肖騰飛 德勤中國風(fēng)險(xiǎn)咨詢合伙人

　　肖總站在專業(yè)服務(wù)公司的角度進(jìn)行了德勤之前研究的一些分析，包括其對(duì)于整個(gè)物聯(lián)網(wǎng)看它的安全風(fēng)險(xiǎn)方面目前的狀況，包括還有國際標(biāo)準(zhǔn)方面對(duì)于物聯(lián)網(wǎng)安全領(lǐng)域的支撐做一些簡要的介紹和匯報(bào)。

　　我們的報(bào)告里面有一句話分享給大家，這段話是奧本商學(xué)院的院長提到的，過去的幾年主要是遇到現(xiàn)象要解釋這個(gè)現(xiàn)象是怎么產(chǎn)生的，但是對(duì)于響應(yīng)比較延遲。但是未來的企業(yè)必須要對(duì)未來要發(fā)生的事情盡量能夠做預(yù)測。這段話形容現(xiàn)在物聯(lián)網(wǎng)的發(fā)展趨勢是非常恰當(dāng)?shù)?，就跟我們今天的?huì)議一樣，大家參加會(huì)議的人都知道，作為智能終端、物聯(lián)網(wǎng)來說，必然要爆發(fā)，但是什么時(shí)候爆發(fā)的話？我們能看到這個(gè)趨勢，但不一定是某一天，但是說不定比方說5G真的插上了一雙翅膀很快有一個(gè)爆發(fā)。我們盡量的想去預(yù)測未來，所以我們多參與多來關(guān)注這塊。

　　我們看一下最新的統(tǒng)計(jì)，我們和Gartner聯(lián)合的報(bào)告顯示，能夠看到到2020年全球物聯(lián)網(wǎng)支出超過3萬億美元，最大的一塊在工業(yè)物聯(lián)網(wǎng)方面會(huì)達(dá)到4500億美元。

　　對(duì)于德勤來說怎么來看物聯(lián)網(wǎng)的呢？我們不是說單一的看這個(gè)差別，其實(shí)我們會(huì)從一個(gè)閉環(huán)的角度來看，其實(shí)我們看的是說物聯(lián)網(wǎng)相應(yīng)的設(shè)備、接入的產(chǎn)品最終產(chǎn)生的這些信息和數(shù)據(jù)最后進(jìn)行了匯集之后，匯集的這些數(shù)據(jù)再做進(jìn)一步的分析，然后在其中能夠產(chǎn)生的價(jià)值方面的驅(qū)動(dòng)，這是我們關(guān)注的，我們關(guān)注的是整個(gè)物聯(lián)網(wǎng)信息價(jià)值的環(huán)路，我們會(huì)從這個(gè)角度來看物聯(lián)網(wǎng)對(duì)于企業(yè)所產(chǎn)生的推動(dòng)，也就是我們提到的全新的價(jià)值元。

　　如果我們談現(xiàn)在整個(gè)物聯(lián)網(wǎng)商業(yè)價(jià)值方面的話，我們提到有三個(gè)方面要去關(guān)注的，在效率的提升、業(yè)務(wù)的成長，包括在自身風(fēng)險(xiǎn)管理能力提升方面都是我們要去關(guān)注的，在效率提升角度企業(yè)要關(guān)注物聯(lián)網(wǎng)相關(guān)的資產(chǎn)利用率，包括減少停機(jī)的時(shí)間帶來的價(jià)值，還有對(duì)于商業(yè)敏捷性和變化方面的響應(yīng)產(chǎn)生的提升，還有減少供應(yīng)鏈網(wǎng)絡(luò)的成本，以及確保計(jì)劃的穩(wěn)定性和準(zhǔn)確性、普惠性。當(dāng)然還有業(yè)務(wù)成長這方面，包括物聯(lián)網(wǎng)所帶來的尋求業(yè)務(wù)核心增長的動(dòng)因，包括對(duì)于售后市場收入來源的促進(jìn)，以及對(duì)于客戶的理解和洞察等等。當(dāng)然不可避免的還有一個(gè)環(huán)節(jié)，我們認(rèn)為對(duì)于風(fēng)險(xiǎn)管理能力的提升，包括我們說產(chǎn)品的安全性提升資產(chǎn)的安全性，包括提升作業(yè)環(huán)境的安全性，還有一些項(xiàng)目召回等等，還有整個(gè)網(wǎng)絡(luò)環(huán)境的安全性，這個(gè)都是能夠帶來價(jià)值的，當(dāng)然風(fēng)險(xiǎn)也是要關(guān)注的。今天我們關(guān)注的是物聯(lián)網(wǎng)和智能終端的安全，我們談?wù)劦谌糠株P(guān)于整個(gè)安全風(fēng)險(xiǎn)管理這方面的問題。

