云计算业务承载平台
2021.11.23
未来的企业数字化负责人首先要"懂法"
直到周五晚间22点,腾讯公司副总裁、腾讯安全总裁丁珂依然在会议中。作为手机QQ、Qzone、浏览器、应用宝、腾讯安全等多个明星产品的奠基人之一,丁珂加入腾讯已有18年。早期,其曾担任过腾讯九大业务部门的第一负责人。直至2018年930变革后,腾讯开始面向产业互联网发力,丁珂负责的安全业务线作为产业互联网的基础模块,重要性也日益凸显。
时至2021年,不难想象丁珂的忙碌只增不减。
毕竟,今年对整个安全行业和所有处于数字化转型期的政企单位而言都非常特殊——在《数据安全法》、《个人信息保护法》等法律法规的完善之下,整个社会的安全认知被提到一个制高点上。
"早前国内的法律法规还比较模糊,但最近一年的发展非常迅猛。"谈及自身体感,丁珂觉得今年行业内的法律法规进展"像是一个井喷式的时代"。
理所当然,数据安全也是如今丁珂重点关注的方向。不过,与不少企业家因政策导向而生出的惊觉不同,作为国内安全行业的先行者之一,丁珂此时对数据安全的关注,更出于对各行业数字化进展的观察。
"早些年提信息化、智能化,安全在之前阶段中的边界性和补充性比较强。但到数字化阶段,每年企业掌握的数据量至少以翻番的速度往上走。这时安全和数据结合在一起,完全是另外一个维度的事情。"丁珂认为,此时是一个安全和数据紧密结合,产生裂变的时间点。
而从数据安全联系到腾讯安全对外提供服务的特点,他觉得以腾讯为代表的互联网安全品牌在数据安全方面具备天然理解力。
这是因为,互联网公司天然认为数据量是巨大的,不存在从信息化向数字化转型的过程。再加上互联网公司的产品迭代速度飞快,需要时刻跟随监管方向进行调整,所以这类企业对数据安全重要性的认知一直存在。
当前,业内也有一些大型互联网公司拥有自己的安全品牌。在路径上,这类安全品牌大多脱胎于企业内部的安全/运维部门,早期以安全能力自建为主,后期随着业务需求而扩展成为具备人力、财力和技术能力的部门,再对外提供产品和服务。
腾讯安全也是如此,其发展可分为三个阶段:
2006年-2015年,其从自身业务需求出发,延伸出专注个人安全的产品,比如电脑管家和手机管家。
2015年-2018年,基于安全威胁逐渐从个人演变为团体和黑灰产的变化,腾讯逐步探索面向ToB提供安全技术能力,同时提出安全的生态理念。
2018年腾讯"930"变革之后,其旗下安全业务进行全面整合。自此,To B和To C业务成为腾讯安全的两条线。
虽然在路径上,互联网背景的安全品牌存在一定相似处,但在丁珂眼中,腾讯安全和其他友商间最大的差别即藏在其内在使命——“一起捍卫美好”中。
拆解其中含义,"捍卫"指的是腾讯从2004年建立安全运维组开始,在护航自身业务发展中不断积累的安全服务能力、安全技术沉淀和安全人才储备——这也是不少互联网安全品牌的共性。
而"一起",则是丁珂觉得腾讯安全与所有同行之间最大的差异。"'一起'的范畴包括客户以及行业生态。"他说。
在具体表现上,其表示腾讯安全更多基于自身优势,专注于云安全建设。而传统的安全厂商,往往会采取“孤军”方式,为客户提供边界型安全产品。因此,腾讯安全不会与之产生竞争,也在一开始就采取了差异化,做增量的思路,具备和传统厂商“一起做安全”的基础。另外从安全产业发展角度,丁珂也表示,当前很多数字化项目的规模越来越大,厂商们必须采取混合编队的形式取长补短。
这一风格源自对客户需求的了解。丁珂介绍,腾讯安全希望为客户提供整体性的产品方案,而非以零散的产品提供服务,避免给客户整体的安全管理带来困扰。
最后,"美好"是腾讯安全的愿景——通过数字化实现更美好的未来。坦白而言,这一名词听似空泛,但在丁珂的解释中,"美好"其实是安全的功能性意义所在。
如果站在业务属性拆解,安全既是手段也是目的——它首先是保护企业各类资产的方式,同时也是企业业务稳定发展过程中需要达成的效果。如今,当数字化转型在不少行业中产生正向效果,安全与数字化的结合就是在"捍卫美好"。"这个使命也是倒推的。我们认同数字化会给大家带来很多益处,认同未来的大格局是非常好的。"丁珂表示。
"整体来说,数字化可以带来收益。做好数字化安全就是长期收益,简单来讲就是这样。"这是他认为,安全与数字化结合带来的现实意义。
以下是采访部分(经36氪不改变原意的编辑):
数据安全是未来趋势,安全正处于裂变的时间点
36氪:今年与安全相关的法律法规完善速度很快。在你看来,2021年对行业来说算一个特殊的时间点吗?
