派拓网络大中华区总裁陈文俊：网络安全法重塑企业安全观

如果经济网记者高若英问任何一个企业主:企业网络安全重要吗？我们100%会得到肯定的答案。但他们真的需要在安全部署上花钱，这似乎与提升业务绩效无关，而且有很大概率他们会觉得没必要。

但是，网络安全对于今天的中国企业来说，可能已经不再是政治正确空的说法了。

9月14日，国家互联网信息办公室向社会公开征求关于修改《中华人民共和国网络安全法》的决定。这是《网络安全法》自2017年6月1日发布实施五年以来的首次修订。此次修改值得注意的是，处罚上限有所提高，最高可达5000万元或上一年度营业额的5%。

这意味着，一旦因管理疏漏危及网络运行安全，企业将面临真金白银的罚款。管理好自己的数据，维护好自己的企业系统，不再是边缘的事情，而是企业必须重视的义务。

这种变化的原因与现代化和数字化转型浪潮下企业网络触及范围的不断扩大密切相关。在过去，“传统安全”的边界，就像卡在城堡里一样，已经被打破了。新时代网络安全的边界正在从办公室扩展到互联办公室、咖啡馆甚至员工家中。

Palo Alto Networks是一家提供云时代网络安全解决方案的公司。随着近期征求意见稿的公布，经济观察报采访了拥有20多年企业技术和数据中心解决方案经验的派拓网络大中华区总裁陈文军。

这个世界真的不“安全”。

2021年5月8日，美国最大的天然气和柴油管道公司colonial遭到勒索软件攻击，导致其在美国东部沿海各州的所有关键燃料网络关闭。一个月后，全球最大的肉类供应商JBS向黑客支付了价值1100万美元的比特币赎金。JBS曾因袭击关闭了在美国的工厂，导致牛肉和猪肉产量大幅下降。

2022年2月，英伟达内部系统被勒索病毒入侵攻击。勒索软件组织Lapsus$，声称他们可以访问1TB的公司数据，如果英伟达拒绝支付100万美元的赎金和未指明比例的费用，他们将在网上披露这些数据。同时，三家丰田供应商也遭到黑客攻击。当丰田供应商小岛康誉工业受到网络攻击时，该巨头不得不停止其14家日本工厂的运营。据说黑客攻击导致公司月生产能力下降了5%。

不难发现，这些令人瞠目结舌的网络攻击经常发生在国外和大型企业。对于更多的中小企业来说，网络世界真的不安全吗？这是网络安全公司为了推广业务故意夸大其词吗？

在陈文军看来，大公司需要特别注意网络安全而小公司不需要，这是一种误解。“因为黑客会广撒网，进行各种攻击，就像钓鱼一样，只要有人上当，就可能产生收益，同时成本很低。”

陈文军说，他看到每天都有许多网络攻击发生，无论是在中国还是在世界各地。今年6月，帕洛阿尔托网络公司(Palo Alto Networks)的威胁情报团队Unit 42公布了最新的研究成果:今年前5个月，Unit 42事件响应者处理的案件中的勒索病毒支付金额平均增加到92.5万美元，逼近百万美元大关，与去年相比增长了71%。这还不包括受害者需要承担的额外损失，如修理费、关机损失、名誉受损等。

根据Unit 42对泄露网站数据的持续分析，在双重勒索的威胁下，每三到四个小时就会出现一个新的受害者。

陈文军解释说，企业中的这种误解，部分是因为报道造成的印象差异，但更多的是与不同国家对网络事故的处罚不同有关。以旨在保护欧盟公民个人数据的《一般数据保护条例》为例。其中规定:对于严重违法行为，最高罚款2000万欧元，或者如果承诺，最高为上一财年全球年度营业收入的4%。

在陈文军看来，随着中国网络安全法律法规的不断完善，企业的安全理念也将被重塑。尤其是那些关键的基础行业和会收集大量数据和用户信息的企业，过程会更快。

对话:

经济观察报:如何定义网络安全？如何定义云时代的网络安全？两者的内涵和边界发生了哪些变化？

陈文军:网络安全与每个人息息相关。在网络安全的早期，办公室就像一座城堡。我们通常会设置防火墙，像城墙一样保护企业的出口，企业的员工在里面工作相对安全。这些是网络安全的一些最早的定义。

随着企业数字化转型，远程办公，业务逐渐上云，我们无时无刻不在产生数据，城堡里的边界被打破。边界可能穿越云端，通过云端回到办公室。如果员工在家或在咖啡馆工作，这个边界也可能扩展到家和咖啡馆。这些地方也可能成为攻击面，攻击影响企业。

现在网络安全的攻击面如此之大，已经从办公室扩展到云端。很多app都在云上，比如终端、电脑、pad、手机，都可能成为攻击点。包括物联网设备，无论是办公打印机、家用微波炉、冰箱，尤其是摄像头，都有可能成为黑客攻击的目标。因为网络安全的跨度变大了，攻击面变宽了，我们需要更好的防御黑客攻击。

