您的浏览器禁用了JavaScript(一种计算机语言,用以实现您与网页的交互),请解除该禁用,或者联系我们。[FreeBuf]:2023工业数据安全监测与应急洞察报告 - 发现报告
当前位置:首页/行业研究/报告详情/

2023工业数据安全监测与应急洞察报告

信息技术2023-03-14FreeBuf王***
2023工业数据安全监测与应急洞察报告

谢 AC 鸣 KNOWLEDGEMENT 特别鸣谢国家工业信息安全发展研究中心专家对本报告政策、技术层面的支持与帮助。 前言: 当前,全球工业数据发展正处于重大机遇期,数字经济时代的工业数据已逐渐从制造过程的副产品转变成创造价值的战略资源以及驱动制造业数字化转型的动力源泉。在面临前所未有的发展机遇的同时,勒索病毒等安全威胁也使工业数据保护受到更多挑战,工业数据泄露事件多发进一步凸显安全保护力度不足。在此背景下,世界主要国家和地区纷纷出台战略、加强立法、制定标准,多措并举加强工业数据安全管理、着力确保工业数据安全。随着我国《数据安全法》的正式施行,有法可依、违法必究的数据安全发展新局面正在形成,围绕工业数据分类分级、防护评价、风险监测三个维度的综合性管理策略与防护技术日益受到广泛关注与重视。展望未来,工业数字化转型已步入关键时期,工业数据安全治理、鉴权确权以及基于工业云的工业数据安全策略有望成为 业界聚焦与发力的重点领域。 目录 CATALOG 01工业数据发展机遇与安全挑战并存 01/国家战略实施助推工业数据发展提速 02/制造业转型升级激发工业数据新价值 03/勒索病毒已成工业数据安全首要威胁 05/泄露事件多发凸显工业数据保护不足 02主要国家和地区工业数据安全政策 06/出台战略规划布局工业数据安全 08/立法明确工业数据安全保护要求 10/制定标准规范工业数据防护管理 03工业数据安全管理策略与监测应急技术 13/开展工业数据分类分级,明确工业数据保护对象及检测应急方向 16/确立工业数据安全建设目标,构建工业数据库综合监测应急平台 19/围绕工业数据全生命周期,制定有效安全防护策略 20/监测工业数据安全态势,排查工业数据安全隐患 04工业数据安全产业发展现状与未来 24/数据合规基础平台建立起点,破局工业“数据黑箱” 29/5G与工业互联网融合持续深化,推动工业数据确权与分类分级走向精细化 29/工业云优化工业生产与经营流程,重新定义工业数据安全保护范式 01 工业数据发展机遇与安全挑战并存 当前,数字经济加快发展推动工业数字化转型提速,国家大数据战略实施带动工业大数据发展,这一切对更高质、更高效地开发利用工业数据资源提出了明确需求,为工业数据加快发展提供了重大发展机遇。与此同时,勒索病毒等工业数据安全威胁有增无减,造成损失日益加大,加之防护与管理缺位、保护力度不足,工业数据面临的安全风险与挑战不容乐观。 (一)国家战略实施助推工业数据发展提速 数据的采集、开发和运用,从而为各类新业态、新模式的发展提供基础保障,进而推动生产力发展,带动生产方式变革与升级。 贯彻大数据战略亟需工业数据资源更高效利用 2017年12月,习近平总书记在十九届中央政治局第二次集体学习中提出“实施国家大数据战略”、“推动制造业加速向数字化、网络化、智能化发展”。工业大数据的应用和发展是实施国家大数据战略的重要内容,而工业数据是决定工业大数据作用发挥和价值实现的核心基础资源。国家大数据战略的推进实施,亟需加强对工业数据的更高质、更高效利用,从而提升工业大数据的汇聚水平、分析质量、应用效果,服务于工业大数据资源共享、产品研发、解决方案设计、应用服务等功能实现,真正发挥工业大数据价值创造能力。 (二)制造业转型升级激发工业数据新价值 发展数字经济迫切要求加快工业数据开发运用 国务院2021年12月12日印发《“十四五”数字经济发展规划》,其中明确指出“数字经济……是以数据资源为关键要素,以现代信息网络为主要载体,以信息通信技术融合应用、全要素数字化转型为重要推动力……的新经济形态。”工业是国民经济主导产业,工业数字化是发展数字经济、变革生产方式的基础。