資料安全刻不容緩,國產智慧化廠商首獲SOC 2鑑證報告有何意義?
瞭解SOC 2與ISO 27001的區別,你就知道SOC 2對智慧自動化廠商的意義了
文/王吉偉
要問當前組織對於數字化轉型的最大顧慮是什麼,答案無疑是資料安全。
所謂資料安全,是指通過採取必要措施,確保資料處於有效保護和合法利用的狀態,以及具備保障持續安全狀態的能力。
要實現資料安全,就要保證資料處理全過程的安全。而數字化轉型最終目標是要實現組織全部業務數字化,資料上雲不可避免,資料安全也就成了重中之重。
進行數字化轉型的廣大組織,不管選擇哪家技術供應商,選擇什麼服務,選擇什麼實施標準,首先考慮的必是資料安全方案。
對於技術供應商而言,資料安全永遠是橫在中標與交付前的一道門檻。
尤其在當前複雜的外部環境面前,資料安全已是影響組織實施數字化的首要因素。而組織內部IT系統長期累積的系統異構、資料多元、孤島林立、架構複雜等因素,也為供應商的安全方案與實施交付提出了更高要求。
為了適配更高階別的安全需求,RPA廠商也做出了很多努力。包括打造安全產品與服務系統、適配信創體系以及獲取各項認證等等。每家廠商,都在積極通過各種手段提升自身以及對外服務的安全級別,以能夠適應更廣泛與多元化的市場需求。
在各種認證中,SOC 2是最受歡迎的能夠全面體現供應商安全能力的認證體系。作為一種審計程式,它基於安全性、可用性、處理完整性、機密性和隱私性的五項“信任服務原則”,定義了管理客戶資料的標準。可確保服務商能夠安全地管理您的資料,以保護組織的利益和客戶的隱私。
對於RPA行業而言,顯然哪家廠商能夠先一步拿到SOC 2,在資料安全大於一切的大環境下,就能進一步得到大型組織的認可而獲取更多的市場份額。
最近來也科技通過了SOC認證,成為首個正式獲得SOC 2證書的國產智慧自動化廠商。藉此事件,王吉偉頻道也跟大家聊聊資料安全對RPA行業的影響、SOC 2與其他體系的區別以及SOC 2認證對智慧自動化廠商的意義。
資料安全刻不容緩
2020年10月,某通訊營運公司的幾名內部員工,開始以“客服人員”的身份打著“手機積分優惠換購”的幌子,進行公民個人資訊非法收集。至2021年2月案發時,該團伙通過竊取公民資訊,偷開、倒賣微訊號250萬個,涉案972宗,非法獲利8700萬元。該團伙的下場,自然是鋃鐺入獄。
今年3月1日,日本汽車製造巨頭豐田公司突然宣佈暫停汽車生產業務。造成此次停產的原因,是其零部件供應商小島工業(Kojima Industries)遭受網路攻擊,出現了嚴重系統故障。豐田公司被迫宣佈暫停日本14家工廠內28條生產線,導致公司月減產約13000輛汽車。
ITRC(非營利組織身份盜竊資源中心)在2021年2月釋出的《2021 Data Breach Report》顯示,2021年全球發生了1862起資料洩露事件。其中,因網路攻擊造成的資料洩露事件為1613 起,內部人員惡意洩漏、越權訪問等人為因素造成的資料洩露為249起。
從數量來看,2020年資料洩露事件為1108起,2021年的資料洩露數量增加了 68%。近幾年資料洩露事件持續呈現高速上升趨勢,預計2022年的資料洩露事件會更多。
數字經濟時代,組織的業務流程都要基於各種IT系統、網路與雲,使得資料洩露造成的資料安全危害愈發嚴重。一方面,資料洩露可能會危及企業系統和關鍵資料安全,造成不可估量的損失。另一方面,企業對資料洩露的補救成本也在增加。
IBM釋出的年度《資料洩露成本報告》顯示,當前平均資料洩露成本為386萬美元。其中一些"超大型”資料洩露事件的補救成本,高達3.92億美元。
重要的是,資料洩露事件一旦發生,組織不僅需要承擔高昂的經濟損失,還可能承擔嚴重的法律後果。《資料安全法》《個人資訊保護法》和《網路安全法》等相關法律法規均從不同視角出發為企業規定了不同的合規義務,以預防資料洩露和降低資料洩露的影響。
2020年,某銀行支行因侵害消費者個人資訊依法得到保護的權利和違反反洗錢管理規定,洩露客戶資訊,受到警告及1223萬元的高額罰款處罰,其行長和營業室員工也因此分別被處1.75萬和3萬元罰款。
為保障資料安全,廣大組織應當加強資料安全工作,儘量採取更有效的方式保障並加強企業經營中資料生產、傳輸與應用全流程的安全保護。
