一般来说,大型活动期间,都是销售开拓关系,管理交流前景,技术竖起耳朵听讲座,不同的角色有自己特定的目的。但笔者并不是只听讲座,注册信息系统审计师并不是纯粹的技术角色。所以就有了本篇,通过峰会这个窗口观察香港网安行业市场的情况。笔者: | 国际注册信息系统审计师(CISA) 软考系统分析师 软件工程硕士 |
在笔者观点,香港作为网安厂商出海的第一站几乎是必然选择。构成必然的因素很多,从一国两制开始可以说几万字。估计试过水的网安厂商老总们都很清楚,自己桌面上的 SWOT 可研报告没十万字都有五万字,所以笔者本文就全部省略。要了解一个市场,充分观察尤其是看细节的能力,是必修课。以下一些细节,懂的人就能读出些东西。
行内读者应该都会联想到刚刚过去不久的网络安全宣传周2024这个重头戏:性质上的区别在于网络安全宣传周是政治性的,本次峰会是商业性的。
本次峰会开幕主礼嘉宾中,身份性质上属于香港特区政府公务员的是香港数字政策专员黄志光先生[1]。黄志光先生所在的数字政策办公室(简称数字办)是峰会的主要支持单位,设于香港创新科技及工业局内,直接向局长汇报。在2024年网络安全宣传周开幕式上,黄志光先生也在广州南沙的主会场发表了演讲。峰会支持单位之一的香港个人资料私隐专员公署(PCPD)[2],个人资料私隐专员钟丽玲女士在峰会上发表了演讲,公署其他人员在现场派发关于《个人资料(私隐)条例》的宣传资料,参加了小组讨论。但公署是独立监察机构,角色上并不完全是来撑场的。峰会的主办方是香港生产力促进局(HKPC)[3]。虽然名字里面有“局”,但别直接和内地画等号。因为香港生产力促进局不是政府部门。从财务预算性质上看,它大约相当于是差额拨款的事业单位,内地各级政府成立的生产力促进中心与之相似。在现场可见 HKPC 的工作人员向参会者推荐参加 ISC2 的网络安全认证职业资格考试及培训,以及介绍中小企业如何申请专项政府资助,这些都是 HKPC 在做的事情。顺带吐个槽,如果 ISC2 的 CPE 能和 ISACA 的互认就好了,笔者马上去考 CISSP。因为现在两边是分开的,持证人要在两边分别维持 CPE 就比较耗时间。
简朴,没有什么花里胡哨的东西。尤其是对于经常参加内地的网络安全论坛的读者,对会场布置的第一反应一定是“就这?”其实笔者一直认为把网络安全向非专业人士可视化就是浪费钱:看的不懂,懂的不看。绝大部分演讲者都用英语进行演讲;小组讨论全过程英语;大会不设同声传译。会场外,甲乙双方老朋友见面除非是外国人,否则绝大部分都是说粤语。
也有个别人说普通话,三两成群,不用问都知道是内地过来参会观摩的。不知道他们能看出点啥来,没见到。免费参会,不包午饭。安排午歇一小时,在中午1点到2点之间,这也是香港人普遍的午歇时间安排。强调不是午休是因为在香港的工作环境,中午是不睡午觉的。上面的小花絮其实只是印证自己持续观察和分析的辅料。要形成有说服力的看法,并不只是这两天的峰会。笔者在上一篇《》的最后,提及到本次峰会,国内网安厂商几乎是一个都没作为赞助商参加。不过,读者可以翻查之前的峰会信息[4],每次峰会都会有个别国内网安厂商报名作为赞助商的。粗略算起来,还基本上就是每次峰会都会有至少一个国内网安厂商的样子。但如果结合到国内不少网安厂商都曾高调宣布要通过进入香港市场实现出海的目标,现在这种实际状况就略显尴尬了。在笔者看来,很显然就是网安厂商没怎么开拓到甲方,没有在这种商业场合和甲方见面的需要,可能加上想想也难通过这种场合发掘到更多的甲方,所以干脆就不花这个钱,连个 General Sponsor 最低级别的赞助商都不做。SWOT 分析不是万能的,关键还是客户的心态,心态决定了动机,动机决定了有无可能达成采购。国内网安厂商已经习惯了基于强制性合规而开展业务,所谓“政策市”。但香港没有太多强制性的网络安全合规要求。目前只有《个人资料(隐私)条例(PDPO)》(CAP.486)[5]。网络安全方面在酝酿立法,但尚未出台,而且基于自由市场小政府的立场,就算立法也不会像等级保护那样强制,更多是会基于市场的要求而倒逼实现合规。
