信息化觀察網(wǎng)

本文來自微信公眾號“科技云報到”。

在數(shù)字經(jīng)濟成為全球經(jīng)濟增長新引擎的當下，中國企業(yè)也迎來出海新時代。

據(jù)《埃森哲2022中國企業(yè)國際化調研》報告顯示，多重因素正在推動中國企業(yè)加速出海步伐，95%受訪的中國“出海”企業(yè)認為自己未來3年海外業(yè)務的增長可以超過5%。

然而，企業(yè)出海依然面臨著嚴峻的挑戰(zhàn)——“合規(guī)、增長、全球化”。

當一系列如此宏大的命題被放在出海者面前時，安全合規(guī)顯然是第一道必須邁過的門檻。

出于國家利益的考量，如今全球各國政府普遍加強了在數(shù)據(jù)安全和隱私合規(guī)領域的監(jiān)管和執(zhí)法力度，這無疑也給中國企業(yè)的出海征程帶來了更多挑戰(zhàn)和考驗。

那么，企業(yè)出海安全合規(guī)應該如何“避坑”？

全球各國安全監(jiān)管趨嚴

企業(yè)出海需保護好

數(shù)據(jù)隱私和網(wǎng)絡安全

自2018年歐盟實施GDPR后，個人隱私保護引起了各國政府和民眾的高度重視。

世界范圍內，眾多國家都在通過頒布政策法規(guī)、加強執(zhí)法監(jiān)督并提升數(shù)據(jù)安全治理能力，來應對日益嚴峻的數(shù)據(jù)安全威脅。

目前，全球范圍內圍繞數(shù)據(jù)安全的立法已臻完善。由中國產(chǎn)業(yè)互聯(lián)網(wǎng)發(fā)展聯(lián)盟指導、中國網(wǎng)絡空間新興技術創(chuàng)新論壇、騰訊安全、騰訊研究院聯(lián)合發(fā)布的《2023產(chǎn)業(yè)互聯(lián)網(wǎng)安全十大趨勢》指出，全球約80%的國家已經(jīng)完成數(shù)據(jù)安全和隱私立法或者已提出法律草案。

尤其在過去兩年間，東南亞等地區(qū)加快修訂數(shù)據(jù)安全相關法規(guī)。

更嚴格的監(jiān)管體系和框架，意味著企業(yè)出海要針對性地了解當?shù)胤ㄒ?guī)。

除了典型的“數(shù)據(jù)不出域”和“告知-同意”原則等，不同類型企業(yè)、不同用途的數(shù)據(jù)使用場景在不同國家和地區(qū)，也有截然不同的監(jiān)管政策。

因此，企業(yè)出海要符合區(qū)域之間雙向合規(guī)甚至是多邊合規(guī)的要求，而數(shù)據(jù)隱私保護首當其沖。

而從網(wǎng)絡安全的角度看，企業(yè)也應在出海過程中保障自身業(yè)務安全，不僅僅是出于合規(guī)問題，同時也是業(yè)務所需。

騰訊安全發(fā)布的《2022年DDoS攻擊威脅報告》顯示，出海企業(yè)將面臨海外更嚴峻的網(wǎng)絡攻擊。

以DDoS攻擊為例，全球企業(yè)均飽受此類攻擊困擾。

幾乎在所有月份，東南亞區(qū)域的DDoS攻擊在海外區(qū)域的占比都高居第一；從行業(yè)來看，游戲行業(yè)作為DDoS攻擊的高發(fā)地，在2022年依舊被黑產(chǎn)威脅所困擾，攻擊占比在全行業(yè)中位居第一，相比2021年也有大幅提升。

更容易讓企業(yè)忽視的一點，是企業(yè)在“本地化”過程中可能面臨的業(yè)務邏輯層面風險。

《2023產(chǎn)業(yè)互聯(lián)網(wǎng)安全十大趨勢》指出，以跨境電商、游戲、社交等業(yè)態(tài)為代表的出海企業(yè)，不僅要打磨產(chǎn)品，更要能結合當?shù)匚幕L俗、商業(yè)習慣等特點凸顯“本地化”價值。

