于加强网络社会管理,推进网络依法规范有序运行要求的重要举措。2016年11月《中华人民共和国网络安全法》颁布并于2017年6月正式实施。2016年12月,我国开始实施国家网络空间安全战略,目的是维护国家在网络空间的主权、安全和发展利益。2017年8月,国务院发布《关于进一步扩大和升级信息消费持续释放内需潜力的指导意见》,明确要求深入推进互联网管理和网络信息安全保障体系建设,加强移动应用程序和应用商店网络安全管理。2017年10月,习近平总书记在向中国共产党第十九次全国代表大会所做的报告中明确提出,“加强互联网内容建设,建立网络综合治理体系,营造清朗的网络空间”“完善国家安全战略和国家安全政策”。2018年3月,中央网信办和中国证监会联合印发《关于推动资本市场服务网络强国建设的指导意见》,鼓励完善网信产业链条,参与全球资源整合,提升技术创新和市场竞争能力。2019年7月,工业和信息化部等十部门联合印发了《加强工业互联网安全工作的指导意见》,明确要在2020年年底初步建立并在2025年基本建立较为完备的工业互联网安全保障体系。2019年10月《中华人民共和国密码法》颁布并于2020年1月1日起施行。
从宏观的政策环境和国家战略要求来看,开展网络安全工作已经成为全社会不可突破的底线。开展网络安全工作是国家意志的体现,是国家战略的要求,是每个企业所应尽的义务和责任。无论在我国境内的任何行业的企业,都应自觉学习、接纳、树立和坚持总体国家安全观以形成自身的网络空间安全观,遵从法律法规的要求,自觉服从服务于国家战略的需要,正确对待和妥善解决自身所面临的网络空间环境中的各类安全问题。对企业而言,这恰恰也是谋求自身新发展的机遇。
1.5.2 内外威胁的压力
企业在网络空间之中时刻受到来自内外部的威胁,有些威胁是传统威胁的网络化,而有些威胁是在网络空间所特有。传统威胁是指来自竞争对手或某些利益诉求者所驱动的有目的的竞争、牵制和冲突等行为,这些行为都可以在网络空间实施,甚至还可以升级出更多更新的花样,形成一些网络空间特有的威胁形式。
威胁可以来自企业内外。威胁的主体可以是“天灾”也可以是“人祸”。总体而言,在网络空间环境下,“人祸”的可能性会更大,甚至这种由人引发的威胁是企业所面临的主要威胁。威胁的对象不一定在企业内部,也可以在企业外部。例如,威胁对象可以是企业自身,也可以是被威胁企业的上下游合作伙伴(供应商或采购商)、被威胁企业的客户或服务对象等。
来自实体空间(第一空间)的威胁(称为“传统威胁”)是企业可以直观感受到的威胁,来自网络空间的威胁(称为“非传统威胁”)就未必会那么直观。非传统威胁有三个主要特征区别于传统威胁:①隐蔽性,非传统威胁可以不经由实体显性存在或被察觉,可以潜伏、隐藏、混杂、伪装、冒充在企业的内部或企业的服务对象之中;②泛在性,非传统威胁不仅可以是某个企业的有针对性的威胁,还可以是某个行业甚至整个国家利益的针对性威胁;③不确定性,非传统威胁的主体的身份可以是不确定的、不能确定的,甚至是不可确定的。无论哪种威胁,它们都是企业生存和发展过程所必须面对的挑战,是企业处于被动位置且不得不应对的问题。这是一种压力,同时也是一种动力,可以帮助企业的决策者提早动手,早做应对。当然,如果听之任之的话,企业必然遇到各种各样的困难。
可通过以下两组数据感受网络安全威胁所带来的影响。
例一,根据普华永道(Pricewaterhouse Coopers, PwC)会计师事务所于2018年4月公布的《2018全球经济犯罪调查》(PwC's Global Economic Crime and Fraud Survey 2018)报告显示:①在过去两年(自2016年)以来49%的全球企业曾经遭遇经济犯罪事件,较2016年调查增加13%并且创下历史新高;②最常见的几种经济犯罪方式是挪用资产(45%)、网络犯罪(31%)、消费者诈欺(29%)以及不当的商业行为(28%)等;③大多数外部肇事者和企业的关系亦敌亦友,包括代理商、共享服务提供者、供应商和客户。