在資料安全問題的解決上,除了組織內部執行嚴格的安全與監管流程,同時也要對業務數字化轉型中選擇的技術供應商進行嚴格要求。
RPA面臨的安全風險與挑戰
RPA正在成為組織數字化戰略的關鍵組成部分,被用於越來越多的領域。RPA專案既要通過保護機器人平臺來防範網路風險,也需要利用RPA技術來執行更有效和高效的網路執行操作,因此RPA的安全不容忽視。
在安全領域,RPA在電子身份和訪問管理、安全操作、資料分類和保護、響應、軟體和產品安全、管控等業務場景中扮演著最重要的角色。
由於RPA與傳統IT的差異,機器人和機器人平臺可能會引發新型攻擊,其風險包括洩露、竊取、銷燬或修改敏感資料,訪問未經授權的應用程式和系統,甚至利用這些漏洞進一步訪問企業的安全系統。
其中,可能涉及的最常見風險包括濫用特權、資料洩露、安全漏洞和流程中斷。
要解決這些潛在的安全問題,需要廠商打造更安全、令使用者更放心的產品與服務體系。在安全方面,RPA廠商一般會通過多樣部署、多元容災、複雜加密、超自動化、全生命週期等手段,提升其在安全治理、控制等方面的安全能力。
當然,行業認證和證明也是廠商展示安全能力的有效途徑,各種證書能夠為廠商的產品與服務安全體系進行很好的背書。
比如全球三大之一的UiPath,其行業認證和證明就有SOC 2、ISO/IEC 27001、ISO 9001、Veracode Verified、HIPAA、Cyber Essentials Plus等。
一般而言,RPA廠商作為數字技術供應商,為了能夠拿下更多的500強企業,在安全方面都會進行SOC 2、ISO 27001、ISO 9001、ISO 22301等的認證。在這其中,無疑SOC 2是最具備影響力與說服力的證書,不然也不會有那麼多大型企業將其放到安全證明頁面的首位。
SOC 2的稽核非常嚴格,只有具備相對完整安全技術與服務系統的供應商才有可能通過稽核。因此SOC 2雖已推出多年,但目前全球範圍內通過SOC 2認證的企業並不多。
在國內,如果你在百度搜尋一下,就會發現打上SOC認證印記的不是華為就是百度,要麼是阿里巴巴或者位元組跳動,當然也有一些技術領域的行業翹楚。
在RPA領域,目前國產RPA廠商只有來也科技於近日拿到了SOC 2認證,其他廠商的安全背書仍舊還是ISO體系認證。
從相關資料來看,來也科技的SOC2認證非常全面,涵蓋了RPA、IDP、對話式 AI等全智慧自動化平臺產品及服務,國產首位的同時,也是目前全球業內最為全面完整的SOC 2認證覆蓋廠商之一。
SOC 2為何更受重視?
SOC(System and Organization Controls)標準是美國註冊會計師協會(AICPA)制定的行業服務標準,包含 SOC 1、SOC 2、SOC 3 三種形式。
其中 SOC 2 是一項專門針對資料安全和隱私保護服務的高安全性、高保密性、高可用性鑑證標準,是全球公認的、高度權威的、專業的安全性審計報告,能正確、全面且深入地反映被審計企業全域安全的管理情況。
SOC 2的權威性與專業性,使得其能夠有效證明被審計企業的產品技術實現安全、服務安全、資料安全以及資訊保安情況,因此成為國內外企業在選擇第三方服務提供商時評估其相關資質與服務質量提供重要參考,更能夠為使用者提供重要的產品安全保證和產品選型參考。
但凡提及SOC 2,就會有人提到ISO 27001,其實兩者是有一定區別的。
ISO 27001是管理標準,而不是安全標準。它為組織內的安全管理提供了一個框架,但它沒有像SOC 2一樣提供安全的“黃金標準”以確保組織的安全性。
ISO 27001採用基於風險評估的方法。資訊保安風險評估用於識別組織的安全要求,然後識別將風險控制在組織可接受的安全控制水平。
其中的關鍵在於,組織決定了它需要什麼級別的安全性,風險評估只用於識別組織所需的控制,由組織根據風險評估和組織可接受的風險水平(風險偏好)來選擇所需的安全控制。
也就是說,ISO 27001的合規性或外部認證並不代表組織就是安全的,組織只是在按照自己認為的安全級別進行管理實施。如果組織的風險評估有缺陷,缺乏足夠的安全和風險評估專業知識,沒有實施安全的管理和組織承諾,便意味著即便其實施了ISO 27001也仍然會存在安全風險。
這就是為什麼很多實施了ISO 27001的組織,仍然會有資訊保安漏洞的原因。