工业数据是工业数字化转型的关键资源,加快工业数字化转型迫切需要加强工业 工业互联网创新发展带动工业数据深度应用 我国工业互联网正处于加速发展阶段,工业互联网数据采集、网络传输、存储管理、分析应用等能力的实现,工业互联网在感知、分析、控制、决策和管理等方面的突破和创新,将有力带动对工业数据的原始积累、采集传输、存储交互和智能挖掘,激发工业数据作为工业互联网关键资源的新价值,与此同时, 工业互联网平台支持下的应用开发和系统生态将有力推动工业数据分析结果的应用与实施,从而真正发挥工业数据助力工业互联网创新与可持续发展、推动工业经济向高质量买进的核心价值。 智能化生产运营持续激活工业数据动力功能 当前,新一代信息技术与制造业的深度融合发展,促使工业数据成为新的生产要素资源参与工业生产、运营、服务等各个环节,加快驱动由“制造”向“智造”的转型升级。随着工业生产从被动式管理向自适应调整的智能化管理方向发展,以及生产设备运营日益趋于智能化监测预警、检测诊断、设备维护,对工业制造过程数据和产品数据的分析挖掘与系统模拟更加活跃,有力促进了工业现场“痛点”问题的发现与解决,工业数据在工业智能化生产运营中持续发挥促进决策优化、推进提质增效的动力功能。 (三)勒索病毒已成工业数据安全首要威胁 威胁工业数据安全。据国家工业信息安全发展研究中心统计,2021年公开发布的工业领域勒索事件共50起,较2020年增长达51.5%。电子制造、食品加工、能源化工等行业遭攻击最多,受攻击对象涵盖美国大型乳制品供应商SchreiberFoods和成品油管道商科洛尼尔(ColonialPipeline)、加拿大跨国无线通信设备制造商SierraWireless、日本电子公司JVCKenwood、挪威绿色能源公司Volue等多家知名企业。勒索攻击导致上述企业大量敏感商业信息遭窃,生产运营中断,产品供应受到严重影响。 窃取数据是勒索攻击惯用手段 获取经济利益一直是勒索团伙发起攻击的主要目的,而先窃取数据、再利用企业担心数据泄露的心理来胁迫企业支付赎金,是勒索团伙的惯用威胁手段。工业领域近年遭受勒索攻击的企业,如钢铁制造商EVRAZ、葡萄牙跨国能源公司EDP、巴西电力公司LightS.A等,均被窃取了涵盖大量重要敏感数据文本、图片、数据库文件等,内容涉及企业生产运营、供应链管理、财务管理等多个方面,进而被勒索团伙索要超过1000万美元赎金。勒索团伙的频频得手反过来进一步强化了其以窃取重要数据为威胁手段的勒索活动,助推勒索攻击对工业数据的安全威胁持续加剧。 工业领域勒索攻击呈明显增势 工业领域因其运营成本高、数据价值大、社会影响广,日益成为勒索攻击者的重点目标,新型勒索软件更将工业领域作为首选攻击对象。 (四)泄露事件多发凸显工业数据保护不足 工业领域数据泄露事件频发 近年来,全球工业领域数据泄露事件多发,工业数据安全风险呈攀升之势。Verizon公司连续数年发布的数据泄露调查报告显示,工业领域特别是制造业一直是数据泄露事件高发地带,2021年发生制造业数据泄露事件共270起,其中92%的数据窃取活动以获取经济利益为目的,引发数据泄露的原因涉及系统入侵、社会工程学、操作错误和特权滥用等。数据安全公司Varonis于2021年对50家制造企业的40亿个文件进行了分析,发现数据过度暴露问题严重,部分企业向员工无差别开放数千份敏感文件,44%的企业有超千个活跃的“幽灵用户”账户,制造业存在巨大的数据泄露风险。 02 主要国家和地区工业数据安全政策 近年来,世界主要国家和地区加快数字经济和数字产业发展进程,作为数字经济核心要素的数据资源自然成为国家战略要素和关注焦点。在这种情况下,主要国家和地区纷纷通过出台战略、推进立法、制定标准等措施,加强数据安全管理,确保数据安全应用。工业数据体量大、增长快,与经济社会发展和国家安全息息相关,保护工业数据安全也成为主要国家和地区强化数据安全相关举措的重要内容。 工业数据安全防护管理缺位 在工业数据泄露事件频发的同时,大多数工业企业自身因管理制度不健全、措施落实不到位,难以有效防范工业数据安全风险。