丁珂:坦率讲这么多年,国内和国外在这个领域里差距很大。在国际市场里,安全产品现在一年大概有1250亿美金的规模。对比国内,去年行业规模在600亿人民币左右,比小龙虾的年销售额稍微高一点儿。而行业里最头部的公司市值在700、800亿元,一年的销售额50亿左右,这是一个大的背景差距。
造成差距的原因和主要和之前的国情有关。
安全是一把手工程,国外的法律特别健全。打个比方,国外企业如果没有做安全投入的话,就像去开餐馆没有食品安全经营许可一样。国内之前在这方面比较模糊,但最近一年的发展非常迅猛,形成一种很强烈的反差,进入了一个井喷式的时代。
36氪:尤其《数据安全法》颁布和实施之后,这种情况特别明显。
丁珂:从早年提信息化、智能化,安全在之前的阶段边界性和补充性比较强。但到现在的数字化阶段,每年大家的数据量至少以翻番的速度往上走,这时安全和数据结合在一起,完全是另外一个维度的事情。我带过那么多团队,当下确实能感觉到现在是一个裂变的时间点。一个安全和数据结合裂变的时间点。
36氪:能看到安全厂商们也都在数据安全上发力。同样也比较好奇,腾讯安全在数据安全上具备哪些差异化能力?
丁珂:这也是很多大客户非常看重的话题。对我们来说,大概做了以下几个方面的工作。第一是数据的识别和界定,这个特别重要。因为随着客户数据的不断生成,一个特别大的问题是大客户可能根本不知道这些数据在哪儿,也不知道哪些是敏感的。所以我们的第一部分工作是帮客户识别这些数据。
第二部分,在数据的流转上,一些关键信息流的操作需要特殊的流程。之前我们没发现大家普遍在这个方面有困惑,所以后面我们帮客户抽象了一下。
具体来说,这个流程需要三样东西呼应。
首先,企业需要把和内部员工相关的身份部分界定出来,就是身份认证体系。第二,需要把企业在生产、销售方面的数据定义出来。第三,在数据流转过程中产生的所有敏感操作都应该是可审计的,可被及时关注的。也就是说,在数据未来的发展上,我们需要保证它在存储、流转和使用整个动态过程中的安全性。
能做这件事也是由于我们自身的经验比较充足。现在各种法律法规更加完善,我们所有的产品都在根据相关规定去做前沿性的调整,互联网企业需要不停地去做这件事。
36氪:谈到这个,在你看来互联网安全品牌和其他安全厂商相比的差异化是什么?
丁珂:最主要还是用户基因和客户基因的差别。因为从安全的角度来看,互联网的数据是用户的,但其他厂商做产品一般会分内网和外网,也就是边界思路。如果是互联网背景,大家基本没有这种概念,天然就觉得整个数据量是巨大的,不觉得还有什么信息化、数字化的过程。
在这种基础上,一般互联网的安全产品都和云原生强相关,以无边界的解决方案为主,而非以区分内外网为主,具备高效连接的特点。另外,互联网出身的CSO也特别注重用户思维,比如会去关注怎样识别身份等等。
36氪:这是产品路线上的不同,在对外提供服务的思路上,我们会有哪些差别?
丁珂:首先腾讯安全自己在技术栈的跨度上非常强,我们在给客户提供解决方案之前,内部要自己先“吃狗粮”,就是说各种方案要先在自己的系统上经过充分的实践和验证,再推到行业里。
像零信任,在疫情期的远程办公场景下,我们差不多有一个星期的时间在用传统的VPN,但这种方式在当时产生了两大痛点:首先,VPN很重。当90%的员工都接入VPN的时候,其实会带来很大的效率压力。如果真的是运维人员和运营人员7×24小时都在线的话,经常会不稳定。另外,用VPN,内部系统在判断接入的颗粒度上不够精准。而零信任就是在解决这类问题最好的技术路径,所以我们自己就快速采用了这个系统。
当腾讯自己吃完这个“狗粮”之后,发现行业普遍碰到了这个问题,自然会选择把我们内部的最佳实践分享到行业里,就是这个过程。
行业客户的安全意识仍存在差异,未来的企业决策层首先要"懂法"
36氪:刚刚从对外服务的角度谈了我们如今关注的方向。那么从客户角度,你觉得法律法规逐渐完善,对他们产生了怎样的影响?
