【Biz Hankook】随着SK Telecom017670信息泄露事件以及近期多家企业接连遭受黑客攻击,韩国整体产业的安全脆弱性问题显露无遗。仅今年以来,GS Retail007070、JobKorea、SK Telecom、CJ OliveNetworks等企业就相继发生了大规模个人信息泄露事故。从云端、终端、勒索软件到SK Telecom的HSS(家庭用户服务器)被黑,攻击方式不断演变,企业所面临的风险要素也愈发多样化。
对于处理海量个人信息、敏感数据以及与国家基础设施直接相关信息的企业,要求其承担更高水平的责任。这是因为这些企业安全体系中出现的漏洞,可能演变为整个社会的风险。本文通过对电信三巨头以及NAVER032640、Kakao、网络三巨头等主要ICT(信息通信技术)企业的信息保护义务披露资料进行分析,深入审视了其信息安全投资现状与应对战略。

黑客风险“常在”……ICT行业在信息保护上投入多少?
随着信息泄露事故频发,民间的网络安全应对能力备受质疑,而数据显示,韩国企业在整体IT投资中仅拨出约6%用于信息保护。在实施信息保护义务披露的3年间,企业IT投资中的信息保护投资占比平均维持在6.1%左右。对8家主要ICT企业向韩国互联网振兴院披露的信息保护现状资料分析结果显示,NHN Cloud(7.1%)、LG Uplus032640(6.6%)和KT030200(6.4%)的信息保护投资占比高于韩国国内平均水平。随后依次为:△Naver Cloud(5.7%)、△KT Cloud(5.2%)、△SK Telecom(4.1%,SK Broadband为4.6%)、△Kakao(3.9%)、△NAVER(3.7%)。
该指标反映了企业将安全置于何种优先级。随着数字基础设施规模扩大,安全脆弱点也会随之增加,此时安全投资必须与IT系统的规模及复杂度成正比,才能有效管控风险。从平均值来看,这仅为美国的一半水平。据美国网络安全咨询机构IANS Research去年的报告显示,美国企业的信息保护投资占比平均为13.2%,且自2020年的8.6%以来持续增长。

根据去年的披露信息,以2023年为准,除云服务商外,其余目标企业的营收占比信息保护投资均仅在0%区间。云服务三巨头的情况为:△NHN Cloud 4.50%、△Naver Cloud 2.48%、△KT Cloud 1.64%。SK Telecom、KT、LG Uplus等电信三巨头占比为0.44~0.49%,NAVER和Kakao分别为0.43%和0.34%。SK Telecom的投资额反映了剥离有线业务运营的SK Broadband的投资额。
电信公司与两大IT巨头的信息保护投资占比,即使与营业利润相比也均未超过10%。从行业来看,电信行业中营业利润占比信息保护投资分别为:△SK Telecom 8.69%、△KT 7.38%、△LG Uplus 3.60%。Kakao虽然在信息保护投资总规模上仅为NAVER的61%水平,但其营业利润占比信息保护投资为5.11%,高于NAVER。

云服务三巨头被发现保持着较高的营业利润占比信息保护投资比例。以2023年为准,Naver Cloud投入到信息保护领域的资金是其营业利润的3倍以上。NHN尽管出现了284亿韩元的亏损,仍投入了63亿韩元;而实现442亿韩元盈利的KT Cloud(25.19%)在同年投入了111亿3300万韩元用于信息保护。由于云服务存储和处理大量客户数据,一旦发生数据泄露或服务中断等安全事故,可能会造成巨大损失,因此需要积极投资以构建信息保护体系并确保专业人才。这既有初期基础设施建设需要大量投资的因素,也受到相较于其他企业营业利润规模较小的影响。
亡羊补牢的企业,“安逸态度”何时休
“一直以为这只是IT部门负责的领域。”
“现在看来,不应该将其视为安全问题,而应该将其视为国防问题。”
SK集团会长崔泰源在7日于首尔中区乙支路办公大楼发表对国民道歉后,在随后的问答环节中这样说道。这是针对有关个人心境提问的回答。崔会长承诺:“至今为止,我一直认为安全只是信息通信部门的领域,只依赖于专门团队。通过此次事件,我深切体会到安全对于整个集团的重要性,今后将增加投资。”会长这种直到现在才意识到安全重要性的态度,与忙于处理泄露事件的公司内部以及国民情绪之间,显然存在一定的隔阂。

在这次大规模信息泄露事件中,SK Telecom因在电信三巨头中信息保护投资最少而备受批评。去年SK Telecom披露的投资执行规模在电信三巨头中排名垫底(600亿韩元)。甚至不及LG Uplus执行的632亿韩元;即便加上负责剥离有线业务的SK Broadband(267亿韩元),总计867亿韩元也低于同时经营有线和无线业务的KT(1217亿韩元)。
SK Telecom计划在集团层面全面加强网络安全体系。为了提升集团的信息保护体系,将新设“信息保护创新特别委员会”,并将其安置在集团最高决策协商机构——SUPEX追求协议会下属的第九个委员会。为提高独立性和专业性,将邀请学界和产业界的外部专家参与。
KT和LG Uplus在安全防线被攻破的黑客事件发生后,也曾推进过扩大信息保护投资等整顿措施。专家指出,有必要合理判断安全风险对业务的影响。作为外部专家参与委员会的高丽大学信息保护研究生院教授权宪英(音译)指出:“韩国法院承认的损害赔偿额非常低,而且损害举证责任也由受害者承担。企业对信息保护投资疏忽,是因为没有承担具体且明确的责任。”他强调:“既然在泄露事件后提出了加强投资等后续措施计划,就必须促使其转化为实质性的改善。”
IAAE国际人工智能伦理协会理事长全昌培(音译)强调:“安全是一分耕耘一分收获。我认为目前的数值绝对不足。包括电信三巨头在内的大多数目标企业都是正在谈论向AI转型的企业。对于未来将成为重大问题的AI安全,是否进行了妥当的投资,仍然令人存疑。需要进行预先考量。”