雲安全聯盟大中華區主席李雨航:數據權屬還處於模糊階段
出品|《新基建訪談》No.46
採訪|丁廣勝
整理|楊奧文
數據安全還處於“冷兵器時代”,破局需要“馬其頓方陣”。
這是李雨航對於目前數據安全局勢的判斷,李雨航認爲,企業在傳統安全領域有較大的自主權,而在雲安全模式下則把數據和應用等交由雲服務商託管,同時網絡安全的責任也由企業承擔轉爲企業和服務商共同承擔。
這就面臨全新的變化和產業思考。李雨航是聯合國數字安全聯盟理事長兼首席科學家、雲安全聯盟(CSA)大中華區主席兼研究院院長、中國科學院雲計算中心首席科學家(安全)兼Fellow研究員、受聘西安交通大學高級Fellow/客座教授、北京大學名譽教授、南京郵電大學兼職教授、華盛頓大學博導等學術職務。
同時,他是中國多家部委智庫高端專家,榮獲國際網絡安全領袖獎、聯合國全球科技創新進步獎、中國大數據科技傳播獎。歷任IBM全球服務首席技術架構師、微軟全球首席安全架構師兼中國CISO、華爲集團首席網絡安全專家兼國際CSO,擔任技術與管理領導職務二十餘年,是雲安全、零信任與IAM領域全球先行者,諮詢指導聯合國、中國、美國、歐盟、東盟、上合等多國國家與企業網絡安全與身份安全戰略的制定,引領全球數字經濟、產業互聯網、新興技術的安全戰略發展方向。
針對數據權屬問題,李雨航表示這是目前業界的普遍難題,沒有形成明確的法律定義,因此數據權屬處於一個模糊的階段。只有做好數據的分級分類,才能進一步探討數據的權屬問題。
談及企業信息安全問題,李雨航告訴《新基建訪談》,在企業預算有限支出的情況下,最大化的把安全的質量做到一定程度,這是合規的本質。CSO(首席安全官)應該有很大的話語權,甚至有一票否決權,這樣才能保障安全合規在企業中佔有比較重要的地位。企業需要深刻解讀法律,把法律落到自身的服務中才能更好地保障企業信息安全。
在網絡安全與國家安全的關係方面,他坦言,網絡空間是現在大家共識的“第五域”,實際上也有很大的安全問題,這就需要國家在網絡空間中掌握主權,用法律去掌控和約束。如果一個國家不重視、不投入網絡空間安全,它就會影響國家安全。
李雨航還指出網絡安全框架應該在聯合國指導下進行,因爲這是一個國際性問題,需要建立國際規則和標準,然後各個國家再來遵守制定本國、本行業的框架,這是一個理想狀態。
以下爲《新基建訪談》專訪李雨航實錄摘要:
問:您提到CSA今年在中國擁有了實體身份,這個變化對CSA在國內的發展有哪些影響?
李雨航:CSA雲安全聯盟是一個獨立、中立、權威的國際產業組織,雲安全聯盟大中華區是雲安全聯盟的四大區之一。英文叫做CSA GCR,於2016年在香港註冊,它的地域範圍包括中國大陸、香港、澳門、臺灣,還有中北亞的部分國家。最近在國家政府支持下,我們成爲第一家也是唯一的一家在中國正式落地、受到政府正式認可的網絡安全類NGO非政府組織。
CSA大中華區在中國的辦事處位於上海市,在世界人工智能大會上,我們舉行了揭牌儀式,揭牌儀式之後,意味着雲安全聯盟大中華區在國內可以作爲獨立法人來運營中國的網絡安全各項業務。
問:您認爲雲安全和傳統安全之間最大的不同是什麼呢?另外,未來還會有哪些新興技術可能影響信息安全產業?
李雨航:雲計算是一種新興技術,是一種顛覆性的技術。雖然雲計算本身不是新發明,但其整個商業模式與傳統技術有很大不同。衆所周知的是,企業在傳統安全領域有較大的自主權,掌管企業網內部數據,其自身的掌控力度較大。而云計算是一種租用模式,企業在雲計算中心把數據和應用等交由雲服務商託管,模式的不同導致安全保障手段也不同。因此,雲安全聯盟最早期梳理了一個“安全責任共擔”模型,在雲計算環境下,傳統安全的責任由企業自身承擔轉變爲責任共擔。有一部分,特別是靠近底層的,需要雲服務商來承擔;但上層的,特別是偏應用、偏數據這個層面上則需要雲用戶企業來負擔。
不過,隨着產業發展,雲計算引起了很多安全威脅,這些威脅對於傳統的安全來講又是新的威脅,舉個例子,大量的數據進到雲裡面可能會造成數據泄漏,這是一個很大的威脅,雲安全聯盟梳理過雲計算中存在着11大威脅。其他的新興技術也類似,比如物聯網、邊緣計算、大數據、人工智能、區塊鏈、5G等,都帶來特有的威脅和挑戰。
自雲安全聯盟做了雲計算安全領域指南和標準之後,對所有的新興技術,現統稱爲“數字技術”,都在幫助產業界尋找其特有的防護方法。
問:在新能源汽車領域,智能汽車與普通的數據來源相比是指數級的,一旦受到攻擊是很嚴重的問題,您是如何看待的?
