2023年11月29日-12月1日,“国潮起·万物生”良渚2023科技国潮产业大会在杭州良渚洲际酒店成功举行。大会由中国品牌建设促进会指导,杭州市余杭区人民政府主办,杭州良渚新城管理委员会、中国国家品牌网、观潮新消费承办,盛邀专家学者、企业家、投资人、产业服务商等百位嘉宾共创科技国潮。
在良渚2023科技国潮产业大会上,奇安信科技集团副总裁夏伟发表了《用“零事故”标准打造数智时代安全底板》主题演讲,他表示:“为我们产业上下游的国潮企业来打造数字化防线,用零事故标准护航国潮的科技现代化进程。”
非常荣幸受主办方的邀请,来参加良渚2023科技国潮产业大会,今天确实是一个天时地利人和的日子,12年前的今天,首次提出了中国梦,中国梦就是中华民族的伟大复兴,国潮也是伟大复兴的组成部分。国潮起,万物生,国潮起,万物美。回归当下,在美的边界之外也要考虑到美的安全。
我今天分享的主题是《用“零事故”标准打造数智时代安全底板》。在传统时代,我们经历了四次工业革命,大家都知道短板效应,即最短的那块板决定了水桶能装多少水。在数智时代,万物相连,安全就像一块底板,如果这块底板出现一些明显的异常问题,就像城门失火,殃及池鱼,假如没有安全,那么一切都将归零。
如今,我们已步入数智时代,数据已和资本、土地、技术、劳动力被并列为五大生产要素,AI算力也在持续提升,人工智能已成为巨大生产力。
数智时代,数智化为我们消除了许多盲区,也带来了极大的生活便利,现在出门不再需要带现金、钥匙或钱包。但数智化也带来了一些新的盲区,例如数字身份的造假,数据的泄漏,停服停工的发生。
举个简单的例子,用AI模型进行设计时,若出现数据“投毒”现象,即将假数据作为原材料输入模型,就会导致输出的结果与真实结果存在巨大差异。
第一,从安全看数智,停服停工是隐患。我们一码可以游景区、购物、付款,便利的同时风险巨大。今年5月美国德州政府遭遇勒索攻击,整个城市停摆;此前某地一所著名的三甲医院,也发生过类似事情,影响了社会服务。
智能安全事故也可能会引起生产停工,今年3月德国空客工厂被攻击,导致生产出现了巨大的问题;伊朗的钢铁巨头在2022年6月受到巨大攻击,被迫停产;2021年5月美国的关键基础输油管道,因为网络事故导致8815公里的输油管被关闭,17个州和华盛顿进入了紧急的状态,所以安全是一个底板和底线。
国家已经出台了相应的法律和法规,这在某种程度上预示着一旦企业的数据和网络出现一些明显的异常问题,这不仅是生产事故,更是服务事故,要承担对应责任,国家会依法进行一定的惩罚和处理。目前,我国已经实施了网络安全法、数据安全法和个人隐私信息保护法等法规。
这里有一个典型的案例:11月27日晚,上海、北京、广州等多地出现某打车软件没办法使用的情况。此软件公司2021年赴美上市,泄露了大量用户的敏感信息数据,最终被国家处以80亿人民币的罚款,并暂停上市,软件暂停下载。
因此,网络安全事故和相关责任是很严重的。在欧洲和美国,有更严格的相关法律,数据的违反相关规定的行为制裁严厉。
第二,从数智看安全,易攻难守是常态。以前我们讲易守难攻,但是在数智化时代,攻击100次,只要失败99次,成功一次就算成功;防守100次,99次成功,失败一次就是失败。主要因为几个挑战。
挑战一,勒索攻击成为“流行病”,无孔不入。有权威方预测,到2031年全球勒索病毒造成的经济损失2650亿美元(约在一万亿人民币以上)。这里还不包含个人被电信诈骗的资金,光是缅甸的相关产业就超过了一万亿。
我分享两个案例:第一个案例,今年7月日本名古屋港口的勒索事件。该港口占日本吞吐量的10%,但整个港口因勒索攻击而停工。第二个案例,张忠谋领导下的台积电,在2018年因为勒索攻击导致生产停顿,3天损失17.6亿元 。
挑战二,生产制造系统成为黑客攻击的热门目标。随着数字化改造智能工厂、黑灯工厂、未来工厂以及产业大脑等技术普及,人们一致认为这些系统是隔离网安全的。然而,实际上,这些系统面临着高价值与低保护的问题。
2022年8月,我国一家大型空调制造商的生产系统遭到黑客攻击,损失惨重。此外,2023年4月台湾电脑厂商微星也遭受了类似攻击,被勒索1.5TB的数据。
工业控制管理系统的攻击相对容易,因为其使用的协议较为简单,这些系统具有高价值,但保护的方法却相对薄弱,这使得它们成为黑客攻击的主要目标。
挑战三,软件供应链成为最佳的攻击跳板。企业在进行数字化转型过程中,不能离开与软件的交互。软件的开发、交付和使用是三个关键环节,但这些环节中常常存在缺陷,类似于人体DNA缺陷和自带细菌病毒。