丁珂:之前行业的发展很不均衡,安全做的不错的客户主要在大头部行业里。不过最近我参与了一些活动,也能看到一些有意思的变化。比如不少CIO现在都在关注自己企业的数据到底应该怎样成长、发展,最后也会到安全的建设。
36氪:不过有个老生常谈的话题,身处不同行业和阶段的客户,对安全的关注程度和速度应该不太一样。
丁珂:是的,现在大家还有些认识程度的差异。比如有些企业还没意识到,不少技术、产品的使用方式之前是处在模糊地带的,现在再这么用就是违法的。
尤其在这一瞬间,我觉得大家的反差特别强。
互联网公司的产品迭代速度很快,响应法律法规的执行力和效率也会相对更高。但当互联网公司一直跑在前面的时候,很多行业还没完全意识到,现在变化的速度有多快。在今年这个时点,虽然法律法规还有些模糊地带,互联网公司实际是起到了榜样的作用,不但积极配合法律法规实施,也在通过实践为法律法规的优化完善提供建议。但在不少行业里,除了被罚过大罚单,和被长期监管的企业,以及一些持续重视安全的头部企业之外,其他企业对于数据安全的感受度还不是很高。
36氪:这也让不少企业内的安全负责人困扰,你觉得改变这种情况的契机现在出现了吗?
丁珂:现在法律法规都完善到这个程度了,我觉得CSO要和老板讲,做生意,最重要的就是要合法。
这个问题特别好。我有时候想,这个是我们的问题,还是行业的问题?可能是腾讯在安全意识和安全建设上是超前的。因为我们是和政策、和监管共同成长的。基于法律不断完善的监管制度,一定是代表未来的,所有的市场主体都要积极配合法律法规,一起探索看业务的尺度拉到这儿合不合适。
再之后,我觉得企业的CSO首先要懂法,在这个基础上去和老板谈。如果CSO和企业一把手讨论的问题,不是企业长期可持续发展的方向,那为什么要追随这个老板呢?当然在路径里聊一聊可以,如果长期聊,可能根源就错了。
我自己做安全,也是逆向思维。就是反过来,以终为始地看未来两年、三年应该是怎么样的。我相信未来一定是这样的,如果不能做到守法合规,有些企业自然会消亡,有些行业做着做着也就没有了。
像腾讯安全内部的使命特别简单,就是“一起捍卫美好”。这个使命也是倒推的,就是我们认同数字化会给大家带来很多益处,认同未来的大格局是非常好的。安全负责人、CSO也要在有前途的行业里面,前瞻性地和客户长期共赢、共同发展。
36氪:这是一个长期的意识问题。
丁珂:其实现在已经出现,做信息化、技术化的技术人员一路做到企业决策层的例子。我不觉得安全负责人在狭义层面会怎么样,但将来在数字化的过程中,会有一批在可持续成长上有眼光、懂安全的人才出现。
因为,未来企业的决策层肯定不能连法律都不懂,不能出现做营销被客户随便举报,最后他和他的董事长或者法人一起承担法律责任的情况。大家懂得业务的合规性,在将来必然是一个大趋势,只不过在今天聊的瞬间,很多人还没意识到这个问题。
总结看,未来一到两年之内,凡是做数字化的人都应该懂法律。因为凡是在数字化方面搭技术产品架构的话,安全一定是融合性的。未来,一定是懂法律、懂安全,对数据负责的人会进入最核心的决策层。
定位腾讯安全:首先是责任,然后与生态一起成长
36氪:刚提到腾讯安全的使命,"一起捍卫美好"具体怎么理解?首先什么是"一起捍卫"?
丁珂:首先,为什么要用"捍卫"这个特别钢铁直男的词,因为我们相信自己的能力很强,也知道自己在做什么事情。但是,这些一定是围绕"美好"这个目标做的,而不是撇开了"美好"去秀肌肉。
也有好多人说,腾讯做安全跟其他所有人的最大差别是什么?最大的差别是“一起”。我们和客户是一起的,和生态是一起的。我们几乎从一开始就是把产品技术栈、安全理念打开来做安全这件事。
36氪:我们谈的这个“一起”,包括了多少角色?
丁珂:客户和行业生态。像很多传统安全厂商,我们第一天做产品的时候,几乎从不做和它们竞争的产品,比如传统防火墙,腾讯从来没有做过,我们做的都是云原生的。再比如零信任,我们重在接入,在终端方面特别强。但在这个过程中,我们也会用其他厂商的云桌面等产品。从客户角度看,这整体是一个零信任方案,但里面有一部分会是我们的强项,也会有其他厂商的产品,这就是合作。
我觉得头部公司,在服务客户过程中最主要的职责就是发现和创造环境、给出空间。腾讯安全在这个阶段的主要职责就是在生态建设上,优先去做技术的衔接,帮客户把技术成熟周期、使用门槛降低,主要是做这些职责。
36氪:这样做的出发点是什么?
