很多企业以为,把数据存在自己的服务器里就安全了。但现实是,现代企业的运营高度依赖供应商——云服务商、SaaS软件厂商、外包客服、物流公司……每一个环节都可能接触你的核心数据。
这就像你请了一个装修队来家里,结果装修队把你家的钥匙配了一把给别人。数据在流转过程中,一旦某个供应商的安全防线失守,你的数据就会像决堤的洪水一样泄露出去。而且,根据《网络安全法》《数据安全法》等法规,数据控制者(甲方)对数据安全负有主体责任,哪怕泄露是因供应商而起,甲方也要承担连带赔偿责任。
今天的新闻中,某知名企业因供应商的漏洞导致上千万用户数据泄露,最终赔偿超过2.3亿元。这并非个例。2023年,某国际酒店集团因第三方支付系统被攻击,导致数亿客户数据泄露,最终支付了数亿美元的和解金。数据泄露的“连坐”效应,正在成为企业不可承受之重。
今天发布的《车联网供应链网络安全风险管理准则》和《网络安全标识产品目录》,其实给出了一个清晰的思路:对供应商进行分级分类管理。
简单来说,就是给供应商发“安全身份证”。比如,一个供应商如果通过了安全认证、具备数据保护能力,就可以进入“白名单”,优先合作;反之,如果存在严重安全隐患,则列入“黑名单”,禁止其接触敏感数据。
这就像小区物业给快递员发通行证。只有经过身份核验、无犯罪记录的快递员才能进入小区。对于数据供应商,同样需要建立类似的准入和退出机制。尤其是涉及个人信息、重要数据的供应商,必须签订严格的数据保护协议,明确安全责任和赔偿条款。
今天的新闻中,国家网信办发布的《网络安全标识产品目录》和《车联网供应链“白名单”》,正是这一思路的体现。未来,没有“安全标识”的供应商,可能连参与投标的资格都没有。
面对供应商带来的数据安全风险,甲方企业不能只做“甩手掌柜”。以下三步,是每个企业必须做到的:
第一步:安全评估先行——在合作前,对供应商进行全面的数据安全风险评估,包括其技术防护能力、管理制度、历史安全事件等。今天发布的《网络数据安全风险评估办法》提供了明确的方法论。
第二步:协议明确权责——在合同中明确数据保护条款,包括数据用途限制、安全事件通报机制、赔偿标准等。别等出事再扯皮。
第三步:持续监控审计——合作过程中,定期对供应商进行安全审计,检查其是否遵守协议。可以借助技术手段,如数据防泄漏(DLP)系统,实时监控数据流向。
今天的新闻中,国家金监总局发布的《关于银行业保险业人工智能安全开发应用的指导意见》也强调了金融机构对第三方AI供应商的安全管理要求。金融行业作为数据密集型行业,其做法值得所有行业借鉴。