国家工业信息安全发展研究中心监测统计,我国暴露在公共互联网上可被辨识的工业控制系统、物联网设备、工业数据库等数量高达数百万个,多数未采取有效的安全防护策略与手段,工业数据安全风险普遍存在。俄罗斯网络安全公司PositiveTechnologies对工业领域的安全评估表明,由于防护水平不高、网络隔离较差、设备管理不善、使用软件陈旧,91%的工业组织易受网络渗透等外部攻击,工业数据安全防护问题不容小觑,风险隐患不容乐观。 (一)出台战略规划布局工业数据安全 我国 2021年12月12日,国务院发布《“十四五”数字经济发展规划纲要》(以下简称《纲要》),明确提出开展工业数字化转型应用示范,具体包括实施智能制造试点示范行动、制定数字化转型路线图、开展数字化转型应用示范和评估等, 指明了推动工业数字化转型发展的着力点。同时,《纲要》强调“着力强化数字经济安全体系”,要求“提升数据安全保障水平”。按照《纲要》的总体部署,工业领域在工业数字化转型过程中,要采取措施确保工业数据安全,具体包括建立健全工业数据安全治理体系、建立工业数据分类分级保护制度、研究推进工业数据安全标准体系建设、健全完善工业数据跨境流动安全管理相关制度规范等,为工业数字化转型中强化工业数据安全保障指明了方向。 美国 2021年6月,美商务部发布《商业数据战略(2021-2024)》,明确商务部将与私营部门合作,提高商务部生成、收集、存储和分析有关国家经济、人口和环境数据的能力,将使商务能更好地利用其数据来满足社会当前和新兴的需求,从而促进创新、推动经济增长。该战略针对工业数据等事关国家经济的数据,明确提出加强数据安全保护,包括通过技术解决方案来应对长期存在的网络安全漏洞,出台数据资产保护指南、制定数据安全标准和最佳实践来解决数据安全保护合理合规问题,实施数据许可制度、保护数据知识产权以确保数据的适当使用,并推动各利益相关方有效参与数据安全治理来持续提升数据安全保护能力与水平。 欧盟 2020年2月,欧盟委员会发布《欧洲数据战略》,从构建跨部门治理框架、加强数据投入、提升数据素养和构建数据空间方面提出四大支柱性战略措施,并明确将“工业(制造业)共同数据空间”作为九种共同数据空间之一,强调通过这一数据空间发挥工业数据的潜在经济价值(预计到2027年达到1.5万亿欧元)。为维护工业共同数据空间、确保工业数据安全,该战略明确提出将重点解决工业数据访问和使用的权限问题、将工业数据保护技术(包括工业数据基础设施相关技术)纳入欧盟工业战略的新技术范畴、为全欧洲提供适当的处理数据的安全工具以及符合环境安全性与数据保护需要的数据处理和计算能力。 (二)立法明确工业数据安全保护要求 我国 2021年6月10日,我国全国人民代表大会常务委员会于发布《中华人民共和国数据安全法》,明确了工业主管部门的数据安全监管职责,对工业领域建立工业数据分类分级制度、规范工业数据跨境传输活动等工作提出了要求,为确保工业数 据安全、保障制造业转型升级提供了法律依据。2022年2月10日,工业和信息化部发布《工业和信息化领域数据安全管理办法(试行)》(征求意见稿),对“工业数据”进行明确定义,对《数据安全法》中的相关制度和工作要求进行细化,要求工业数据处理者应对工业数据处理活动负主体责任,针对不同级别数据,规定了工业数据处理者在工业数据收集、存储、加工、传输、提供、公开、销毁、跨境、承接、委托处理等各环节的安全保护要求。2022年2月17日,工业和信息化部发布《关于组织开展工业领域数据安全管理试点工作的通知》,探索构建工业数据安全管理体系,推进工业数据安全保护工作。 欧盟 2022年2月23日,作为落实《欧洲数据战略》的举措之一,欧盟委员会发布《数据法案》(草案),旨在为非个人数据,特别是智能设备、自动化生产线、自动驾驶汽车等载体产生的工业数据,建立欧盟单一数据市场,促进欧洲数据价值释放,预计到2028年将创造2700亿欧元价值。草案明确要求数据处理服务商在超越欧盟范围或跨境处理上述数据时,采取一切合理的技术、