例二,根据埃森哲(Accenture)公司于2019年1月发布的《护航数字经济:重塑互联网信任》(Accenture Securing the Digital Economy, Reinventing the Internet for Trust)研究报告显示,针对全球13个国家(分别是澳大利亚、巴西、加拿大、中国、法国、德国、印度、意大利、日本、西班牙、瑞士、英国和美国)的年收入超过10亿美元企业的1711位高级管理者(其中,首席执行官占61%、首席运营官占20%、首席创新官占9%、首席战略官占9%)调研发现:①有67%的受访中国企业表示其业务对于互联网的依赖与日俱增,网络风险也随之上升,各种网络犯罪将会威胁业务运营、创新和增长,影响新产品和新服务的推广,最终将会给企业造成数万亿美元的损失;②全球范围内,高科技行业所面临的风险最高,潜在损失达7530亿美元,其次是生命科学与汽车行业,潜在损失分别是6420亿美元和5050亿美元。
更多关于企业面临的非传统威胁话题,可参见本书的“企业的安全环境”一节(1.7.1节)。
1.5.3 自身发展的动力
网络空间给企业的发展带来威胁的同时,同时也带来了新的发展机遇,所谓“危机”是也。这就好比一条船航行在未知的大海,是探索新的世界发现新大陆还是沉没在惊涛骇浪之中,排除运气的偶然因素之外,更多的是依靠船长和水手的决心、经验、能力以及船体自身的技术性能来决定。企业就好比这条船,网络空间就好比这未知的大海,做好网络安全工作,就是排除了那一点点运气之后所获得的探索新世界、发现新大陆、获得新发展的必然保障。
企业可以在开展网络安全工作的过程中得到自身发展的内生动力,可以在实现自我保护的同时,获得追求新市场或新发展空间的能力。首先,开展网络安全工作是合规达标的过程,就是凝聚企业心力的过程,也是形成或促进企业文化的过程。合规意味着企业的内部管理符合最佳实践,达标意味着操作流程顺畅,机制运转灵便,这是“船长”和“水手”们凝聚决心、汇聚经验、提升能力的过程。其次,开展网络安全工作是满足行业准入的要求。比如,对上市公司而言,公司进行有效的安全治理是对资本市场的承诺之一。最后,开展网络安全工作取得效果,可以将信任感传递给企业的合作伙伴以及服务对象。这是“船体”技术性能水平的标志。不是说每个企业都要研发自己的网络安全技术,而是说,每个企业在网络空间的环境下应当具备保护自己业务的网络安全保障能力。对安全漠不关心的企业大致是两种情况,一种是还挣扎在生存线上,无暇顾及安全;另一种是沉浸于生存需求的满足感之中,满足于现状。无论是哪种情况,可能都不会获得良好的发展。
举个可能不太恰当的例子:某A是个菜贩(俗称“卖菜的”)。有一天,地面儿上的网安要求他做等保。于是,某A懵了:“我一个卖菜的需要做啥等保”?姑且不论A是否知道等保是什么,单就这件事,可以这样来理解什么是等保:假如,A的卖菜业务只是线下形式(路边或菜市场摆摊等),那么等保护工作基本上和他没什么关系。但是,如果他的业务扩展到了线上(比如在某小区附近,支持居民用App下订单,按单送到指定位置),那他的业务就涉及了用户信息保护、用户行为分析等网络安全问题。这些安全问题小到会对A的经营造成麻烦(例如,被“薅羊毛”),大到会对公共安全造成威胁(例如,隐私泄露)。所以网安要求A开展等保工作不是没有道理。由此可见,连卖菜的小贩搬上互联网后都需要做好安全工作,就更不用说那些像模像样的企业了。