后记 2 —— 云与安全

我经常在想,为什么 HashiCorp 没有诞生在中国,或者反过来说,为什么中国没有诞生 HashiCorp 这样的公司?就拿 Vault 这样的工具来说,其理念在国内仍然很少有人实践,这是为什么?

和大多数人一样,在很多平台注册账号时我也要填写个人联系方式,包括姓名、手机号等等。我在填写姓名时时常会设法将平台名编码进姓名里,比如肯德基,就叫“X肯生”,麦当劳?“X麦生”;美团?“X美生”......

最后结果就是,我有时会在某些社工数据中查到自己的数据,通过这些数据中的姓名,我就能大致了解到数据泄漏的源头是哪里。

结论就是许多我们日常信任的品牌都存在过数据泄漏问题。这是为什么?为什么用户的隐私数据没有做好加密?为什么内部数据访问权限没有经过严格控制?为什么不花时间去学习并使用类似 Vault 这样健壮且成熟的安全工具?

原因是,在中国信息安全出问题的成本其实很低,以至于企业并没有什么动力去做好这件事。欧美在信息安全和隐私保护方面都有严格的立法,一旦发生数据泄漏,伴随着大额罚单的往往还有各种行政乃至刑事处罚。在我国目前这方面终于在立法方面有所进展,但目前看力度仍显不足。

兜售“大数据”概念的人往往喜欢说:“数据是新的石油”。我们甚至发明了“数据挖掘”这样的名词来形容对数据的分析。但是我们对真正的各种煤矿、油田等进行严格的安全生产立法的同时,对数据生产安全的处罚力度却显得非常稀松。假如某地发生矿难,数百人伤亡,那么不但企业负责人要负刑事责任,当地主政的一把手仕途可能也会受到严重影响。如果一家企业发生了严重的隐私泄漏事件,我们可能会看到具体涉事的底层员工被开除,发动攻击的黑客被抓捕,企业缴纳罚款,但我们似乎从来没有见到过有企业高管因玩忽职守而负刑事责任的。

在企业跑马圈地野蛮生长的时候,信息安全看起来似乎没有那么重要,安全人员和运维看起来就是可有可无的角色,企业管理层可以用各种手段减少团队在信息安全方面的投入。但如果我们严格立法并且严格执法,像管理煤矿那样管理信息安全,规定企业高管要对大规模隐私泄漏负刑事责任的话,我想中国企业才能正确评估信息安全、软件工程和自动化的真正价值,以及他们当下野蛮生长的真实成本。

多一些玩忽职守蒙眼狂奔的 CXO 唱铁窗泪,大众的隐私安全就多一份保障,中国的信息技术产业的发展也就更加健康一点。

results matching ""

    No results matching ""