　　如果我們回頭看整個(gè)物聯(lián)網(wǎng)安全演變的話，其實(shí)跟整個(gè)互聯(lián)網(wǎng)走過的過程也是相關(guān)的，從我們最早的網(wǎng)絡(luò)時(shí)代的初期關(guān)注的是盜竊、損失、破壞、欺騙等等，到我們說目前的互聯(lián)網(wǎng)時(shí)代里面各種各樣的劫持、惡意軟件、惡意病毒、嗅探竊取等等，發(fā)展到萬物互聯(lián)的時(shí)代，更多關(guān)注像智能門鎖等等都會(huì)有的身份的驗(yàn)證，包括編碼，包括含有完整性等等新的安全問題。我們說其實(shí)整個(gè)萬物互聯(lián)時(shí)代的安全有著新的，而且更堅(jiān)定的安全方面的挑戰(zhàn)。

　　如果我們看物聯(lián)網(wǎng)整個(gè)安全需求的話，其實(shí)我們德勤這邊認(rèn)為主要是三個(gè)方面的驅(qū)動(dòng)因素，第一個(gè)方面我們認(rèn)為是來自于風(fēng)險(xiǎn)方面的驅(qū)動(dòng)，包括這里面提到的薄弱的訪問控制和欺詐，包括今天有人提到的去中心化和中心化之間的博弈，我們說這種分散性，包括還有物聯(lián)網(wǎng)大量的設(shè)備接入這種情況下的關(guān)于用戶的隱私保護(hù)，我們認(rèn)為這是風(fēng)險(xiǎn)的驅(qū)動(dòng)因素。還有運(yùn)營驅(qū)動(dòng)這方面，我們說面向用戶增強(qiáng)客戶的體驗(yàn)，以客戶為中心，包括還有IT整個(gè)由于物聯(lián)網(wǎng)的幾何級(jí)數(shù)的增長帶來的IT整個(gè)復(fù)雜度的提升，以及法規(guī)整個(gè)在遵循合規(guī)這方面，其實(shí)就跟剛才看到的智能門鎖一個(gè)簡簡單單的鎖具可能會(huì)有幾十個(gè)相關(guān)國外國內(nèi)的監(jiān)管要求。所以說在合規(guī)，在整個(gè)法律遵從方面，其實(shí)也面對(duì)著很多這方面的挑戰(zhàn)。

　　當(dāng)然還有我們說整個(gè)顛覆性技術(shù)的出現(xiàn)，這種技術(shù)驅(qū)動(dòng)因素，包括作為我們各個(gè)企業(yè)現(xiàn)在面臨的已經(jīng)進(jìn)入這種數(shù)字化時(shí)代的企業(yè)，還有大量的我們傳統(tǒng)企業(yè)要做數(shù)字化轉(zhuǎn)型過程中間，包括還有我們說面向的整個(gè)企業(yè)的云化，以及還有我們說新一代的數(shù)字式的用戶體驗(yàn)技術(shù)的應(yīng)用和這些技術(shù)驅(qū)動(dòng)的因素，這些對(duì)于我們物聯(lián)網(wǎng)提出了一個(gè)概念叫做新的數(shù)字安全觀。

　　對(duì)于整個(gè)物聯(lián)網(wǎng)安全風(fēng)險(xiǎn)來說，我們總結(jié)為四個(gè)方面，其實(shí)大家可以關(guān)注常見的，比如說我們說維修成本高和復(fù)雜這方面的風(fēng)險(xiǎn)，比如說像智能的醫(yī)療設(shè)備等等，包括還有廣泛的設(shè)備操作，其實(shí)就是相當(dāng)于說我們對(duì)于大量的物聯(lián)網(wǎng)設(shè)備聚集的情況下，這種漏洞一旦出現(xiàn)可以被威脅所利用的情況下，整個(gè)風(fēng)險(xiǎn)會(huì)得到一個(gè)巨大的放量。再有，就是本身設(shè)備的一些中斷等等會(huì)導(dǎo)致的隱患，在一些健康的行業(yè)，涉及到人身方面的安全方面都會(huì)有隱患。還有最近大家一直在聊的隱私保護(hù)，比如說GDPR和美國醫(yī)療方面的，還有電子支付等等方面法規(guī)的遵從和數(shù)據(jù)的保護(hù)是我們看到比較關(guān)注的四個(gè)方面的風(fēng)險(xiǎn)。

