經(jīng)濟(jì)觀察報(bào) 記者 宋笛 有沒有這種可能：黑客通過對(duì)一個(gè)漏洞的攻擊，讓一座城市癱瘓?

從技術(shù)的角度，IBM大中華區(qū)科技事業(yè)部網(wǎng)絡(luò)安全業(yè)務(wù)技術(shù)主管高爽給出了肯定的答案。

一座城市由IT系統(tǒng)和各種復(fù)雜的系統(tǒng)組成。疫情當(dāng)中，一些曾處于封閉的系統(tǒng)被逐漸打開，各個(gè)系統(tǒng)通過網(wǎng)絡(luò)變得日漸互聯(lián)互通。這意味著，當(dāng)一位缺乏風(fēng)險(xiǎn)意識(shí)的員工在電腦上進(jìn)行一次不當(dāng)操作，就有可能給蟄伏已久的黑客以可乘之機(jī)，讓一座城市的運(yùn)營(yíng)陷入窘境。

盡管上述假設(shè)只是數(shù)字化安全風(fēng)險(xiǎn)的一個(gè)極端可能，然而疫情當(dāng)中，由人、設(shè)備的廣泛連接而帶來的安全風(fēng)險(xiǎn)與日俱增，且越來越普遍。

“在2020年，我們看到針對(duì)工業(yè)物聯(lián)網(wǎng)的攻擊上升很快，工業(yè)控制系統(tǒng)相關(guān)漏洞數(shù)量增長(zhǎng)了49%，在亞太地區(qū)，制造業(yè)已經(jīng)成為最常受到攻擊的行業(yè)；”IBM大中華區(qū)科技事業(yè)部網(wǎng)絡(luò)安全業(yè)務(wù)主管馮靚說。

馮靚用了“無處不在、無孔不入、如影隨形”這三個(gè)詞語來形容目前網(wǎng)絡(luò)安全威脅的情勢(shì)。

在中國(guó)，這樣的風(fēng)險(xiǎn)無疑是顯著的。IBM在今年6月中曾經(jīng)發(fā)布過一份有關(guān)“個(gè)人用戶數(shù)據(jù)依賴和風(fēng)險(xiǎn)”的報(bào)告，調(diào)研發(fā)現(xiàn)，疫情中全球人均數(shù)字賬號(hào)已經(jīng)上升到15個(gè)——但對(duì)中國(guó)的互聯(lián)網(wǎng)用戶而言，人均15個(gè)數(shù)字賬號(hào)可能在5年前就已成事實(shí)。

中國(guó)數(shù)字化的飛躍發(fā)展曾讓一些互聯(lián)網(wǎng)業(yè)內(nèi)人士產(chǎn)生誤判，認(rèn)為在中國(guó)，靠犧牲部分?jǐn)?shù)據(jù)隱私權(quán)來換取數(shù)字化的效率和便利是被允許的。然而，不斷出臺(tái)的數(shù)據(jù)和網(wǎng)絡(luò)安全政策、法規(guī)證明，事實(shí)并非如此。今年6月份頒布、9月份就要實(shí)施的《中華人民共和國(guó)數(shù)據(jù)安全法》推動(dòng)力度和速度超出了很多業(yè)內(nèi)人士的預(yù)期。

在馮靚看來，上述一系列法律的出臺(tái)是一個(gè)重要的轉(zhuǎn)折點(diǎn)，意味著數(shù)據(jù)不再只是資產(chǎn)和收益，同時(shí)也伴隨著風(fēng)險(xiǎn)和安全義務(wù)。這種收益成本模型的改變，讓所有企業(yè)和組織在做數(shù)字化轉(zhuǎn)型的商業(yè)決策時(shí)，必須把安全策略納入頂層設(shè)計(jì)與數(shù)字化投資規(guī)劃當(dāng)中。