丁珂:像我这个角色看行业、看传统的安全厂商、看客户、看生态,越来越强烈地感觉到应该帮大家把场景打通,把产品技术栈打通,把整个交付周期缩短。其实安全在客户侧的落地和交付方面特别难,而很多厂商都提供自己的产品,这些产品往往只解决一个痛点,这让客户很难受。
但作为腾讯这样的公司,现在有很大空间帮客户把这些产品合在一起。比如,当那么多设备在一起,碰到了真正的动态攻击时,客户的资产盘点怎么做?这些路径你能不能发现?一旦发现之后,策略的下发,以及一大堆各种产品的联动是什么?这些都需要动态地以人为本地去处理。我们需要站在客户的角度,帮助大家解决这样的问题。
36氪:最后谈到目标,每个人对"美好"的拆解也不一样。这该怎么理解?
丁珂:在这个行业里,很多顶级黑客和大老板的组合最后都不欢而散。之前互联网公司有很多流派,也有一些公司把安全拿来当核武器,可最后没做起来,回过头看都是价值观有差异。
36氪:价值观是很底层的差别,拆分在行为上会有哪些表现?
丁珂:直接表现就是用户受到骚扰,生态不认同,因为企业用了极强的能力去对抗大家。比如手机厂商有自己的权限,但或许有企业为了拿用户的关键数据,跟手机厂家的操作系统不停地(对抗)。但是对抗的目的和意义在哪里?一定是要为了美好而对抗,而不是为了钱去对抗。
我很难把美好再怎么去分解,但一定不是钱,不是短期利益,不是为了证明你比谁更强。反而,我们一定要关注行业和客户的想法,因为能力越大,越不能把安全的技术用在不恰当的地方。这个行业里太多的顶级人才,1/3在监管部门,1/3在行业,1/3真的是在黑产。
我在做客户、看行业的时候,基本不会去求别人做安全。我都在做逆向筛选哪些企业,能够意识到安全这件事情对未来的成长非常重要。反正腾讯自身是很清楚,安全从来都是生命线,从来以构建美好为目标去做。
腾讯有非常强的技术能力,但我们一定要知道自己在做些什么,在怎样做。当我们不知道怎样用这个能力之前,一定是克制的。比如腾讯会发现一大堆漏洞,但我们不会莫名其妙去讲这些。腾讯发布这些内容,一定是控制到一定范围内才去发布。
36氪:价值观的差异会导致业务形式的不同。整体来看,对腾讯而言安全的定位是什么?
丁珂:其实我骨子里面还是一个技术人员,我觉得技术是有正向建设性的,因为破坏性的威力是可以让一个企业被一票否决的。
腾讯安全在腾讯内部一定没有游戏业务能做营收,但如果我们出了问题,破坏能力绝对比很多业务要大。基于这一点,腾讯安全在未来长期发展上一定坚守“定海神针”的原则。先别说腾讯将来到底能有多少市值,但我们做的事对腾讯将来的基业长青非常重要。你看周围出现过多少(因为做不好安全)接近一票否决的企业?但我很庆幸腾讯没出现过这些事。
总结来看,腾讯现在对安全的定义,首先是责任,再就是利他性。企业也可以不要安全,让业务去成长,但这注定不能持续。
36氪:长远来看,腾讯安全在理想中需要长成什么样子?是刚才说的“一起捍卫美好”吗?
丁珂:这是我们的使命,剩下的我们也在慢慢讨论。
为什么讲“一起捍卫美好”?其实和生意没有任何关系。首先,我自己很相信未来数字化的潜力,也看到了腾讯在帮各行各业做提升数字化能力的助手。我觉得可能未来的希望就在这种带有数字技术含量的经济模式上,因为劳动密集型的模式很显然有瓶颈,大家已经或多或少意识到,更有数字化含量的经济模式是非常重要的。
谈到数字化,其实各行各业的数字化就是在加大技术含量、提升效率,从中发现新的机会。我们相信数字化的未来是美好的,尤其疫情阶段的反差也让我们看到了,不是没有机会。以前大家觉得不可逾越的邻国友邦的数字化水平,现在也有机会去超越,这个就是美好的。
整体来说,数字化是可以带来收益的,做好数字化安全就是长期收益,简单来讲就是这样。安全的未来,一定是和数据结合得越强,越代表未来。