《“十四五”民用航空发展规划》明确以智慧民航建设为战略主线,加快推动新一代信息技术与民航业务深度融合,发挥科技赋能和数据驱动作用,全面推进民航业数字化转型,实现智能化应用、智慧化融合。进入数字经济时代,随着数字化、智能化工作深入推进,数据安全问题被持续关注和研究。公开数据显示,2020年全球因数据泄露事件造成的经济损失高达1145万美元,2021年企业数据泄露数量同比增加68%,每天都有超过2500万条数据遭到入侵或泄露。数据安全问题影响大、损失重,对社会稳定运行、工业生产和民众生活产生深远影响。统筹协调民航业发展与数据安全的关系,对促进我国智慧民航建设与发展至关重要。
中国信息通信研究院发布的《中国数字经济发展白皮书》显示,2020年我国数字经济规模达39.2万亿元,占GDP的比重高达38.6%;2021年我国数字经济规模进一步增加,达到45.5万亿,占GDP的比重达到39.8%。数字经济已经成为国家转型升级的助推器,也是民航业实现高质量发展的新引擎。
民航业作为国家重要交通出行行业,拥有大量的旅客出行信息、地理位置信息、经济生产运行数据等,数据资产已经成为与机队、时刻、航权、运力、资本、人力、技术并列的行业关键资产之一。只有平衡好数据应用和安全防护,激发数据应用潜能,才能让数据使用的生产力得到有效释放。
鉴于民航业复杂的业务生态和频繁的数据流转,数字化、智能化给民航业带来蓬勃发展的同时,也增加了数据泄露和基础设置暴露的安全隐患和风险。如2018年10月,国泰航空约940万名乘客资料在未经公司授权的情况下被取览;2018年9月,英国航空约38万笔用户的网上交易被泄露,消息公布当日,英国航空的母公司IAG集团的股票在交易日下跌3%。2021年,IBM 安全研究报告显示,数据泄露会给企业造成近38%的经济损失,企业为单个数据泄露事件可能付出高达424万美元的代价。由于行业系统互联互通的复杂性,民航业的数据安全问题面临的挑战更大,并可能产生级联效应,会导致经济损失、生产生活中断,甚至会威胁生命安全。
民航业数据体量巨大,数据流转频繁,在数据收集、存储、使用、加工等处理活动场景中,数据暴露面风险急剧加大,从数据在企业中的不同使用场景来看,数据安全问题主要存在以下三个方面的风险。
“人、机、环”是构成事故的三因素,但“机器设备”“环境”是两个相对稳定的因素,只有“人”是最活跃的因素。2021年威瑞森发布的《数据泄露调查报告》显示,人为因素是数据泄露最主要的因素,占比高达85%。说明员工违规风险已然成为了攻破企业数据安全防线的大敌。由于部分员工缺乏数据安全和保密意识,在日常工作中存在越权访问、非法外联、滥用移动介质、随意分享敏感信息等问题,部分企业也缺乏相应的数据安全教育培训。数据安全很重要,但不是所有人都能认识到位,也并不是所有人都能完全遵守。重发展轻安全、重建设轻防护,没有忧患意识、底线意识是非常危险的。
数据是新时代企业的核心资产之一,具有很高的应用价值,而黑客也正是利用了这一点,会借助病毒传播、系统漏洞、木马植入、电子邮件等方式实施非法操作,不但会破坏网络系统,还会窃取海量数据,一旦用于不法目的会造成不可估量的损失。如2015年6月,波兰航空公司地面操作系统遭遇黑客袭击,系统瘫痪5个小时,无法建立新的飞行计划,导致至少10个航班被迫取消,1400多名乘客滞留机场。空管、机场管理系统或航空公司操作系统被黑客攻击会造成更加严重的连锁反应,甚者可能会影响飞机的起降或乘客的安全。
