网络安全经济学的“原罪”：利润私有化、损失社会化

近日，网络安全专家布鲁斯施奈尔在纽约时报撰文指出，后资本主义时代的私营企业不愿花钱网络安全问题是“市场经济”的必然结果，因为企业可以将风险转嫁给纳税人和用户。在美国历史上最严重的黑客事件——SolarWinds供应链攻击事件暴露出的诸多问题中，SolarWinds自身的网络安全防御毫无用处，已经到了令人发指的地步。施奈尔认为，SolarWinds作为一家垄断行业巨头，以其“一己之力”给整个美国社会带来了不可估量的安全灾难，值得深刻反思。施奈尔认为，资本和市场奖励企业的冒险精神，也就是所谓的“利润私有化，亏损社会化”。重视网络安全和隐私保护的企业将在竞争中处于劣势，而不重视网络安全甚至侵犯用户隐私的企业更容易“野蛮生长”，最终给国家网络安全带来系统性风险.以下为施奈尔文章原文，编译如下：2020年初，一个为俄罗斯政府工作的黑客组织入侵了SolarWinds生产的一款广泛使用的网络管理软件（Orion）。这次黑客攻击让攻击者可以访问大约18,000名SolarWinds客户的计算机网络，其中包括美国政府机构，例如国土安全部和国务院、美国核研究实验室、政府承包商、IT公司和非政府机构。这是一次规模空前的袭击，对美国国家安全产生了重大影响。参议院情报委员会定于周二举行听证会，质疑事件的责任。当然，美国政府本身应为其网络防御不足负有强烈责任。但是，将黑客事件仅仅归咎于技术缺陷掩盖了一个导致网络安全问题的根本问题——现代市场经济积极奖励公司快速获得短期利润和积极削减成本，其激励结构几乎可以保证“成功”。“高科技公司必须将不安全的产品和服务推向市场。与所有营利性公司一样，SolarWinds致力于通过最小化成本和最大化利润来提高股东价值。该公司主要由SilverLake和ThomaBravo所有，它本身就是一家以削减成本着称的私募股权公司。成为行业龙头，SolarWinds在网络安全方面的投入自然是“低于行业平均水平”。该公司将大部分软件工程外包给廉价的海外程序员，尽管这通常会增加安全漏洞的风险。2019年，很长一段时间，SolarWinds网管软件的更新服务器密码都是大家熟知的“Solarwinds123”。显然，俄罗斯黑客能够毫不费力地闯入SolarWinds的电子邮件系统，并在那里潜伏了数月。SolarWinds的一名网络安全顾问表示，在他加强网络安全的建议被忽视后，他辞职了。除了省钱之外，SolarWinds没有充分的理由缩减网络安全预算，因为SolarWinds的客户包括世界各地的政府机构，而且其定价过高的技术顾问强烈建议加强安全措施。正如经济学作家马特·斯托勒所说，网络安全是科技公司削减成本的首要选择。因为客户不会注意到这些问题，除非他们遭到黑客攻击（产品和服务安全性差），而且即使客户信息或资产被盗，企业也不会损失太多，因为那些客户已经为产品付款了。换句话说，网络攻击的风险可以转移给客户。从长远来看，这种策略会减少回头客吗？当然，这里存在危险，但投资者过于关注短期收益，因此他们往往愿意承担风险。当这些网络安全（和隐私泄露）风险主要由纳税人等其他方承担时，市场喜欢奖励企业的“冒险精神”。这就是所谓的“利润私有化和亏损社会化”。这包括所谓的“大到不能倒”的公司，这意味着整个社会都会为其糟糕的商业决策付出代价。高科技企业的快速发展危及国家安全，将网络安全风险转嫁给客户。这正是“市场机制”在起作用。（给吃瓜群众）类似的错位激励也会影响你个人的日常上网安全。您的智能手机很容易受到一种称为SIM交换攻击的欺诈，因为电话公司想让您更容易经常购买新手机，并且他们（移动公司）知道在线诈骗的成本主要由以下人员承担用户。收集、使用和出售您的个人数据的数据经纪人和征信机构不会花很多钱来保护您的数据，因为如果有人入侵和窃取它，那是您自己的问题（损失）。社交媒体公司倾向于允许仇恨言论和错误信息在他们的平台上泛滥，因为删除它们的过程既昂贵又复杂，而且平台不会立即付出代价。事实上，无论用户参与的性质如何（例如：谣言、炒作），社交媒体平台都会从中获利。有两个问题需要解决。首先是信息不对称：购买者无法充分判断软件产品或公司行为的安全性。二是错误的激励：市场鼓励企业根据自身利益做出决策，即使这会损害社会更广泛的利益。这两个问题共同导致公司倾向于通过承担更大的（网络安全和合规）风险然后将风险转嫁给该国的每个人来节省资金。迫使公司为客户和用户提供（足够的）安全功能的唯一方法是政府干预。通过法律法规，迫使企业为不安全因素付出真实的代价（编者按：比如每起泄密案件的罚款数额需要与真实损失挂钩，起到必要的威慑作用）。政府通常制定安全（人身和健康）法规，例如污染标准、汽车安全带、无铅汽油、食品安全法规。今天，我们需要在网络安全方面做同样的事情：美国联邦政府应该为软件和软件开发制定最低安全标准。在当今监管不足的市场中，像SolarWinds这样的软件公司很容易通过节省安全支出来节省资金和提高财务业绩。在当今的自由市场世界中，这是一个“理性”的决定，扭转这一局面的唯一方法是从根本上改变（违抗）网络安全的经济激励措施。【本文为专栏作者“安安牛”原创文章，转载请通过安安牛（微信公众号id：gooann-sectv）获得授权】点此查看作者更多好文