　　如果我們看實(shí)踐的話，國內(nèi)也有很多，我們?nèi)绻磭猓瑖庀鄬?duì)來說聚焦在幾個(gè)領(lǐng)域，我們講是三個(gè)領(lǐng)域，一個(gè)是在美國NIST這方面，首先說是美國這邊有一個(gè)關(guān)于基礎(chǔ)設(shè)施安全提升的框架，這個(gè)是要去參考的，還有就是在800-53關(guān)于工業(yè)信息系統(tǒng)的安全計(jì)劃，800-82關(guān)于安全工業(yè)物聯(lián)網(wǎng)ICS具體的細(xì)則，傳統(tǒng)的安全很多做安全的比較熟的就是回到27000系列安全管理體系、安全管理實(shí)踐，以及ICA和IEC這邊會(huì)有一些關(guān)于電子安全、工業(yè)控制化和控制類方面的要求。

　　如果從另外一個(gè)角度看還有其他的可以幾個(gè)維度看物聯(lián)網(wǎng)的話，全球范圍一般會(huì)關(guān)注這幾塊，一個(gè)是企業(yè)信息安全方面，包括我們剛才提到27000，還有美國安全部，還有歐洲應(yīng)急安全要求。工業(yè)自動(dòng)化比較著名權(quán)威的是像歐洲這邊的ENISA等等的要求，還有一些特定的領(lǐng)域，這個(gè)更細(xì)分了，比如說在天然氣、能源、電力、風(fēng)電也有一些具體的方面針對(duì)于物聯(lián)網(wǎng)方面的要求可以去參考。

　　在國家和國際法規(guī)這方面能夠關(guān)注到的像歐盟這邊相關(guān)的要求，比如說關(guān)鍵符和網(wǎng)絡(luò)安全的要求，還有一個(gè)目前來說最知名的關(guān)于GDPR方面的要求，還有關(guān)于一些其他的關(guān)鍵基礎(chǔ)設(shè)施保護(hù)方面的要求，都可以供我們參考關(guān)于整個(gè)物聯(lián)網(wǎng)安全方面的內(nèi)容。

　　我們這邊針對(duì)物聯(lián)網(wǎng)安全方面有一些總結(jié)，但是比如說從美國的國土安全部，包括ISO其他機(jī)構(gòu)等等如果整理的話大概有八個(gè)領(lǐng)域放在物聯(lián)網(wǎng)安全方面需要考慮的。第一個(gè)方面，在設(shè)計(jì)階段就是一個(gè)集成，現(xiàn)在比較主流流行的是把我們的這些安全要求整合在設(shè)計(jì)階段，再有就是一旦部署應(yīng)用之后針對(duì)物聯(lián)網(wǎng)特定情況下對(duì)于它的漏洞整個(gè)生命周期的管理。包括還有一些我們要結(jié)合剛才提到的業(yè)界的時(shí)間來開展實(shí)踐可經(jīng)得起驗(yàn)證的落地和執(zhí)行的工作，還有就是說我們要考慮一些，畢竟物聯(lián)網(wǎng)環(huán)境會(huì)更為龐大，這個(gè)過程中間一旦出現(xiàn)安全事件的時(shí)候要區(qū)分好相應(yīng)的響應(yīng)級(jí)別和行動(dòng)的優(yōu)先級(jí)。今天有很多人在談的透明化、開放、合作、共享平臺(tái)等等，這方面還有透明度的問題。再有就是考慮到新的產(chǎn)品使用的謹(jǐn)慎性方面，我們說要謹(jǐn)慎的接入，這個(gè)是要重點(diǎn)考慮的，還有分層的部署，還有提到的應(yīng)急預(yù)案響應(yīng)事件、響應(yīng)能力等等，這八個(gè)領(lǐng)域是我們德勤認(rèn)為在物聯(lián)網(wǎng)安全方面重點(diǎn)考慮的。