理想的安全狀態是SOC 2和ISO 27001並用,通過SOC 2定義安全級別,然後以ISO 27001來打造更高標準的安全管理體系。而同時擁有SOC 2和ISO 27001認證的技術供應商,就能夠為廣大組織提供更完善與安全的產品與服務。
對於長期與資料打交道的數字化技術供應商而言,在當前資料安全大於一切的大環境中,為更好地服務客戶以擴大市場規模,通過SOC 2認證來證明安全實力,也是非常緊要和必要的。
所以,更多的雲端計算、AI、智慧自動化等為廣大企業提供數字化轉型解決方案的廠商,都在緊鑼密鼓地進行SOC 2認證。而已通過SOC 2認證的服務商,也就成了廣大組織實施業務流程優化的首選。
哪家廠商能夠搶先一步拿下更具權威性的SOC 2,在資料安全方面其產品與服務也就更有說服力。能夠拿下更多政企領域的大客戶,也就能實現市場規模的快速擴張與業務營收的高速增長。畢竟對於進入C輪、D輪融資的廠商,更大的市場規模與更好的營收資料還是非常重要的。
國產智慧自動化廠商首獲SOC 2認證
5月31 日,來也科技正式獲得安永華明會計師事務所簽發的SOC 2 Type1鑑證報告。經過安永華明會計師事務全方位、細粒度審計與評估,來也科技的智慧自動化服務體系具備安全性、可用性及保密性相關、多維度的綜合服務能力。
由此,來也科技成為國產智慧自動化廠商中,首家取得 SOC 2 認證的安全踐行者。
這項認證的通過,表明來也科技智慧自動化服務在安全、可用及保密方面已通過業界最嚴格稽核、對標國際領先標準,具備業內領先的多維度綜合服務能力。
來也科技能夠通過SOC認證,並不意外。這家智慧自動化廠商一直以來都本著“客戶成功”的原則,不僅為使用者提供安全產品,更以助力客戶安全高質量發展為己任,在資料安全意識提升、業務資料安全保護、資料全環節管理落地支援等方面為客戶提供安全服務。
也正是因此,來也科技才能成為當下“最安全”的智慧自動化供應商、智慧自動化安全領域的先鋒。
來也科技關注使用者資料安全,通過多渠道向使用者明確並傳達資料保護政策與保護措施。
將安全作為關鍵要素融入企業經營全流程,向客戶輸出服務安全能力,對服務的實施與交付、故障問題處理、服務開展內部支撐管理落地等全業務場景進行梳理與排查,明確相關管理要求,保證控制措施常態化落實。
此外,還在“合作伙伴與開發者”生態構建中,重點落實生態夥伴資訊保護,
在國產安全方面,來也科技是國內智慧自動化廠商中最早進行國產自主信創平臺適配的廠商之一,已適配飛騰+銀河麒麟、統信+海光、統信+兆芯等多個國產軟硬體平臺;支援華為鯤鵬CPU加Linux作業系統的組合,並獲得華為技術認證證書。
其實在SOC報告之前,來也科技已獲得 ISO/IEC27001 資訊保安管理體系認證證書、ISO9001 質量管理體系認證證書、ISO/IEC20000 資訊科技服務管理體系認證證書、Veracode Verified™認證、公安部網路安全等級保護三級測評、資訊系統安全等級保護第三級、CMMI軟體工程評估方法認證第三級等多項安全認證。
SOC 2認證在美國特別受歡迎,隨著更多歐洲公司在美國開展業務,它也越發受到歐洲公司的歡迎。無疑,這對於來也科技的海外市場擴充,有著重要的意義。
後記:SOC 2加快廠商國際化步伐
事實上,來也科技早已具備對於產品安全、服務安全、資料安全、資訊保安等的全方位多維度保障能力,SOC認證的通過相當於給它發了一張畢業證。有了這張畢業證,就能夠得到更多使用者的信賴,對其未來的多元化發展自然也是大有裨益。
從對信創體系的國產化支援,到ISO/CMMI等體系的認證,再到SOC認證的通過,可以看到國產智慧化廠商在安全體系的建設上在取得豐碩成果的同時,也進一步貼近廣大組織對於高等級安全的需求。
同時,這些安全體系的認證與證書的獲取,也從側面見證了國產智慧自動化廠商從立足國內客戶到滿足海外市場需求的成長之路。
在王吉偉頻道看來,從來也科技首先獲得SOC認證的那一刻開始,就意味著國產智慧自動化廠商的安全管理體系已經升級到全球大型技術供應商一般的高度,RPA行業也由此進入了安全體系新時代。
相信在這些安全體系認證的助力之下,進入安全體系新時代的國產智慧化廠商,必將加快國際化步伐,在全球市場闖出更多聲名。
【王吉偉頻道,關注TMT與IoT,專注數字化轉型、業務流程自動化與RPA。】