以下問答根據(jù)采訪內(nèi)容整理，部分詞句進(jìn)行調(diào)整：

經(jīng)濟(jì)觀察網(wǎng)：疫情后，我們能看到數(shù)字化應(yīng)用的深度和廣度有一個(gè)非常大的變化，這種變化對(duì)于我們目前的網(wǎng)絡(luò)安全市場(chǎng)，包括需求或者供給端，有沒有帶來一些什么樣的影響？

馮靚：影響很大，我可以從兩個(gè)方向來回答這個(gè)問題。首先，根據(jù)IBM最新發(fā)布的一項(xiàng)針對(duì)疫情期間全球個(gè)人的數(shù)字行為以及這些行為可能對(duì)網(wǎng)絡(luò)安全造成的長(zhǎng)期影響的調(diào)研報(bào)告。調(diào)研結(jié)果顯示，受訪者疫情期間人均創(chuàng)建15個(gè)新賬戶，其中82%為自己多個(gè)賬戶設(shè)置了相同密碼。在疫情中以及疫情后，這些“壞習(xí)慣”可能會(huì)進(jìn)入辦公領(lǐng)域，給企業(yè)帶來安全風(fēng)險(xiǎn)。

這是很重要的一個(gè)挑戰(zhàn)，即人為因素的挑戰(zhàn)。

另一方面，新基建、智慧城市、工業(yè)互聯(lián)網(wǎng)等領(lǐng)域，都會(huì)涉及智能設(shè)備的連接。也就是說，除了人與人的網(wǎng)絡(luò)連接，現(xiàn)在接入網(wǎng)絡(luò)的設(shè)備已經(jīng)大大超過了人的連接數(shù)量。這個(gè)新的挑戰(zhàn)就是 “端點(diǎn)安全”的概念。

世界經(jīng)濟(jì)論壇（WEF）公布的數(shù)字顯示，2018年全球連入互聯(lián)網(wǎng)的設(shè)備數(shù)量是80億，而到2030年，這個(gè)數(shù)字預(yù)計(jì)會(huì)達(dá)到1萬億。人口增長(zhǎng)速度是有自然規(guī)律可循的，但是設(shè)備數(shù)量是以幾何級(jí)數(shù)往上增長(zhǎng)的，而且我們也無法預(yù)測(cè)設(shè)備數(shù)量會(huì)達(dá)到一個(gè)什么上限，這意味著網(wǎng)絡(luò)攻擊面正在急劇增大。

與此同時(shí)，對(duì)設(shè)備的攻擊也在快速上升，比如2020年我們發(fā)現(xiàn)，針對(duì)工業(yè)物聯(lián)網(wǎng)的攻擊上升非常快。在全球范圍內(nèi)，針對(duì)制造業(yè)的攻擊已經(jīng)上升到全球第二位，僅次于金融。在亞太地區(qū)，制造業(yè)已經(jīng)成為最經(jīng)常受到攻擊的一個(gè)行業(yè)。

制造業(yè)的端點(diǎn)是很脆弱的，所以大部分攻擊都是采用了掃描和漏洞的方式。2020年至今，掃描和漏洞已經(jīng)成為入侵手段的第一名，而以前多是針對(duì)人的釣魚軟件攻擊。

從這兩個(gè)維度可以看出，2020年以來，針對(duì)物聯(lián)網(wǎng)、針對(duì)制造業(yè)的攻擊大幅上升，此外，我們可以看到工業(yè)控制系統(tǒng)相關(guān)漏洞數(shù)量增長(zhǎng)了49%，這是個(gè)非常令人擔(dān)憂的數(shù)字。

所以，可以用三個(gè)詞來形容我們今天所看到的網(wǎng)絡(luò)安全情形,基本上就是“無處不在、無孔不入、如影隨形”。

以前人們可能覺得我不上網(wǎng)就沒事兒了，然而今天的情形是，威脅可以從任何一個(gè)地方滲入，然后一直跟著你。比如說，威脅可以從你家里的攝像頭進(jìn)入你的網(wǎng)絡(luò)，然后攻擊到連在同一個(gè)WiFi下面的一個(gè)工作電腦上，然后通過你的工作電腦再進(jìn)入你的企業(yè)網(wǎng)絡(luò)，這幾乎是如影隨形的。