　　提到物聯(lián)網(wǎng)安全，其實(shí)還有一個(gè)就是如果在企業(yè)的角度考慮如何去整合物聯(lián)網(wǎng)安全的話，不可避免的我們不能離開關(guān)于整個(gè)安全組織架構(gòu)重新的定位和調(diào)整，這個(gè)里面就要把我們傳統(tǒng)的IT和OT的結(jié)合，作為整個(gè)我們說CSO其實(shí)就要面臨的考慮是給我們高層管委會(huì)，或者是治理層去做匯報(bào)的時(shí)候，要考慮把IT的安全、OT的安全，還有產(chǎn)品研發(fā)過程中的安全，還有整個(gè)企業(yè)風(fēng)險(xiǎn)管理這些東西要做一個(gè)整合，通盤的去看我們整個(gè)IT、OT的安全，所以說在組織架構(gòu)方面存在著一個(gè)再調(diào)整和再定位的問題。

　　還有一個(gè)就是我們要考慮如果從端到端的角度看物聯(lián)網(wǎng)安全的話有四個(gè)方面要去關(guān)注，一個(gè)就是我們剛才提到的安全集成，關(guān)于默認(rèn)的安全設(shè)置、現(xiàn)代的操作系統(tǒng)，包括內(nèi)置安全功能的內(nèi)核硬件，還有失效防護(hù)機(jī)制，這是在連接設(shè)備這個(gè)角度，接下來在OT技術(shù)方面還有一個(gè)重點(diǎn)要關(guān)注接口中斷這個(gè)方面，在接口、網(wǎng)關(guān)和服務(wù)平臺(tái)要關(guān)注區(qū)域隔離、嗯用程序接口、通信協(xié)議等等這方面的問題，物聯(lián)網(wǎng)數(shù)據(jù)保護(hù)要針對(duì)信息的分級(jí)、敏感信息的界定和防護(hù)，還有針對(duì)各個(gè)國家的法規(guī)遵從，這四個(gè)領(lǐng)域來看端到端的物聯(lián)網(wǎng)安全。

　　還有一個(gè)框架可以分享給企業(yè)這邊，不管我們是作為物聯(lián)網(wǎng)產(chǎn)品的研發(fā)企業(yè)也好，還是說我們涉及到物聯(lián)網(wǎng)應(yīng)用的企業(yè)也好，其實(shí)我們在全球推出的一個(gè)叫做面向整個(gè)物聯(lián)網(wǎng)的安全框架，在整個(gè)框架里面其實(shí)結(jié)合了我們說從物聯(lián)網(wǎng)安全站在企業(yè)治理的層面如何能夠分析透徹的關(guān)于物聯(lián)網(wǎng)的成熟度、路線，包括集成項(xiàng)目，還有整個(gè)對(duì)于企業(yè)價(jià)值的提升，包括企業(yè)業(yè)務(wù)保證這方面的業(yè)務(wù)價(jià)值的有力支撐。接下來還有三個(gè)支柱，從具體的安全本身，比如說身份、安全的設(shè)計(jì)、隱私的設(shè)計(jì)、具體控制的落實(shí)、代碼的安全，還有具體的補(bǔ)償性措施這些角度構(gòu)建安全的能力。還有一個(gè)支柱，就是我們說監(jiān)測的角度能夠?qū)崿F(xiàn)對(duì)于物聯(lián)網(wǎng)安全具體的態(tài)勢感知和威脅情報(bào)的應(yīng)用識(shí)別相應(yīng)的這些惡意的行為，以確保比如說針對(duì)于物聯(lián)網(wǎng)漏洞的評(píng)估、滲透的測試，還有針對(duì)物聯(lián)網(wǎng)產(chǎn)品SIEM的實(shí)施，以及監(jiān)測、補(bǔ)丁，這些構(gòu)成了我們說在監(jiān)測的角度。另外提到了彈性，當(dāng)我們能夠監(jiān)測相應(yīng)的事件，一旦有一些事件不可控發(fā)生的時(shí)候，我能夠通過響應(yīng)、應(yīng)急、恢復(fù)和可持續(xù)構(gòu)建我們整個(gè)彈性的持續(xù)的能力。這三個(gè)構(gòu)成了我們整個(gè)物聯(lián)網(wǎng)的三大支柱，在企業(yè)物聯(lián)網(wǎng)安全的管理框架里面。

