2021年,网络安全发展态势如何?2022年,网络安全发展将面临哪些挑战?
2021年网络安全形势分析
2021年,百年变局和世纪疫情交织叠加,国际环境日趋复杂,网络霸权主义对世界和平与发展构成威胁,全球产业链供应链遭受冲击,网络空间安全面临的形势持续复杂多变。网络空间对抗趋势更加突出,大规模针对性网络攻击行为增加,安全漏洞、数据泄露、网络诈骗等风险增加。
世界主要国家和地区不断推出关键信息基础设施保护、供应链安全、数据安全、个人信息保护等方面法规和政策,平台反垄断监管不断强化。
网络安全企业积极探索以网络弹性技术为代表的网络风险防范能力、以安全多方计算为代表的数据隐私保护技术等。全球网络安全产业保持稳定增长,网络安全人才缺口不断增大。
各国加强网络安全顶层设计、保障体系和能力建设
面对日益复杂严峻的网络安全形势,美国、俄罗斯、欧盟、日本、意大利等重点国家和地区强化网络安全在国家安全中的重要战略地位,不断完善网络安全战略布局,持续完善网络安全政策战略,重点加强供应链安全、关键信息基础设施保护、数据安全、个人信息保护等领域工作。
战略法规方面,美国发布《2021财年国防授权法案》《临时国家安全战略纲要》《改善国家网络安全行政令》等,将网络安全作为重中之重,致力于加强网络空间安全能力、就绪度和弹性。
俄罗斯总统普京签署的新版《国家安全战略》首次加入信息安全章节,对网络信息安全的重视程度日益增加。
欧盟发布《欧盟数字十年网络安全战略》等数字政策,打响“数字主权”保卫战。
英国发布《网络战略2022》《安全、防务、发展和外交政策综合评估报告》,将网络安全作为战略重点,以提升英国在全球网络空间的地位。
日本发布《未来三年网络安全战略纲要》,强化网络空间安全的战略指导。
供图/视觉中国
体制机制建设方面,多国新设机构协调指导安全建设。美国设置国家网络总监作为总统在网络安全及相关新兴技术领域的首席顾问,负责监督和协调联邦政府给出网络威胁应对方案;日本设立数字厅指导制定日本网络安全战略方针;意大利批准成立了国家网络安全局。
安全投入方面,拜登政府推出“美国救援计划”和“美国就业计划”等,加强国内基础设施建设,增加对科研和教育的投入,增强网络安全和技术竞争优势。
美国2021财年IT总预算为922亿美元,其中网络安全领域总预算为188亿美元,比2020财年高出14亿美元,网络安全预算占IT预算的比例为20.4%。
西班牙政府将计划在三年内投资超过4.5亿欧元,以促进国家网络安全技术、产业和人才发展。
关键信息基础设施成为攻击重点目标,安全保护举措持续出台
2021年,多国基础设施和重要信息系统遭受网络攻击,引发全球震荡,对国家安全稳定造成巨大风险,引发了全球关于加强关键信息基础设施安全保护的思考。
一是勒索软件成为主要威胁,破坏范围广、后果严重。勒索软件即服务(RaaS)型商业模式成为新的关注点,使得攻击者的溯源变得更加困难。勒索软件攻击呈现出破坏涉及行业领域增多、索要赎金增长、支付赎金机构比例上升、破坏后果严重等特点。
据相关报告不完全统计,2021年上半年全球就至少发生了1200多起勒索软件发起的攻击事件,接近2020年公布的1420起,其中针对医疗系统和教育行业的攻击增加了45%,平均赎金从2020年的40万美元提高到2021年的80万美元。
二是金融、交通、医疗、能源等领域成为新的攻击对象。2021年5月,美国油管道运营商Colonial遭受勒索攻击引发全球高度重视。5月,爱尔兰卫生服务主管部门被勒索软件攻击,被迫暂时关闭IT系统,多家医院运营遭受影响。7月,伊朗铁路遭受网络攻击,数百辆列车被延误或取消。
三是国内外关键信息基础设施安全保护措施频出。美国除了大幅增加关键基础设施安全防护的资金投入,还推出多部有关强化关键基础设施网络安全、预防勒索软件攻击等方面的法案和指南文件。
2021年2月,美国网络安全与基础设施安全局(CISA)发布了《CISA全球参与》文件,通过加强国际合作以增强全球关键信息基础设施的安全性和韧性。此外,还分别于5月和7月出台针对关键信息基础设施安全防护的行政令,并于9月批准了一项修正案,为CISA增加8.65亿美元,用于相关行政令的落实、安全运营和人才培养。
欧盟也在《欧盟安全联盟战略》中将提升关键基础设施的保护和恢复能力作为未来五年网络安全工作的重中之重。
2021年5月,澳大利亚政府提出了关键基础设施提升计划(CI-UP),旨在识别和解决关键基础设施中的漏洞,提升网络安全成熟度。
我国也于2021年8月出台了《关键信息基础设施安全保护条例》,这是我国首部专门针对关键信息基础设施安全保护工作的行政法规,为开展关键信息基础设施安全保护工作提供了基本遵循。
数据泄露事件持续频发,数据安全治理加快推进
2021年,工业制造、政务、医疗、金融、交通等领域数据泄露事件频发,数据交易黑色地下产业链活动猖獗。据相关统计,2021年公开报告的数据泄露事件1291起,已经超过2020年的1108起。
数据安全问题已成为全球的关注重点,各国纷纷将数据安全上升至国家安全层面,设立相关机构,完善数据安全法规和政策。美国、韩国、新加坡、日本等国针对个人信息相关法规进行修订,欧盟发布多个指南文件,明确和细化GDPR的相关要求。加拿大、澳大利亚、印度尼西亚等国家均已制定新的个人数据保护法规。
