安全行业为啥一直这么苦逼?
在RSA峰会期间宣布离职的一位首席安全官,也就是业界熟悉的谭校长,在回顾其参加RSA的感想文章中表示:“过去几年,我一直说安全行业是个挺苦逼的行业,需要多年辛勤耕耘,创业维艰!”
对于看似热闹的安全行业,除了少数顶尖高手,大部分的确过得比较苦逼。产业扶持政策、相关法律到位,为何发展还不理想?
盘子太小,没钱发奖金
先看看市场规模。
赛迪顾问2019年发布的《2019中国网络安全发展白皮书》称,2018年,中国网络安全市场整体规模达到495.2亿元。中国信息通信研究院2018年发布的《中国网络安全产业白皮书(2018)》预测,2018年中国网络安全产业规模将达到545.49亿元。
这还是在各种利好因素推动下:网络安全政策法规持续完善优化、网络安全市场规范性逐步提升,政企客户在网络安全产品和服务上的投入稳步增长。
虽然国内某市场机构的数字和排名一直因“可操作”而被业界诟病,但在行业规模的测算上,相信应该会秉承严肃认真的态度,毕竟不必考虑商业利益。那就是2018年的网络安全市场规模在500亿上下。
这500亿的盘子当然根本无法跟庞大的互联网行业相比。与作为基础设施的云计算行业相比,也属于小弟规模。根据2017年4月,工信部发布《云计算发展三年行动计划(2017-2019)》,2019年我国云计算产业规模达到4300亿元。
因此,相比动辄几十个月奖金的土豪互联网公司,网络安全企业多数口袋不鼓,发不了令人羡慕的奖金(上市网络安全公司中,规模较大的深信服和启明星辰的2017年利润,分别仅为6.37亿和3.58亿)。安全从业者只能羡慕再羡慕了。
价值不被认可 沦为价格竞争
相比IT行业来说,网络安全(IT安全、信息安全,或者叫最时髦的网络空间安全)的很多做法相对落后。
比如国内某安全公司的安全顾问,在微博上就有牢骚:有时遇到一些客户,上来就说:你给我写一个10年的网络安全规划……不是我不想弄,但这个行业5年规划都嫌多呀!……写方案应该收费,每一个字、每一秒钟,都应该有价值,否则就是浪费。
就像那个顾问说的,“现在空调维修,上门看一眼,修不修都要收50块。”安全咨询顾问自费上门,还要回家想方案。最后能不能选上还另说。地位还不如空调维修师?
在IT行业,咨询规划是一项重要的服务内容。花几千万请咨询公司出套方案的甲方大有人在,至于后面设备采购,那是另外的单子。
在甲方眼里,安全咨询规划,这本应该单独收费(甚至不低于设备采购)的服务项目,成为采购安全设备的附赠品。
现在的安全采购,沦为各安全厂商竞相降价大比拼的恶性竞争。
当然,安全厂商也不是傻子,这种自杀式的降价竞争,无非还是希望实现客户锁定,毕竟客户不能每年换一个供应商。一切都在以后找补回来吧。
为啥做安全的这么苦逼?
为啥做安全的这么苦逼,安全行业发展不起来呢?或者换句有逼格的话,制约网络安全产业关键因素有哪些?
针对网络安全产业发展,奔走呼吁的人士挺多。2013年,26位院士联名起草了一封关于国家网络安全和自主创新的建议信,得到最高领导人的批示。
网络安全事关国家安全,领导人批示也有了,为啥安全产业依然发展不起来,需要频繁的上书要批示呢?
在全国人大的网站,无意看到某科协领导给国家领导人的报告,认为制约网络安全产业发展的因素主要包括:
1.对核心技术掌握能力不足
2.法律和标准相对滞后。
3.对新技术、新应用的安全防护面临重大挑战。
笔者疑惑的是,这个核心技术掌握不足跟网络安全产业,究竟是鸡生蛋,还是蛋生鸡?另外,法律的制定一定能促进产业,也令人存疑。
中国家电产业走过了从小到大从弱到强的历程。我国是先掌握了家电核心技术,才发展起来家电行业,还是发展起来家电行业,才逐步掌握了核心技术?我国的信息产业也是,先掌握了(专家院士呼吁的)核高基技术,才发展起来信息产业,还是反过来?
感觉很多要政策的所谓上书,无非就是“要钱”。真是因为钱的问题吗?
要了解制约网络安全产业发展的根本因素,其实简单做个比较就可以。
美国万豪酒店发生上亿规模数据泄露,遭到客户的集体诉讼,预计损失或达125亿美元。当然主管机构的罚款还要另外计算。人家这处罚起来,感觉有些类似处罚外资的感觉。
我们同样看一个国内泄露上亿用户数据的严重安全事件。2018年8月,华住酒店被曝出1.3亿客户信息被泄露事件。该公司随即发布声明,认为数据是否来自华住待核实。
在案件告破之后,甚至连一句道歉的声明都不屑于发出。相关部门所谓对于酒店的严重处罚,对酒店责任人的处罚都不见踪影。向酒店客户进行赔偿更是无从谈起。
在我国《刑法》中对网络服务提供者不履行法律行政法规规定的信息网络安全义务也有其明确的规定:经监管部门责令采取改正措施而拒不改正的,有下列情形之一的,处三年以下有期徒刑拘役或者管制并处或者单处罚。
在《网络安全法》已实施之后,其对于涉事企业的威慑力存在于执法机构的手中。但目前看主管部门对于企业的爱护之情表露得相当明显。
华住2018年净营收100.6亿元,如果按照欧盟GDPR的处罚标准,营收额的4%,华住需要为这类数据泄露支付4亿以上的罚款,而如果相关机构支持用户对于酒店的诉讼索赔,也将是个数亿元的量级。2018年华住17.132亿的净利润中,相信将会有一半被作为赔偿金使用。
一旦发生数据泄露,企业就需要赔偿几个亿。相比起来,企业每年花几千万,进行信息安全建设,就是比较划算的买卖。
因此,只有在“有关部门”把信息泄露的处罚真正落实起来,安全行业的苦逼状况才能改变,用户的权益也才能得到保护。总不能去依靠外部势力,不过这也不能完全排除。近期,抖音国际版就因收集儿童数据被处罚570万美元。
到那个时候,“华住”们对于安全投入大幅增加,安全公司咨询顾问,忙得应付上门排队求助的甲方,哪有功夫搭理连“50块上门费”都不愿意出的机构?所谓低于成本的恶性竞争就更是不会出现。网上发牢骚也只能说说如何赚钱太忙。
不过,那都是美好的前景。作为安全人,还是先来分享一下你的苦逼经历?
文章来源:首席安全官