經(jīng)濟(jì)觀察網(wǎng)：從影響程度來說，通過對(duì)這些物聯(lián)設(shè)備的攻擊，是不是和以前僅對(duì)互聯(lián)網(wǎng)的攻擊有所變化？

馮靚：確實(shí)和以前的影響不一樣了。以前我們提到網(wǎng)絡(luò)安全，最受影響的行業(yè)可能是金融；但是最嚴(yán)重的情況，可能是銀行賬戶里的錢不見了，或者大額的匯款詐騙等等，還未涉及“生死存亡”。而從去年到今年，我們可以看到，很多針對(duì)物聯(lián)網(wǎng)的攻擊，已經(jīng)關(guān)系到國(guó)計(jì)民生了。

比如2020年9月份，德國(guó)有一家醫(yī)院因?yàn)獒t(yī)療設(shè)備受到攻擊，造成整個(gè)醫(yī)院停擺，期間有一個(gè)急救車送來的病人，因?yàn)闊o法得到及時(shí)救治而不幸去世。這是一個(gè)影響很大的事件，因?yàn)檫@是因?yàn)榫W(wǎng)絡(luò)勒索軟件而間接致人死亡的事件。另外，今年的3月，美國(guó)最大的石油管道公司也遭勒索，直接影響了美國(guó)民眾的生活，美國(guó)政府也是首次因?yàn)榫W(wǎng)絡(luò)安全事件而宣布全國(guó)進(jìn)入緊急狀態(tài).

所以我認(rèn)為，現(xiàn)在網(wǎng)絡(luò)安全事件帶來的影響比以往要惡劣很多，甚至已經(jīng)上升到影響民眾人身安全和社會(huì)正常運(yùn)作的層面。

經(jīng)濟(jì)觀察網(wǎng)：您剛才談的是一個(gè)全球的現(xiàn)象，中國(guó)市場(chǎng)的特殊性在于之前我們的數(shù)字化滲透率本來就已經(jīng)比較高了，就像您說的個(gè)人新增15個(gè)賬戶等等，這些在中國(guó)可能是很早之前的互聯(lián)網(wǎng)用戶就已經(jīng)達(dá)到的狀態(tài)了；在設(shè)備方面，智慧城市、物聯(lián)網(wǎng)也有一輪建設(shè)的熱潮，從這個(gè)角度出發(fā)，您覺得中國(guó)市場(chǎng)面臨的安全威脅與海外有什么特殊性？

馮靚：我們跟蹤過亞太區(qū)和中國(guó)的情況。中國(guó)確實(shí)有我們的特殊之處，比如我們的城市圖像和視頻信息非常全；我們的工業(yè)互聯(lián)網(wǎng)也在快速推進(jìn)，有一輪智能制造的浪潮，很多工廠都在推動(dòng)無人工廠的建設(shè)，這些工廠里面有大量的傳感器與網(wǎng)絡(luò)連接。同時(shí)我們又是一個(gè)制造業(yè)大國(guó)，這就使得我們受攻擊的風(fēng)險(xiǎn)面相對(duì)也比較大。疫情中，我們很多醫(yī)療機(jī)構(gòu)、疫苗研發(fā)機(jī)構(gòu)也受到了攻擊。

網(wǎng)絡(luò)和數(shù)據(jù)安全是一個(gè)全球性的挑戰(zhàn)，中國(guó)很難獨(dú)善其身。在網(wǎng)絡(luò)安全面前，我們的世界確實(shí)是平的。

經(jīng)濟(jì)觀察網(wǎng)：您從事這個(gè)領(lǐng)域很長(zhǎng)時(shí)間，您感覺疫情后，比如說客戶結(jié)構(gòu)或者需求點(diǎn)有什么變化嗎？