据统计,平均每个软件存在7-10个缺陷。以特斯拉为例,无人驾驶技术领先,受到黑客攻击的风险较高,但其自身的安全水平相比来说较高,攻击难度加大。然而,黑客会转而攻击其上下游供应商,2021年7月通过攻击供应商的15万摄像头等设备来获取敏感信息。
挑战四,海量数据裸奔。每个人天天都会产生大量的数据,包括微信、微博、快递和社会化媒体等等。这里2个与大家息息相关的典型案例:2022年12月,某服务著称的新能源汽车公司,其数据被窃取并被销售。2023年2月,国内45亿条快递信息被泄露,几乎每个人的快递信息都涉及到了,这一些信息在网上被销售。
当前,网上挂号、医疗公众号等挂号系统也都面临着个人隐私信息保护的挑战。这些系统中的海量数据被公之于众,甚至被明码标价,导致个人隐私受到严重威胁。如何保障这些个人信息安全,防止数据泄露,成为了一个亟待解决的重大问题。
挑战五,ChatGPT等新技术降低了犯罪成本。ChatGPT带来优势便利的同时也带来了一些挑战。使用ChatGPT后,人类能更容易地撰写论文、设计或修改图纸等,使得一些原本水平较低的人更容易滥竽充数。还有一个新问题,即69家专业安全公司无法检测到使用ChatGPT包装的黑客软件技术。
挑战六,工控漏洞数量飞速增加。制造企业通常拥有许多工业生产设施,这些设施大多分布在在一些国外有名的公司,如西门子、阿尔卡特、艾默生、GE、东芝、日立和恒河等。这一些企业的生产线被普遍的使用,然而,它们的漏洞数量每年都在以几何级数增加,怎么样才能解决这样一些问题也是非常棘手的挑战。
奇安信每年分析和处置重要客户的APT事件超过100起。2015年国内第一个综合性海莲花APT组织报告,引起巨大反响,截至2022年底,威胁情报中心监测到的针对中国境内各类机构、科研教育、大规模的公司等组织单位发动APT攻击的境内外黑客组织累计49个,最早可追溯到2007年,而其中14个近3个月内依然活跃。
针对个人、社会服务和生产制造等领域定向攻击,其背后的目的是为实现国家利益。这涉及到国家之间的竞争和对抗。2022年2月,北京奇安盘古实验室发布技术报告称,隶属于美国国安局(NSA)的超一流黑客组织——“方程式”所制造的顶级后门“电幕行动”(Bvp47),用于入侵后窥视并控制受害组织网络,已侵害全球45个国家和地区。
第三,数智时代下的新要求——零事故是必然标准。在传统时代,每个个体或组织相对独立,出现一些明显的异常问题通常只会影响到个体或局部。然而,在当今的数智时代,个体或组织相互依赖,任何一个环节的失误都可能对全局造成重大影响。因此,零事故的标准是必然的。
首先,业务不中断。例如,台积电和美国银行等大规模的公司,如果业务中断一周,其经济损失是能预见且巨大的。对于为国家提供科技力量的关键行业,其影响更是深远,不仅关乎企业自身的生存,还可能改变整个产业格局。
其次,数据安全不能出问题。一旦数据出现一些明显的异常问题,不仅是企业自身的问题,还可能引发一系列法律后果,包括企业被关停、被罚款甚至触犯刑法。
最后,合规不踩线。在追求创新和发展的同时,我们一定要确保所有行为符合法律和法规,避免因违反相关规定的行为而引发的问题。为此,我们应该提前进行布局和规划。
在百年冬奥会历史上,2022年北京冬奥会首次没再次出现网络安全事故。与以往奥运不同,北京冬奥会按照零事故实践标准做了网络安全规划和建设,为中国留下了一份宝贵的冬奥技术遗产,为全球大型活动树立了标杆,也展现了中国国潮的实力。
为了实现这三点,我们应该运用纵深防御的内生安全体系做规划和建设。这种体系不仅关注“头痛医头、脚痛医脚”的单一问题,而是从全局方面出发,构建一个全方位、多层次的安全防护体系。
根据美国FBI调查显示,85%的网络安全问题源自内部,因此防范内部风险至关重要。我们采用零信任原则,对所有身份进行严格鉴别,并构建了纵深防御系统。
为了有效对抗人工智能攻击,我们运用人工智能技术进行运算,防投毒,并建立了人工智能防御体系。今年,奇安信首次发布了人工智能大数据安全模型,为国内一些先进国潮企业,如吉利集团以及北京京东方等提供了先进的技术实践。这些机构利用大模型AI安全开展AI应用,为产业高质量发展和创新注入了强大动力。
在《2023国潮品牌上市公司百强榜》中,奇安信与宁德时代、比亚迪和青岛海尔等打造了零信任纵深防御体系,为这些民族企业的数智化保驾护航。同时,我们也希望未来有机会为产业上下游的国潮企业打造数字化的防线,以零事故的标准来护航国潮科技现代化进程。