数字化转型带来了大量数据的共享和交换,因民航业运营系统互联互通的特性,旅客出行全流程数据、航班数据、飞行数据等贯穿了航空公司、系统服务商、机场、空管局等民航系统,各系统之间、各部门之间、内部与外部之间的数据流动带来了巨大价值的同时,也带来了极大的安全风险:越权访问、账号滥用、访问敏感数据、数据过量访问与下载、跨境储存与传输等。这些安全隐患无一不给民航业数据安全防护工作带来巨大的挑战。
数字经济时代,数据资产是基础性战略资产,已经成为推动经济发展的关键生产要素,而数据安全是数字经济发展的重要保障。发挥数据的资源作用和创新引领作用,必须完善数据安全治理工作,以安全保发展,以发展促安全。数据安全工作并非仅依赖于生产单一产品或构建平台,而是需要围绕数据使用的全流程来开展安全防护和运营工作。
目前,民航业的数据安全工作还处于建设初期,从发展规律来看,产业发展初期面临制度和标准体系、管理和技术体系、产品和服务体系、人力体系、评价体系、生态体系等不完备的问题,对产业及企业发展形成诸多制约。下文从规则层、执行层和评价层三个方面分析民航业数据安全工作的现状,再结合当前的经济发展和政策要求提出相应的建议措施。
2017年至今,我国相继出台了《网络安全法》《数据安全法》和《个人信息保护法》,编织起了一张数字安全“保护网”,为数字化进程保驾护航。为了贯彻民航“十四五”规划中“以安全为底线,智慧民航为主线”的要求,积极推动行业数字化、智能化、智慧化转型升级,民航局制定了智慧民航数据治理系列规范,包含7部行业标准和1部信息通告,其中2022年初已发布5部行业标准,包括框架与管理机制、数据架构、数据质量、数据安全以及数据服务。
基于数据治理工作的复杂性和体系性,智慧民航数据治理系列规范围绕数据治理的保障基础(管理保障与技术保障)、管控实施(数据架构、数据质量、数据安全、数据共享等)、应用服务、实践经验等多方面展开,为民航上下游企业“怎么管数据、怎么用数据”的问题提供了有效解决方案。对于民航业各单位而言,该系列规范的指导将助力实现数据和业务的统一管理,为推动行业主体间的数据互通和安全共享提供技术保障,有利于实现各单位内部及单位间的数据融合与复用,从而降低运行成本、大幅提高数字化转型效率。
要确保民航业数据安全规范和标准落地,就必须完善规则所需的一切资源、工具及具体行动,主要包括数据安全技术、数据安全产品与服务、数据安全人才培养和数据安全教育等,这是民航业实现数据安全目标的核心。目前民航业相关标准和规范已经相对完善,亟需落地实施。可以从以下几个方面开展相关工作。
1.创新数据安全技术。数字经济浪潮下,数据既要放得开又要管得住,这就需要借助技术手段赋能数据要素化。当前,我国数据安全创新能力不足,一些关键核心技术受制于人的局面依然存在,在一定程度上给数据安全治理带来了挑战。因此,亟需以掌握关键技术为抓手,落地数据安全标准,筑牢数据安全防线。对于民航业来说,数据安全技术创新并不是一朝一夕凭一己之力能够完成的事情,需要政府,民航系统内的科研机构、高校等其他企事业单位,行业组织等的共同参与。结合国家和行业标准,从民航业视角出发加强安全生产信息化建设,创新数据安全技术,积极推广应用安全运行管理新技术、新设备。加快航空运输系统信息平台的升级换代,保障基础信息网络和重要信息系统安全。利用云计算、人工智能、区块链等数字化技术强化数据创建、存储、使用、共享、存档和销毁的数据生命周期技术管控,包括敏感数据识别技术、数据加密技术、数据追踪溯源、数据脱敏技术等,为民航数据安全管理和运营提供坚实的技术支撑。