馮靚：疫情之后，我們看到企業(yè)客戶在安全方面的需求正在呈爆發(fā)性增長(zhǎng)，而且涉及各行各業(yè)。打進(jìn)IBM中國(guó)數(shù)字銷售中心熱線來詢問我們安全產(chǎn)品的客戶激增，幾乎涵蓋了每一個(gè)行業(yè)，碰到的問題也是各種各樣都有。醫(yī)療和制造業(yè)的客戶需求尤其多，因?yàn)檫@些都是目前風(fēng)險(xiǎn)比較高的行業(yè)。例如，有一家頂級(jí)的醫(yī)療機(jī)構(gòu)就來咨詢過我們，他們碰到的問題是，疫情期間他們有公司高管受到了“魚叉式”攻擊。

我簡(jiǎn)單一下總結(jié)客戶遇到新痛點(diǎn)和新需求。他們咨詢最多的一個(gè)問題，第一是在遠(yuǎn)程辦公的情況下，怎么去保證網(wǎng)絡(luò)安全；第二是在數(shù)據(jù)和應(yīng)用上云之后，怎么去保證云上數(shù)據(jù)和應(yīng)用的安全；第三就是如何去保證客戶的隱私、保證個(gè)人數(shù)據(jù)的安全；另外與此相關(guān)的一個(gè)問題就是如何應(yīng)對(duì)來自內(nèi)部的威脅，例如如何防備關(guān)鍵數(shù)據(jù)不被內(nèi)部人員泄漏出去。

經(jīng)濟(jì)觀察網(wǎng)：如您所說，是不是意味著很多此前并沒有面臨過網(wǎng)絡(luò)、數(shù)字安全的行業(yè)、企業(yè)現(xiàn)在也開始面臨這個(gè)威脅了？對(duì)于這些技術(shù)能力或者安全制度還不太完整的企業(yè)，是不是也要提供一些新的安全服務(wù)類型？

馮靚：這也是我們現(xiàn)在正在思考的問題。因?yàn)樵瓉泶蠹叶颊J(rèn)為類似于金融或者政府等大型機(jī)構(gòu)才更需要網(wǎng)絡(luò)安全，但現(xiàn)在看來，特別是在數(shù)據(jù)安全法正式實(shí)行后，數(shù)據(jù)和網(wǎng)絡(luò)的安全可能是一件涉及到方方面面的事情，無論企業(yè)規(guī)模大小，都需要關(guān)注。

我舉個(gè)最簡(jiǎn)單的例子，我去奶茶店點(diǎn)一杯奶茶，是要掃碼支付的。有時(shí)候，你掃碼的時(shí)候，它還要你同意授權(quán)獲得你的一些個(gè)人信息，比如你的電話號(hào)碼等。按照數(shù)據(jù)安全法和其它一些相關(guān)法規(guī)的要求，這個(gè)奶茶店就必須對(duì)它所收集的數(shù)據(jù)負(fù)上安全的責(zé)任。也就是說，它也必須要做數(shù)據(jù)安全和風(fēng)險(xiǎn)管理，這就會(huì)增加他的成本。所以從商業(yè)決策的角度看，這個(gè)奶茶店就要去衡量以后還要不要收集這些個(gè)人數(shù)據(jù)，因?yàn)檎莆盏臄?shù)據(jù)越多，擔(dān)負(fù)的責(zé)任就越多。

針對(duì)這些市場(chǎng)變化，我們也在考慮調(diào)整自己的產(chǎn)品和服務(wù)。原來我們可能主要針對(duì)大客戶，要在他們公司建立安全運(yùn)營(yíng)中心（SOC），但今后我們可能會(huì)把很多安全技術(shù)能力以服務(wù)的形式放在云上，當(dāng)客戶需要相關(guān)服務(wù)的時(shí)候，可以針對(duì)自己的需求去購(gòu)買其中一部分產(chǎn)品或服務(wù)。不僅是IBM，其實(shí)整個(gè)行業(yè)都會(huì)做出類似的調(diào)整。

