针对网络安全风险防范,企业最需要做的远远不是找出问题,而是找出问题和规律之后,如何杜绝与防范
不久前,中国全国人大常委会表决通过了《中华人民共和国网络安全法》(以下简称《网络安全法》),该法将于2017年6月1日开始实施。这意味着,中国有了专门的规范网络安全的法律,也将给中国企业以及部分有中国业务的跨国企业带来相当影响。
在企业的经营管理中,合规与风险预防始终是重中之重,来自内外部的威胁,曾使得很多企业代价惨重。垃圾邮件、病毒、间谍软件以及员工不恰当行为,往往令企业处于商业机密被窃取、舞弊指责、政策监管的风险之中。
如何应对网络安全的威胁,是企业经营管理中的重大课题,同时亦是健康商业环境的应有之义。
新法之下的网络安全应对
在本次《网络安全法》颁布之前,中国已有多部法律法规涉及网络安全领域的监管,如《人口健康信息管理办法》《征信业管理条例》《中国人民银行关于银行业金融机构做好个人金融信息保护工作的通知》《保守国家秘密法》等。但专门就网络安全问题立法,在中国尚属首次。
主要因为随着互联网时代的发展,网络信息的监管成为重中之重,而个人和企业的信息,在网络传播速度和范围,超出传统的监管意义。
在安永舞弊调查及纠纷协调部门合伙人陈炽看来,《网络安全法》的出台,旨在维护国家网络主权、防范网络攻击、加强互联网安全、规范个人数据使用等。其涉及的范围很广,包括互联网网络建设、运营、维护、使用以及安全的监管。
“受影响比较大的首先是国内外的网络运营商,以及网络产品和服务的供应商,如电信、TI等行业。”陈炽在接受《法人》记者采访时强调,根据《网络安全法》的规定,要加强对个人数据隐私以及商业秘密的保护,要求在中国境内的企业运营中收集和产生的公民个人信息和重要的业务数据,应在中国境内存储。
此外,受影响较大的行业还集中于金融服务、卫生医疗、能源、运输及其他一些公共服务行业。
目前,距《网络安全法》的正式实施还有将近半年的缓冲时间,一些行业中的企业已经开始积极调整业务模式,以应对法律的规范。此外,一些企业尤其是在国内运营业务的外资企业,亦对该法中的一些实施细则提出了质疑。如一些美国企业认为,《网络安全法》中要求分享原代码或者公布产品一些设计细节的内容,可能会伤害技术革新,泄露企业的商业机密。
陈炽对此认为,《网络安全法》目前尚未实施,各方正处于学习、了解该法的过程。但立法的初衷是倡导建立一个统一的安全标准,目的是保护所有网络用户的安全。其不只是针对国外企业,所有相关的企业都会涉及。而且不仅中国有类似的法律,国外很多地方早已有类似的法律了。
“法律出来以后,大家需要逐步理解它的内涵,摸索在应用层面怎么操作才能让公司合法地运营。半年之后再实施,恰恰给了大家一个学习和摸索的时间。这是一个正常而且也很良性的表现,在此过程中,与外部律师和专业服务机构的沟通和了解,是一个必要的环节。”陈炽告诉《法人》记者。
攘外必先安内
企业的安全风险,往往分为内外两方面。相比外部环境等风险,来自企业内部的风险,往往更直接,危害也更严重。
陈炽表示,企业内部风险在相当程度上比外部风险对企业造成的危害更大。内部威胁往往涉及的参与者可能对企业内部的规章制度、内控体系已经比较清楚,更能够钻空子。此外,内部威胁更容易涉及诸如商业机密的泄露、用户个人信息的泄露以及贪污受贿等舞弊问题。而且这些问题往往发生于企业的重要部门,如销售部门、采购部门、质检部门等。
日前,京东一位员工因涉及职务犯罪的问题而被调查,再次引发业内对于互联网企业内部舞弊问题的探讨。实际上,国内几大互联网巨头如阿里巴巴、腾讯、百度等,均曾多次爆出员工贪腐等舞弊问题。尽管相关企业也一直在做相关的工作,但问题仍不断出现。
互联网法律专家赵占领在接受《法人》记者采访时表示,互联网企业内部的反腐主要靠的是企业文化和管理制度。企业文化、价值观更多属于从道德层面预防腐败,管理制度则是从自律机制角度预防和惩治腐败。除此之外,还有外部的法律机制,三者共同构建了预防与治理互联网企业内部腐败的体系。
“现在处在大数据的时代,数字化、社交媒体等新兴技术的发展,为不法之徒提供了更多的借助渠道。传统的商业手段要不断适应这些新的威胁形势,以及相应的监管要求。”陈炽认为,要应对这些威胁,首先需要企业制定和完善相应的规整制度,内部流程的框架要建立起来,并有专业的部门去负责相关的工作。
建立流程和部门只是第一步,接下来企业还应对员工进行系统的培训,告诉他们哪些能做、哪些不能做、如何按照流程去做。在此基础上,要严格执行操作流程,并利用专业大数据技术对相关信息进行分析、监控。
“对一些企业内部的财务等问题来说,只看一笔交易往往看不出其中的问题,只有把多笔交易放在一起看,才能分析出规律来,才能知道哪些环节可能存在问题,哪些地方是要特别注意的。”陈炽说。
企业需要完善的还远不止找出问题,找出问题规律后如何杜绝与防范才是最核心的。陈炽介绍说,通过大数据对于运营层面的分析,找出其中的异常点,确定其是否真的有问题。如果有问题,可进一步分析要不要做一些探索,为什么会造成这样的问题,是流程上有缺失、控制上有缺失还是个别人无意为之?
“此类工作的核心是帮助企业及时发现问题、解决问题,提升内控环境,提升流程、完善规章制度,使得相似的问题以后不再发生,或者尽量少发生。”陈炽表示。
中国企业的“后安全时代”
对很多中国企业来说,由于外部法律环境和商业环境的不完善,以及内部治理模式和流程的不完善等因素,商业秘密的保护一直是个比较难的问题,商业秘密的侵权认定也一直是一个难点。
陈炽对此强调,事前防控永远比事后救急有用。对企业来说,在人员招聘时就应充分考虑到其中的道德隐患。比如,对员工价值观要有一个基本判断、员工入职要签保密协议等。此外,对员工、商业合作伙伴亦应有教育和培训,使之养成维护企业商业秘密的思维习惯,并知晓一旦泄密可能承担的道德和法律风险。
与此同时,企业内部也应通过技术手段将重要的信息进行分级,建立比较完备的文件管理系统。还可以运用一些加密等技术或者物理隔离等手段防范网络入侵和攻击。国外一些高科技企业在,还运用监控技术来监控电子邮件、实时的通信工具等,以防范泄密事件的发生。
不过对企业来说,在防范相关风险的措施中,也要把握一个“度”,即必须在合法合规的前提下进行网络安全风险的防控,否则可能引火烧身,这亦是企业所面临的一种潜在风险。
最近的媒体报道显示,谷歌正在美国面临一场有关其对内运行的一个“监视项目(spying program)”的指控。一名谷歌的产品经理称,此项目在一定程度上鼓励谷歌内部员工自愿举报其他可能泄露该公司秘密的员工,谷歌这种鼓励员工互相举报的行为违反了相关法律。
陈炽对此认为,企业在制定安全政策的时候,要跟内外部律师进行沟通,要从法律角度确保相关措施是合理合法的。要确保其既可以最大限度地保护企业的利益,又按照法律要求尊重并理解员工的个人隐私和人格。
“这应该是一个双赢的局面。”陈炽认为。
本文转自d1net(转载)