李雨航:智能汽車也屬於新興技術,因爲智能汽車可能運用到很多物聯網的技術,汽車聯網後就是一個大號的物聯網設備,也運用了很多人工智能的算法。不管是普通的聯網汽車還是無人駕駛汽車,不管是L2、L3、L4,都用了大量的人工智能技術,這些安全問題都是新興技術帶來的。從數據的角度看,人工智能依靠海量數據進行輔助駕駛及其智能化爲司機或乘客帶來價值,也帶來風險。
數據安全在聯網汽車裡的確是重中之重,數據衆多,聯網汽車的運行基於雲中的很多數據。實際上,無論是在車聯網亦是在雲端,數據如何被保護是一個問題。再有就是這些數據到底去哪裡了,聯網汽車的很多汽車製造商是中國的公司,也有可能是跨國公司,這些汽車可能被銷往國外,或者是國際的車廠也來中國製造汽車。因此,車聯網需要考慮這些數據在跨境的時候有沒有問題,是否符合法律。不解決數據的安全性,整個車聯網就沒有牢固的基礎。
問:您提到一輛車在中國生產,其中有一部分銷往國內,有一部分銷往歐洲,那這個數據歸屬哪方?在歐洲買的車主屬於歐洲、車廠,還是生產商?
李雨航:這個問題在業界叫做數據的權屬問題,對數據的權屬確認就是確權,是業界的一個難題,這個難題在於它還沒有準確答案。權屬問題無論從政府層面、專業層面、還是產業界,都處於探討階段。這裡邊的定義實際上還需要一段時間最終形成法律,只有數據權屬的法律定義明確之後,才能判斷數據到底屬於誰。
那麼在法律出來之前,權屬問題是一個模糊的階段,不同的國家可能有不同的看法。在海外更多偏向於用戶的權益,比如司機對數據的權益比較大。在我國,我認爲可能政府有較大的權益,特別像車聯網牽扯不同類型的數據,比如道路的數據、環境的數據。再拿國土來講,國土屬於國家,這個國土轉化成數據孿生,轉化的這些數據都應該屬於國家擁有。當然也有收集到的司機、乘客的數據等,這也牽扯到某些用戶有很大的權益,所以數據的分級分類非常重要,只有把分級分類做好,才能夠進一步探討數據權屬問題。
因此數據歸屬哪方目前沒有一個準確答案,但業界已經看到了這個問題,像雲安全聯盟也在組織專家對這個問題進行研究。我想可能在不遠的將來,我們會通過法律、標準和規範,把這個答案找到。
問:您認爲企業信息安全合規的本質是什麼?其次,CSO在企業安全合規工作中應該擁有怎樣的權利?應該承擔怎樣的義務?
李雨航:安全合規可以平衡安全風險的管理控制,它能夠在企業預算有限支出的情況下,最大化的把安全的質量做到一定程度,這是合規的本質。
再有,CISO或CSO的作用非常大,它代表一家組織來實施、執行安全的戰略,戰略裡最重要的是保障合規。CSO需要的層級比較高,我發現很多中國企業CSO的層級不太高,一般在研發CTO的領導下或者是在CIO的領導下,實際它沒有什麼權威性。這個合規最終可能會與業務造成一定衝突,有時候你要滿足安全合規,可能業務你又達不到目標,你這個業務要不要被特批,要不要上線推出,如果在合規方面有一兩項或者幾項缺失就能上線,這是需要企業決策者和CSO一起來評估的,我認爲CSO是應該有很大的話語權,甚至能夠有一票否決權,這樣才能保障安全合規在企業中佔有比較重要的地位。
問:隨着近年國家法治不斷完善,以及受國際形勢的影響,出海企業在數據安全還有隱私保護方面的合規壓力越來越大,您對這些企業在安全合規層面有什麼建議嗎?
李雨航:合規是以法律法規爲來源,引導出來企業需要做什麼工作。你看法律層面,6月我們國家剛出臺了《數據安全法》,要將其落實到企業的行爲和產品服務中,還有一段路要走。舉個例子,比如歐洲出臺《GDPR》(《通用數據保護條例》)的時候,歐洲大批企業遭到了同樣的問題,如何把GDPR轉化爲自己可執行、可落地的具體方法?這時,雲安全聯盟制定了《GDPR行動準則》,相當於承上啓下,把GDPR這個法律轉化爲對企業落地的指導、行爲的指南、對具體落地的排查,實際上是一套工具,能夠有效的幫助法律落地。
雲安全聯盟大中華區發佈了中文版的《GDPR行動準則》。針對中國的《數據安全法》、《個人信息保護法》等法律,我們將發佈適合中國的《行動準則》,幫助中國的企業更好的落實法律。
問:您個人如何理解網絡空間安全和國家安全之間關係?以及雲安全在其中扮演什麼樣的角色呢?
李雨航:海、陸、空、天,這是物理世界的四域,網絡空間是現在大家共識的“第五域”。在物理空間中,安全問題自古以來就存在,陸地上經歷了很多戰爭,後來有海戰,再後來有空戰,而太空也有太空部隊。物理世界的安全是一個由軍隊保障的國防問題。網絡空間作爲第五域也有很大的安全問題,這就需要國家擁有網絡空間的主權,用自己的法律去掌控和約束。
問:您對“網絡安全需要新戰法、網絡安全需要新框架”有怎樣的解讀呢?
李雨航:在傳統網絡安全的時代和數字技術安全的早期,整個網絡安全產業界沒有什麼章法,充斥着單點解決方案。我對網絡安全產業界做的比喻是古代的冷兵器時代,打仗的時候沒有章法,士兵衝上前一窩蜂的廝殺。而現在,新方法要業界共同探討。我提到過一個“網絡協同作戰”的新方法,是組成一個網絡安全的產業方陣,藉助古代的馬其頓方陣,由四個不同的兵種組成,每個兵種各司其職、巧妙配合、互相協作,最終能非常有效的提升戰鬥力,繼而打敗敵人。