　　剛才這些是我們對(duì)于目前整個(gè)物聯(lián)網(wǎng)安全總體的界定，在物聯(lián)網(wǎng)里面有一點(diǎn)特別關(guān)注提到了數(shù)據(jù)安全，大家可以看到現(xiàn)在我們會(huì)講要把數(shù)據(jù)安全，因?yàn)橐郧霸谥v網(wǎng)絡(luò)安全的時(shí)候大家在講攻擊、漏洞，逐漸開始往數(shù)據(jù)方面去關(guān)注、去靠攏，再到這兩年我們說叫做皇冠上的明珠，其實(shí)是關(guān)于數(shù)據(jù)的保護(hù)，我們叫做DPE的概念，我們會(huì)去關(guān)注一下整個(gè)在數(shù)據(jù)能力方面，包括數(shù)據(jù)的管理、數(shù)據(jù)的隱私、數(shù)據(jù)的安全這幾個(gè)角度如何來有效的防護(hù)確保數(shù)據(jù)的安全，這是要考慮的。

　　還有一點(diǎn)，在物聯(lián)網(wǎng)領(lǐng)域里面，大家考慮的隱私這塊，尤其這兩年我做過很多家電企業(yè)冰箱、洗衣機(jī)等等傳感器，包括在進(jìn)入歐洲市場過程中間的隱私方面的保護(hù)，還有手機(jī)企業(yè)、智能手表的穿戴企業(yè)，我們說如果站在物聯(lián)網(wǎng)的角度來說，其實(shí)隱私這方面也是非常熱的一個(gè)話題，這方面很多企業(yè)不見得非要進(jìn)軍歐洲的情況下遇到這種情況，其實(shí)也可以變成自身的能力，很多企業(yè)都開始關(guān)注隱私保護(hù)，這方面不光是歐洲，在美國比較有名的是加州最新的法案，包括現(xiàn)在還有企業(yè)在巴西、墨西哥等地開展業(yè)務(wù)過程中間，巴西這邊有LGPD等等各種要求都在出。但是應(yīng)該怎么去做呢？非常建議大家關(guān)注一下整個(gè)歐洲的GDPR，這個(gè)里面我們在LT這塊、物聯(lián)網(wǎng)這個(gè)角度來說同樣是適用的，這個(gè)方面尤其在物聯(lián)網(wǎng)的角度很多會(huì)涉及到生物信息，這些生物信息在整個(gè)GDPR里面也是明確列為隱私方面需要關(guān)注的內(nèi)容。

　　作為GDPR大概給大家羅列了十項(xiàng)當(dāng)中的需要關(guān)注的能力，比如當(dāng)事人權(quán)利、告知、默認(rèn)的隱私保護(hù)，包括很多涉及到平臺(tái)在中國、應(yīng)用在歐洲，這種情況下很多數(shù)據(jù)傳到平臺(tái)做處理，作為數(shù)據(jù)處理者怎么樣應(yīng)對(duì)？還有在活動(dòng)中間生成的記錄，這五個(gè)方面是企業(yè)需要關(guān)注的。再往下還有五項(xiàng)內(nèi)容需要去關(guān)注的，比如通告的機(jī)制，一旦出現(xiàn)信息泄露怎么在72小時(shí)之內(nèi)能夠去響應(yīng)匯報(bào)，還有就是每個(gè)企業(yè)要做的一項(xiàng)定的動(dòng)作，叫做DPIA的動(dòng)作，叫做隱私保護(hù)的影響評(píng)估，如果說你的企業(yè)在歐洲一旦有了一些問題之后，歐洲的執(zhí)法機(jī)關(guān)重點(diǎn)會(huì)看有沒有曾經(jīng)按照規(guī)定動(dòng)作對(duì)于你的關(guān)鍵流程做過相應(yīng)的DPIA的工作，還有關(guān)于DPO，就是數(shù)據(jù)保護(hù)官應(yīng)該具備的內(nèi)容和能力，包括和歐洲相應(yīng)的機(jī)構(gòu)之間已經(jīng)建立的溝通匯報(bào)機(jī)制，以及我們提到的跨境  數(shù)據(jù)傳輸，如何把你的數(shù)據(jù)跨出歐洲？當(dāng)然還有救濟(jì)法則等等。這些我們說如果站在隱私的角度來說，這些在物聯(lián)網(wǎng)領(lǐng)域里面同樣也是大家可以去參考和遵循的。