另外，IBM在兩個(gè)月發(fā)布了根據(jù)零信任原則而設(shè)計(jì)的常見用例藍(lán)圖，就是參考了全球客戶的建議和反饋而制定的，目的是幫助企業(yè)用簡(jiǎn)單、實(shí)用的方法去部署、投資和落地符合自身需求的零信任安全架構(gòu)。這些藍(lán)圖根據(jù)企業(yè)的安全痛點(diǎn)和需求設(shè)計(jì)了常用的業(yè)務(wù)場(chǎng)景，例如我上面提到的保護(hù)客戶隱私、混合式遠(yuǎn)程辦公、應(yīng)對(duì)內(nèi)部威脅、混合云環(huán)境下數(shù)據(jù)和應(yīng)用安全等等。這些藍(lán)圖可以為各行各業(yè)的企業(yè)提供建立自身合規(guī)和安全能力的路線圖，指導(dǎo)他們快速融入零信任架構(gòu)，能夠從容地應(yīng)對(duì)日益嚴(yán)峻的安全挑戰(zhàn)。

經(jīng)濟(jì)觀察網(wǎng)：剛才我們聊了中小型企業(yè)的需求，在更大的層面上，我們似乎也遭遇了很多威脅，比如像美國(guó)能源公司今年遇到的那樣，我的問題是隨著智慧化的建設(shè)，黑客有沒有可能通過一個(gè)漏洞讓一座城市癱瘓？

高爽：在后疫情時(shí)代有一個(gè)比較大的趨勢(shì)，很多看似原來比較封閉的一些環(huán)境，在逐漸把它的一些數(shù)字化資產(chǎn)開放了。

舉個(gè)例子，比如原來有很多客戶，他是政府機(jī)構(gòu)或者是一些比較敏感的行業(yè)，它所有的系統(tǒng)的訪問都是從內(nèi)部發(fā)起的，但是因?yàn)橐咔椋@些機(jī)構(gòu)為了保證正常工作，就要透過一些VPN的方式把它的網(wǎng)絡(luò)打通，這就意味著通過英特網(wǎng)就可以去訪問到原先訪問不到的一些系統(tǒng)的數(shù)據(jù)了，這個(gè)是一個(gè)趨勢(shì)。

另外還有一個(gè)趨勢(shì)就是很多客戶已經(jīng)加速了云轉(zhuǎn)型的進(jìn)程，那也是由于疫情的原因，越來越多的一些系統(tǒng)數(shù)據(jù)也在上云，這也是一個(gè)趨勢(shì)。

兩個(gè)趨勢(shì)意味著什么？從安全的角度來講，就是它風(fēng)險(xiǎn)的暴露面變大了。尤其在一個(gè)城市運(yùn)營(yíng)的過程中，它不僅僅是一些IT的網(wǎng)絡(luò)，還有各種復(fù)雜的一些網(wǎng)絡(luò)，但是從數(shù)字化的角度來看的話，這些網(wǎng)絡(luò)都是以某種形式互聯(lián)互通的。

風(fēng)險(xiǎn)暴露面增加后，可能就是一個(gè)沒有經(jīng)過特別系統(tǒng)培訓(xùn)過的員工值守了一個(gè)比較重要的崗位，他一次無意點(diǎn)擊了一個(gè)包含惡意代碼的文件，就可有能把風(fēng)險(xiǎn)從自己的電腦連通到整個(gè)城市的運(yùn)營(yíng)網(wǎng)絡(luò)，從而帶來一些連帶的效應(yīng)，所以您剛才的假設(shè)是完全有可能的。

而且現(xiàn)在黑客組織手上的資源也是非常豐富的，他們也很有耐心，他可以潛伏很久的時(shí)間去針對(duì)某一個(gè)目標(biāo)。所以對(duì)于整個(gè)城市運(yùn)營(yíng)來講，你在提供了互聯(lián)互通的這樣一些便利性的同時(shí)，從安全的角度來講也要投入更多。