但在這個過程中，出海企業(yè)會面臨更加復雜的業(yè)務邏輯層面的風險。

內容安全風險、信用支付欺詐等風險都需要出海企業(yè)建立全新應對體系和經(jīng)驗。

供應鏈安全風險困擾出海企業(yè)

數(shù)據(jù)安全治理成為核心

事實上，企業(yè)僅僅關注自身的安全合規(guī)，已不能應對日益嚴峻的網(wǎng)絡安全形勢。近年來，供應鏈攻擊事件呈現(xiàn)暴發(fā)增長的態(tài)勢。

歐洲網(wǎng)絡和信息安全局發(fā)布的《供應鏈攻擊的威脅分析》報告指出，和2020年相比，2021年供應鏈攻擊已經(jīng)顯著提升。

以色列一項研究表明，與2020年相比，2021年軟件供應鏈攻擊增長了300%以上，這一趨勢預計還會持續(xù)增加。

在企業(yè)出海過程中，不可避免會和大量海外供應商合作。當其中某一個供應商的安全威脅防護能力較低，或者正在避免某些特定的網(wǎng)絡安全協(xié)議，就可能成為進入更廣泛的供應商網(wǎng)絡的入口點，給企業(yè)帶來巨大安全合規(guī)風險。

針對供應鏈已經(jīng)成為網(wǎng)絡空間攻防對抗焦點這一現(xiàn)狀，企業(yè)出海應如何提升供應鏈安全管理的水平？

對此，騰訊安全策略發(fā)展中心總經(jīng)理呂一平在采訪中表示，企業(yè)需注意“供應鏈安全準入”的概念，將供應商的安全合規(guī)放在事前解決。

一方面，考察供應商的方案是否能滿足業(yè)務需求；另一方面，將安全合規(guī)作為一個核心點去考量供應商，這其中需要配套一定的技術檢查手段。

例如，企業(yè)可以通過騰訊安全提供的安全技術檢測類產(chǎn)品，去檢查供應商交付的產(chǎn)品是否存在安全風險；企業(yè)也可以約定標準化的安全保障機制去避免一定的供應鏈安全風險。

值得注意的是，供應鏈攻擊正在造成越來越多的數(shù)據(jù)泄露。

《2022年度數(shù)據(jù)泄露報告》顯示，2022年，供應鏈攻擊的數(shù)量已超過基于惡意軟件攻擊數(shù)量的40%，供應鏈攻擊導致的數(shù)據(jù)泄露數(shù)量超過了與惡意軟件相關的危害。

因此，數(shù)據(jù)安全是供應鏈安全風險中的重大挑戰(zhàn)，數(shù)據(jù)安全治理工作將成為企業(yè)供應鏈風險管控的核心目標之一。

對此，《2023產(chǎn)業(yè)互聯(lián)網(wǎng)安全十大趨勢》指出，在企業(yè)視角圍繞數(shù)據(jù)安全建設整體安全中心、在供應鏈視角推動數(shù)據(jù)安全一致性保障，將會是應對企業(yè)供應鏈安全風險的有效思路。

其中，數(shù)據(jù)安全產(chǎn)品不僅包括數(shù)據(jù)庫安全防御、數(shù)據(jù)防泄露、數(shù)據(jù)容災備份及數(shù)據(jù)脫敏等，也涵蓋關注云存儲全、數(shù)據(jù)風險動態(tài)評估、跨平臺數(shù)據(jù)安全、數(shù)據(jù)安全虛擬防護等前瞻領域。

結語

面對復雜多變的國際形勢，安全合規(guī)建設成為出海企業(yè)的“必修課”。

中國企業(yè)在“走出去”的過程中，必須樹立對外投資合作的整體安全觀，只有全面強化海外安全風險防范意識，提升風險管控能力，才能行得更穩(wěn)、走得更遠。