2.开发数据安全产品与服务。随着数字经济的蓬勃发展,数据资产已经成为国家以及企业的战略资源和核心资产。数据交换、共享与流转已经不限于部门与部门之间,跨业务跨部门跨网络边际的数据流动已经成为常态,民航业的数字安全服务建设已经不能局限于单一企业层面的建设,而是应该着重以行业数字安全基础设施为核心,为行业间数据交换市场提供安全保障。民航系统内的高校、科研院所应联合数据安全企业,开展数据安全技术研发深度交流合作,通过组建安全技术创新联盟、成立联盟实验室等方式,发挥协同创新优势,加快推动数据安全技术和产品的研究与应用,切实为民航业数据安全提供可靠的服务。
3.储备数据安全治理人才。大力推进民航数字安全治理工作,离不开对专业人才的培养。积极推动和鼓励民航业各单位进行数据安全治理人才的培养和选拔,为数据安全监管提供技术支撑。采用数据安全培训和竞赛等方式方法,提升各单位安全技术实践应用水平。民航业数据人才需要不仅熟悉民航相关业务、数字安全的法律法规,而且掌握数据处理技术、具备科学处理数据等能力的复合型人才。这种专业创新人才至少需要具备三个方面的能力:一是掌握民航基础知识、数字安全基础知识,包含对各种理论知识,安全法律法规的了解;二是熟练各种数字技术的应用,包含民航业数字业务场景应用、数据处理技能等;三是懂得数字体系建设和风险评估等。区别于其他安全,数据安全工作不仅仅需要从风险考虑,也需要从大局观考虑,技术手段是辅助,还需要对整个安全体系进行保障设计。
4.加强数据安全教育与培训。数据安全教育与培训是让全体民航人了解保护数据不被破坏、丢失、修改、盗窃或披露的最佳实践。为了让民航从业人员对数据安全有更加清晰完整的全景化认知,数据安全教育与培训应该遵循数据安全建设的客观规律,基于风险视角涵盖数据安全的五大知识域:数据安全基础概念、数据分类分级、数据安全风险评估、数据生命周期安全等。每个知识域中均应包含“概念介绍”“标准解读”“过程方法”“建设实践”“案例介绍”等几种课程类型。围绕数据安全专业能力建设,整合数据安全专业服务实践和项目经验,确保相关民航业务人员能适应工作实际环境,具备处理各种数据安全问题的能力,成为将专业技能转化为组织数据安全保障能力的实践性人才。
数据安全评价是对民航业数据安全成熟度进行评估、验证及考核。民航业数据安全评价体系建设主要包含数据安全奖项、数据安全排名、数据安全认证等,搭配数据安全案例使用,通过认证、审计、测评等方式对民航业的数据安全能力进行持续评估,促进行业持续改进和提升。
数据安全评估指标的选择应建立在数据安全原则的基础上,即:合法正当、权责一致、最小化、全程可控、动态控制和可审计。将数据安全识别三要素数据完整性、数据保密性和数据可用性作为着力点,评估数据遭到未经授权的破坏或披露后所造成的影响,以及民航业各单位继续使用这些数据或无法使用这些数据可能产生的影响。
目前《智慧民航数据治理典型案例实践》正在编制中,待编制完成并发布后,预期能够为民航业数据安全治理工作带来重要实践意义。民航业数据安全相关的规则正在建立,相应的执行和评价标准也亟待新建,待一系列工作完成后,民航业数据安全将会实现“规则—执行—评价—改进”工作闭环。
总之,数据技术是一把双刃剑,促进经济社会发展的同时也会带来诸多风险,必须把握民航发展和数据安全的关系。管好数据、用好数据、治理好数据,是加快推进民航业数据安全工作现代化的重要课题,也是下一步推动民航业高质量发展的重大考验。面对当前以及未来不可避免的安全风险与发展的平衡调整需要,全民航应共同努力,完善数据使用标准和规范,加强数据安全技术、产品与服务建设,形成制度和技术的双驱动,为智慧民航建设工作顺利开展保驾护航。