經(jīng)濟(jì)觀察網(wǎng)：《數(shù)據(jù)保護(hù)法》的出臺(tái)會(huì)讓很多企業(yè)意識(shí)到數(shù)據(jù)的使用，不僅是一個(gè)能帶來收益的事，同時(shí)你也要支付成本，它是有兩端的，如果從更長(zhǎng)的周期來看，是否此前數(shù)年數(shù)字化的進(jìn)程，就是更關(guān)注便利性、效率這些收益項(xiàng)，但對(duì)于安全這個(gè)成本項(xiàng)的關(guān)注是不足的？

馮靚：這確實(shí)是一個(gè)普遍的問題，之前我們也聽到國(guó)內(nèi)有業(yè)內(nèi)人士說過中國(guó)人喜歡為了一些便利性而犧牲自己的隱私。過去我們?cè)诨ヂ?lián)網(wǎng)方面確實(shí)是特別強(qiáng)的，但另一方面，我們?cè)跀?shù)據(jù)隱私保護(hù)上，也許并沒有完全跟上互聯(lián)網(wǎng)的速度。

現(xiàn)在這個(gè)情況在改變，比如數(shù)據(jù)安全法，我們行業(yè)之前都預(yù)測(cè)可能要到今年年底或者明年年初才會(huì)頒布，沒想到今年9月就要實(shí)施了。

我們認(rèn)為，安全是為業(yè)務(wù)快速發(fā)展保駕護(hù)航，而不僅僅是增加做生意的成本甚至影響效率，安全做到位，整個(gè)行業(yè)乃至整個(gè)社會(huì)才會(huì)更加健康、持續(xù)、快速的發(fā)展，效率只會(huì)更高。現(xiàn)在確實(shí)是到了一個(gè)更需要在效率和安全方面做平衡的時(shí)間點(diǎn)了。我們IBM有一個(gè)架構(gòu)師，他提了一個(gè)很好的觀點(diǎn)就是“安全是一場(chǎng)修行”，修行講究“財(cái)、侶、法、地”，最重要還是要落在法規(guī)上，要遵紀(jì)守法才能健康前行，不能說感覺安全投入是個(gè)成本，看不到ROI，就不去投入。

經(jīng)濟(jì)觀察網(wǎng)：網(wǎng)絡(luò)安全它是一個(gè)全域的問題，目前比如說在行業(yè)的標(biāo)準(zhǔn)或者是整個(gè)行業(yè)的目前的情況來看，您覺得有一些什么事情是可以做、去進(jìn)一步完善保護(hù)措施的？或者您有什么建議？

馮靚：回答您剛才問題，我們有什么樣的措施，我還是回到我們網(wǎng)絡(luò)安全的第一課。

第一課講“PPT”，就是安全需要通過People (人)、Process（流程）、Technology（技術(shù)）三方面并舉實(shí)施。這里首要的是需要有一整套的流程和規(guī)章，比如要首先做到數(shù)據(jù)分級(jí)分類保護(hù)、有檢測(cè)威脅能力和應(yīng)急響應(yīng)措施等等。

企業(yè)最好能夠有一個(gè)安全的整體規(guī)劃，比如建立一個(gè)零信任的架構(gòu)。 零信任并不是一個(gè)新詞，在專業(yè)安全人員眼中，零信任是一種可用于實(shí)現(xiàn)整體安全應(yīng)用現(xiàn)代化的框架，在持續(xù)變化的經(jīng)營(yíng)環(huán)境中能夠應(yīng)對(duì)各種風(fēng)險(xiǎn)。零信任原則對(duì)于今天網(wǎng)絡(luò)安全所面臨的挑戰(zhàn)，顯得尤為很重要。

