一、企业加密战略部署的发展趋势
2019年PONEMON[1]研究所发布了《全球加密趋势研究》报告,该研究始于2005年,以美国受访者为样本,首次进行了加密趋势研究,此后,又将研究范围扩大到了世界,并选取14个国家作为研究样本。这项研究的目的是:分析在过去14年中,加密的使用如何发展以及该技术对安全状况的影响。
该报告显示,在过去的14年中,全球整体的加密战略部署趋势显著增强,在各行业部门中,制定了适用于整个企业的加密战略的比例已经从2015年的37%增加到2018年的45%,其中以制造、酒店业和消费产品涨幅最大。与此同时,加密战略部署的不平衡性也开始显现出来,国家/地区之间的加密战略成熟度也有所差异。例如,以加密战略的普及率为标准来看,德国位居首位,其次是美国、澳大利亚和英国,而俄罗斯和巴西比例最低。在影响加密战略的内外部要素中,IT运营职能开始超越其他内容成为核心要素,但在美国和巴西等国家,业务范围则相对更为重要,这可能是由于物联网设备的采用或BYOD(bring your own device)的泛滥以及IT的普遍消费化所导致的。
PONEMON[1]研究所是一个致力于在企业和政府中推进负责任的信息和隐私管理实践的机构。为时刻坚持这一目标,该机构一直以来都是独立研究。
二、企业加密战略部署的威胁
该调查报告列明了自2005以来具有普遍性的,可能影响加密战略部署有效性的威胁因素,包括:
首先,无法正确识别敏感数据可能阻碍加密战略的实施。只有正确识别敏感数据,才能充分发挥加密的保障作用。如果一个组织并不能够及时正确的识别敏感数据,就不能意识到这些数据的重要性,也就不会对其部署加密战略。
其次,员工错误成为影响加密战略有效性的最主要威胁。在过去的一段时间内,通常将黑客攻击、政府窃听、恶意的内部人员等作为敏感数据泄露的主要途径,但随着立法的不断完善,这些因素的重要性在逐步降低,取而代之的是员工错误。调查显示,政府窃听以及合法的数据请求反而变成最轻微的威胁。
最后,密钥管理难度较高是加密战略部署的主要障碍之一。密钥管理是加密战略中的核心内容,但实施密钥管理的难度在逐年增加,这可能影响加密战略的有效部署。如果将密钥管理的难度予以量化,英国受访者反馈其面临的密钥管理困难度为70%,法国受访者反馈的困难度最低,但也达到了惊人的38%。
三、中国的应对策略
尽管中国并未列入该调查报告的考察对象,但其所展现的企业加密战略部署趋势及其威胁具有普遍性,仍然对我国具有现实的借鉴意义。2020年1月1日,我国《密码法》正式实施,为密码技术利用及其监管的法治化奠定了基础。针对上述全球加密战略中的问题,我国《密码法》已经给出了相应的中国方案,可以有效缓解企业加密战略部署面临的威胁。例如我国《密码法》中规定的人才培养和保障制度、密码检测认证制度、安全评估制度、安全审查制度、标准化制度、密钥管理制度等,事实上均对企业加密战略部署中的威胁进行了回应。为此,一方面,我国应当逐步强化企业对《密码法》的合规,严格落实《密码法》中各项制度的具体规定;另一方面,我国应当加快研究和制定《密码法》中各制度的配套规定,细化实施细则,使各制度更具可实施性和指引性。
附件:《2019年全球加密趋势研究》翻译版全文(请联系谢老师)
翻译:赵婧琳 郝静雯
声明:本文来自西交苏州信息安全法律研究中心,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。