供应链网络安全重要性凸显,安全审查和能力建设不断加强
2021年,软件供应链攻击事件频发,例如Codecov、Kaseya等遭受供应链攻击,直接影响关键基础设施和重要信息系统安全。
据欧盟网络安全局(ENISA)《供应链攻击威胁态势》统计,2020年1月-2021年7月,共有24起供应链攻击事件。软件供应链安全影响重大,各国高度重视,纷纷推行政策法规推动软件供应链安全保护工作。
2021年1月,美国商务部等部门陆续发布了《确保信息通信技术及服务供应链安全》《出口管制条例》等文件,不断加强网络安全产品和服务对外依赖的安全风险识别、评估和处理等流程管理。5月,拜登签署发布《改善国家网络安全行政令》,明确提出改善软件供应链安全。
供图/视觉中国
2022年网络安全预测
1、国家级网络攻击愈演愈烈
受地缘政治的影响,全球网络空间局部冲突将不断升级。以窃取敏感数据、破坏关键信息基础设施为目的的国家级网络攻击复杂性将持续上升。
2、全球大规模数据泄露趋于常态化
随着数字化、网络化进程加快,越来越多的在线资产和数字系统收集了海量数据。大量数据和设备暴露在网上,它们被入侵的风险逐渐增大。数据泄露事件将愈加频繁,而且规模将更大,涉及各行各业,影响深远。
3、供应链攻击持续高发
软件系统规模、程序逻辑和生产方式等越发复杂多元,极大增加了供应链的攻击面,供应链攻击将变得更加普遍。供应链攻击具有难发现、难溯源、不可避免的特点,已成为各国面临的最重要安全威胁之一。
各国政府应积极制定法规,建立联防联控体系,提升应对供应链攻击的发现、分析、响应处置和恢复能力。
4、加密货币成为网络攻击的重要目标
加密货币平台Bitmart近日发表声明,称被黑客盗走了价值约1.5亿美元的资产。因具有匿名付款和不断升值的特点,加密货币正在被广泛使用,到2022年,加密货币相关的攻击预计将会继续增加,成为黑客攻击的重要目标。
5、网络安全保险市场规模将激增
网络攻击和数据泄露已成为商业领域的最大风险之一,敏感数据泄露给全球的公司和组织造成了巨大的财务损失和负面影响。据测算,单次数据泄露事件的平均损失为392万美元。网络安全保险通过分散和转移残余风险,成为重要的风险管理手段。
网络安全风险频出推高网络安全保险市场需求。美国、欧盟等国家和地区通过立法强化企业网络安全风险意识,优化网络安全保险服务,持续扩大市场规模。据测算,未来5年全球网络安全保险市场的年化复合增长率将达30%左右。2021年,我国网络安全保险保费规模突破7000万元,最高保额超4亿元,未来网络安全保险市场具有巨大的增长空间。
6、数据合规成为企业的重要关心点
随着我国《网络安全法》《数据安全法》《个人信息保护法》等法规的相继出台,如何规范数据处理活动,保障数据安全,成为企业面临的一个重要的课题。
企业收集数据后的保管和使用都使得数据安全风险增大,需要认真研判法律法规、监管规定、行业准则、国际标准有关合规管理的新变化,建立健全企业数据合规管理体系。2022年,数据合规将逐渐发展成一个独立的行业或专业领域,数据合规人才需求旺盛。
7、网络安全高端人才供给缺口巨大
根据Cybersecurity Ventures最新发布的全球网络安全人才报告,过去八年全球网络安全空缺职位的数量增长了350%,从2013年的100万个职位增加到2021年的350万个。
2021年8月,美国白宫称,美国大约有50万个网络安全职位仍然空缺。我国170余所高校设有与网络安全直接相关的专业,每年网络安全毕业生约2万人,缺口高达50万至100万人。2022年,网络安全行业高端人才供需矛盾将继续加剧,实战型、实用型等人才更加急缺。
8、数字平台反垄断监管常态化
近年来,美国和欧盟先后掀起对数字平台的反垄断监管,表明监管常态化与执法严厉化已成为全球趋势。2021年,我国反垄断工作在顶层设计、立法、执法、司法、健全反垄断执法体制机制方面取得了突出成绩。2022年,反垄断相关制度建设还要继续推进,加强反垄断和反不正当竞争成为一项重要的常态化工作。
供图/视觉中国
对策与建议
要深入贯彻落实习近平总书记关于网络强国的重要思想,坚持总体国家安全观和正确的网络安全观,贯彻新发展理念,构建网络安全新格局,全面加强网络安全保障体系和能力建设。
健全国家网络安全法律法规和制度标准。细化相关法律法规实施细则和相关指导意见,进一步完善配套标准规范体系,构建个人信息、重要领域数据资源、重要网络和信息系统安全保障体系。
加强网络安全风险评估和审查。强化新技术新应用安全评估管理。建立健全关键信息基础设施保护体系,提升安全防护和维护政治安全能力。
加强网络安全基础设施建设,提高网络安全综合治理能力。强化跨领域网络安全信息共享和工作协同,提升网络安全威胁发现、监测预警、应急指挥、攻击溯源能力。
推动网络安全教育、技术、产业融合发展。加强网络安全宣传教育和人才培养。强化网络安全关键技术创新,提升网络安全产业综合竞争力,形成人才培养、技术创新、产业发展的良好生态。
加强网络安全国际交流合作。积极参与网络安全、数据安全等国际规则和数字安全技术标准制定。深化在人才培养、技术创新、应急响应和网络犯罪打击等领域国际合作,推动国际网络安全保障合作机制建设。