IBM 的零信任藍(lán)圖，提倡三大原則：第一是跨數(shù)據(jù)、身份、終端、應(yīng)用和基礎(chǔ)設(shè)施，評(píng)估并發(fā)現(xiàn)風(fēng)險(xiǎn)，應(yīng)用最小權(quán)限訪問原則；第二是貫徹“從不信任，總是驗(yàn)證”的原則，無論是對(duì)應(yīng)用、數(shù)據(jù)、APIs、終端，還是混合多云環(huán)境中的資源訪問，均采用場(chǎng)景感知的方式去驗(yàn)證其合法性；第三是假定攻擊和安全事件已經(jīng)發(fā)生，識(shí)別威脅和自動(dòng)化響應(yīng)，及時(shí)終止攻擊活動(dòng)，動(dòng)態(tài)調(diào)整安全訪問策略。

在為數(shù)字化資產(chǎn)應(yīng)用實(shí)施零信任原則時(shí)候，我們還有四個(gè)場(chǎng)景：保護(hù)客戶隱私，保護(hù)混合多云環(huán)境，減少內(nèi)部威脅的風(fēng)險(xiǎn)，以及確保遠(yuǎn)程工作場(chǎng)景的安全性。

經(jīng)濟(jì)觀察網(wǎng)：對(duì)于一家企業(yè)，是否意味著網(wǎng)絡(luò)安全不再是一個(gè)后置的問題，而是從企業(yè)第一天利用數(shù)據(jù)開始，就需要前置考慮的問題？

馮靚：這是很有必要的。一些企業(yè)的IT系統(tǒng)可能已經(jīng)建了一二十年，這個(gè)時(shí)候再去買一堆安全工具，適用性就很差。所以，企業(yè)建立之初，就應(yīng)該把安全作為你的版圖考慮進(jìn)去。

你的理想很大，比如15年后你希望達(dá)到一個(gè)目標(biāo)，那從第一天起就應(yīng)該去考慮風(fēng)險(xiǎn)在哪，怎么去做合規(guī)。也許開始的時(shí)候預(yù)算有限，只能去裝一個(gè)防火墻，但是安全意識(shí)和措施一定要有，不能等到企業(yè)發(fā)展到一定規(guī)模，被攻擊、或者是發(fā)生安全事件了，才去考慮安全的事情，那時(shí)候就很難挽回了，而且還會(huì)造成嚴(yán)重的經(jīng)濟(jì)損失。以數(shù)據(jù)泄露事件為例，IBM很快會(huì)發(fā)布新的年度數(shù)據(jù)泄露成本報(bào)告。根據(jù)去年發(fā)布的報(bào)告，數(shù)據(jù)泄漏事件平均每年給企業(yè)造成的損失平均達(dá)386萬美元。

經(jīng)濟(jì)觀察網(wǎng)：對(duì)于這種數(shù)據(jù)泄漏方面的安全經(jīng)營(yíng)風(fēng)險(xiǎn)，是否有一些保險(xiǎn)公司能夠提供相關(guān)保險(xiǎn)業(yè)務(wù)？

馮靚：這個(gè)問題非常前沿，實(shí)際上在北美已經(jīng)有相關(guān)的安全保險(xiǎn)，亞太其它地區(qū)如新加坡也有保險(xiǎn)公司已經(jīng)在開展這個(gè)業(yè)務(wù)了。我認(rèn)為保險(xiǎn)是應(yīng)對(duì)風(fēng)險(xiǎn)的一種被動(dòng)防御手段，買了保險(xiǎn)并不表示可以高枕無憂，更加積極的策略應(yīng)當(dāng)是積極做好事先保護(hù)和防御，切實(shí)降低安全事件發(fā)生的機(jī)率。這就類似于我們買了醫(yī)療保險(xiǎn)并不意味著可以忽視平時(shí)的身體健康，還是需要積極主動(dòng)的防護(hù)，盡量不要用到保險(xiǎn)。

在國(guó)內(nèi)，今年我們也在跟一些保險(xiǎn)公司做討論，如何推出這樣一個(gè)險(xiǎn)種。但對(duì)客戶而言，就和醫(yī)療險(xiǎn)一樣，能不能買這個(gè)保險(xiǎn)或者是保費(fèi)多少，都是與企業(yè)本身在數(shù)據(jù)安全方面的制度、既有措施息息相關(guān)的。