所以,在影响甲方采购的因素之中,合规并不是关键动机,只是基本操守而已。那么还有什么因素?产品功能?技术先进?都不完全是。东亚文化背景之下,香港同样是人情社会,但这是建筑在商业信任关系上的人情社会。所以,国内说要出海的网安公司可以看看自己在香港部署的团队人员......会说广东话吗?两文三语过关吗?熟悉香港本土文化吗?有进入香港本地的商业圈子吗?有国际认可的网安职业技能证书了吗?有参与本地安全圈的各种交际活动吗?会品酒吗?看TVB吗?......香港网安市场不仅没有多少政策市因素,甚至准入门槛也不高。国内做安服的大小厂商,不是在卷公司拿资质,就是在卷人员拿职业资格,甚至连渠道商人员都被卷到要被厂家考核发上岗证,结果最终闹出个大笑话来。为卷而卷了属于是。所以国内的网安企业的内卷,某程度上就是泛滥的企业资质认可、人员职业资格甚至各种细分领域排名等采购商务分项目导致的。而香港市场从事安服业务,可以算是门槛的就是企业有必要获取 ISO 27001 信息安全管理体系认证。也就是安服业务的最佳切入点实际不是单一做安服,而是因为有这个能力而连带做安服。甲方会发现本来我就把IT服务外包了,在原来基础上增加安服,不仅花的钱不会增加多少,供应商管理还简单了。乙方会发现本来我做IT服务就要派人驻场,只要人的能力上去了,给多点工资把安服也做了,不用设置或者少量设置独立的安服人员岗位即可,算下来毛利还高了。基于这种合作关系,等于安服市场的蛋糕大部分已经提前分好了。
笔者所见,某日本摄影工业品牌、某日本文印设备品牌、某美国文印设备品牌都在香港推广自己的安服外包业务,就是因为这些厂商本来就承接了大量的 IT 桌面设备运维外包业务。香港政府本质是“小”政府,即在经济和社会管理中保持较低的干预度。所以长期以来,香港网络安全峰会的性质是民间、市场化的。加上法律法规方面相关的目前仅有《个人资料(隐私)条例(PDPO)》,所以内地网安厂商所擅长的政策市营销套路,在香港市场的效果必然是非常有限。有消息指,香港政府正在酝酿就网络安全立法[6],但从多方报道来看,香港网络安全法的适用范围仅对八个关键类别的关键基础设施和计算机系统的企业,这就比国内网络安全法的适用范围要小得多了。
而且,按香港政府立法的特点,在具体的法律条文中,大概是通过后置式的监管和处罚措施,促使相关企业主动提升网络安全能力而不是强制要求实施某种网络安全管理体系。这与国内因为等级保护标准实际上已经成为强制性标准,从而形成了前置式的监管是不同的。由此可以肯定,香港网络安全的立法不会直接促成产生政策市。而且因为存在争议,立法过程比较缓慢,即使2024年年底能完成立法[7],最快也要到2025年底才会生效,在此之前,依然是市场化的竞争。5、还有一点:寻求本地合作的可能性?
就笔者在现场和参展商人员闲聊的情况来看,很明显,香港本地的网安企业人员对内地网安产业情况缺乏深入了解,但就都知道一个字:
卷。
换位思考一下,基于这种认识的前提,他们会怎么想合作?
[1] 香港数字政策办公室
https://www.digitalpolicy.gov.hk
[2] 香港个人资料私隐专员公署
https://www.pcpd.org.hk
[3] 香港生产力促进局
https://www.hkpc.org
[4] Hong Kong IS Summit 2022 Main Conference
https://www.issummit.org/summit-day-1/index.html[5] 《个人资料(隐私)条例(PDPO)》(CAP.486)
https://www.elegislation.gov.hk/hk/cap486!sc?_lang=sc[6] 2023年10月18日 立法会十七题:提升网络安全
https://www.itib.gov.hk/zh-cn/legislative_council_business/questions/2023/pr_20231018b.html[7] 2024年05月29日 立法会十八题:政府部门和其他公营机构的网络安全
https://www.itib.gov.hk/zh-cn/legislative_council_business/questions/2024/pr_20240529b.html点赞和转发都是免费的↓
还没有评论,来说两句吧...