经济观察报:企业真的不安全吗？还是只是网络安全公司为了推广业务故意夸大其词？

陈文军:无论在中国还是在世界各地，每天都有很多针对企业的攻击。2022年，黑客敲诈的罚款比去年增加了100%。今年，企业的罚款约为30万至50万美元，最高可达数千万美元。

对于企业来说，网络攻击已经成为企业运营的风险。随着各种法律法规的出台，企业面临的安全事故压力越来越大。因此，企业需要增加在安全方面的投资，并根据其风险承受能力和遵守法律法规的要求，包括其IT架构的成熟度来部署。

我们觉得做好国防不能只靠一家公司，要靠所有行业。所以，光有技术是不够的。人的意识和过程配合好了，才能更好的自卫。

黑客的主要目的是盈利，假设攻击成功，可能会获得高额赎金。如果员工不小心点击了钓鱼邮件，黑客就有机会进入并影响企业运营。这些都是真实情况。对于黑客来说，已经变成了一条产业链。他们会共享攻击手段和工具，也会租用云设备进行攻击。网络攻击无时无刻不在，这就需要企业提高警惕。

但是客户也有一些误区:比如只有大公司才需要注意网络安全，小公司不需要。因为黑客会广撒网，进行各种攻击，就像钓鱼一样，只要有人上当，就可能产生收益，同时成本很低。所以希望大家提高防范意识。

经济观察报:你刚才提到了一些误区，包括中小企业的安全意识不够。但这里有一个问题，尤其是对于中小企业来说，追求业务灵活、网络安全、降本增效是不是“不可能三位一体”？

陈文军:很多企业都能意识到信息安全的重要性。当他们遇到风险时，会寻找一些解决问题的方案，比如被病毒感染后在电脑上安装杀毒软件，通过单点解决方案来解决。

追求企业业务的灵活性、网络的安全性、降本增效，其实这三者并不冲突。事实上，我们提供的是平台解决方案，而不是单点解决方案。比如机场的护照检查、登机牌检查、行李检查，如果整合在一个平台上，可以更好的被客户管理。

平台的保护是相互关联的。通过平台方案，可以减少多个产品的投入，降低运维成本，更快的面对新的环境。我们使用平台解决方案来帮助企业更好地应对威胁，同时支持业务灵活性、网络安全性和成本降低。因为除了采购成本，企业还面临运营、维护和人员培训的成本。未来企业的发展应该更好的采用标准化的方案，面对威胁，主动应对。

经济观察报:在安全部署方面，中国企业和国外企业在策略和理念上有哪些异同？

陈文军:从法律角度来看，金融监管和信息保护监管在欧美起步较早。例如，欧洲有GDPR。如果企业有问题，罚款在营业额的4%以内。

上个月，网络安全法提高了合规罚款的要求，将罚款上限提高到5000万元人民币或去年营业额的5%。中国正在逐步完善法律法规，相信国内企业会加强保护，尤其是上市公司，金融业也会得到规范。

经济观察报:过去一年，中国客户的关注点和需求有哪些新的趋势和变化？

陈文军:有些企业更积极。随着法律法规的逐步完善，上市公司出于合规要求，开始主动为自己辩护。和信息网络安全，正在成为企业运营的风险。如果出了大问题，会对企业的声誉等方面造成很大影响，导致企业越来越关注。

此外，一些企业确实受到勒索攻击的影响:服务器被加密，比特币被勒索。服务器上全是客户信息和交易信息，相当于企业的失败。其他公司发现海外服务器受到影响。比如某企业的国内财务人员，收到境外钓鱼邮件后，按照境外监管部门的做法，让他转一笔钱到账户，转出去后才发现被骗了。这时候企业就会提高网络安全意识，主动按照法律法规的要求去完善。我们需要和客户或者更多的企业保持沟通，希望更多的人能够提高安全意识。

经济观察报:哪些行业和企业会立即受到网络安全条例的影响？

陈文军:我们国家的法律正在逐步完善。网络安全法是2017年出台的，当时只是作为一个规则，惩罚部分是最近两个月才完善的。2021年，将完善相关法律法规，如《数据安全法》、《个人信息保护法》、《关键基础设施保护条例》等。

像最新的跨境数据指引，要求企业的数据在国内，如果要跨境，怎么报。所有可以收集大量个人数据的企业，法律上都要求以这种方式进行监管。超过百万之类的跨境规定，出境前需要报国家批准。这些都是法律上的改进。有这些数据的企业需要合规，国家规定出台后需要更多的企业了解。此外，关键基础设施，如运营商、交易系统、电力传输和其他企业，需要保护免受网络攻击。