《電子技術(shù)應(yīng)用》
您所在的位置:首頁 > 通信與網(wǎng)絡(luò) > 業(yè)界動(dòng)態(tài) > 網(wǎng)絡(luò)安全的經(jīng)濟(jì)學(xué)“原罪”:利潤(rùn)私有化,虧損社會(huì)化

網(wǎng)絡(luò)安全的經(jīng)濟(jì)學(xué)“原罪”:利潤(rùn)私有化,,虧損社會(huì)化

2021-03-03
來源:安全牛

  科技和行業(yè)壟斷巨頭們?yōu)槭裁锤矣诖笏谅訆Z個(gè)人隱私數(shù)據(jù),,同時(shí)又不斷擠壓網(wǎng)絡(luò)安全預(yù)算,無視由此給個(gè)人,、社會(huì)和國(guó)家造成的巨大安全風(fēng)險(xiǎn),?例如,,為什么手機(jī)運(yùn)營(yíng)商明知道SIM卡交換攻擊的可怕,,卻并不愿采取(更高成本的)緩解措施,?為什么如此多的美國(guó)互聯(lián)網(wǎng)企業(yè)在隱私保護(hù)方面總是不見棺材不落淚,?

  近日,網(wǎng)絡(luò)安全大咖施奈爾(Bruce Schneier)在紐約時(shí)報(bào)撰文指出,后資本主義時(shí)代私營(yíng)企業(yè)們之所以不愿意在網(wǎng)絡(luò)安全上花錢,,是“市場(chǎng)經(jīng)濟(jì)”的必然結(jié)果,,因?yàn)槠髽I(yè)可以把風(fēng)險(xiǎn)轉(zhuǎn)嫁給納稅人和用戶。

  美國(guó)歷史上最嚴(yán)重的黑客事件——SolarWinds供應(yīng)鏈攻擊暴露出的諸多問題中,,SolarWinds自身的網(wǎng)絡(luò)安全防御形同虛設(shè),,已經(jīng)到了令人發(fā)指的地步。施奈爾認(rèn)為SolarWinds作為一家壟斷性的行業(yè)巨頭,,以“一己之力”給美國(guó)全社會(huì)帶來不可估量的安全災(zāi)難,,值得深刻反思。

  施奈爾認(rèn)為,,資本和市場(chǎng)獎(jiǎng)勵(lì)公司的這種冒險(xiǎn)精神,,也就是所謂的“利潤(rùn)私有化,虧損社會(huì)化”,。重視網(wǎng)絡(luò)安全和隱私保護(hù)的企業(yè)會(huì)在競(jìng)爭(zhēng)中處于不利地位,,而不重視網(wǎng)絡(luò)安全甚至侵犯用戶隱私的企業(yè),更有可能“野蠻生長(zhǎng)”,,并最終給國(guó)家網(wǎng)絡(luò)安全帶來系統(tǒng)性風(fēng)險(xiǎn),。

  以下是施奈爾文章原文,編譯如下:

  2020年初,,為俄羅斯政府工作的黑客組織入侵SolarWinds公司生產(chǎn)的一款廣泛使用的網(wǎng)絡(luò)管理軟件(Orion),。這次黑客攻擊使攻擊者可以訪問SolarWinds大約18,000個(gè)客戶的計(jì)算機(jī)網(wǎng)絡(luò),其中包括美國(guó)政府機(jī)構(gòu),,如國(guó)土安全部和國(guó)務(wù)院,、美國(guó)核研究實(shí)驗(yàn)室、政府承包商,、IT公司和非政府機(jī)構(gòu),。

  這是一次規(guī)模空前的襲擊,,對(duì)美國(guó)國(guó)家安全產(chǎn)生重大影響,。參議院情報(bào)委員會(huì)定于本周二舉行聽證會(huì),對(duì)事件進(jìn)行問責(zé)質(zhì)詢,。

  當(dāng)然,,美國(guó)政府自身因網(wǎng)絡(luò)防御能力不足應(yīng)受到強(qiáng)烈譴責(zé)。但是,,如果僅將黑客事件歸咎為技術(shù)缺陷將掩蓋一個(gè)導(dǎo)致網(wǎng)絡(luò)安全困局的根本性問題——現(xiàn)代市場(chǎng)經(jīng)濟(jì)積極地獎(jiǎng)勵(lì)公司快速攫取短期利潤(rùn)并積極削減成本,,其激勵(lì)結(jié)構(gòu)幾乎可以確保“成功的”高科技公司推向市場(chǎng)的一定是不安全的產(chǎn)品和服務(wù),。

  像所有營(yíng)利性公司一樣,,SolarWinds致力于通過最小化成本和最大化利潤(rùn)來提高股東價(jià)值,。該公司主要由Silver Lake和Thoma Bravo擁有,Thoma Bravo本身就是因削減成本而聞名的私募股權(quán)公司,。

  能夠成為行業(yè)領(lǐng)頭羊,,SolarWinds在網(wǎng)絡(luò)安全上的投入自然是“低于行業(yè)平均水平”。該公司將其大部分軟件工程外包給了便宜的海外程序員,,盡管這通常會(huì)增加安全漏洞的風(fēng)險(xiǎn),。在2019年,在很長(zhǎng)一段時(shí)間中,,SolarWinds網(wǎng)絡(luò)管理軟件的更新服務(wù)器密碼是婦孺皆知的“Solarwinds123”,。顯然,俄羅斯黑客不費(fèi)吹灰之力就能入侵SolarWinds的電子郵件系統(tǒng),,并在那里潛伏了數(shù)月之久,。

  SolarWinds公司的網(wǎng)絡(luò)安全顧問表示,在他提出加強(qiáng)網(wǎng)絡(luò)安全的建議被忽略之后,,他辭職了,。

  除了省錢以外,沒有其他充分理由可以解釋為什么SolarWinds要在網(wǎng)絡(luò)安全上克扣預(yù)算,,要知道SolarWinds的客戶包括世界各地的政府機(jī)構(gòu),,而花高價(jià)請(qǐng)來的技術(shù)顧問也強(qiáng)烈建議加強(qiáng)安全措施。

  正如經(jīng)濟(jì)學(xué)作家馬特·斯托勒(Matt Stoller)的論斷,,網(wǎng)絡(luò)安全對(duì)于技術(shù)公司來說是削減成本的首選項(xiàng),。因?yàn)槌强蛻舯缓诳腿肭郑駝t客戶不會(huì)注意到這些問題(產(chǎn)品和服務(wù)的安全很差勁),,而即使客戶信息或資產(chǎn)被盜,,企業(yè)也沒有太大損失,因?yàn)檫@些客戶已經(jīng)為產(chǎn)品支付過費(fèi)用,。換句話說,,網(wǎng)絡(luò)攻擊的風(fēng)險(xiǎn)可以轉(zhuǎn)移給客戶。這種策略從長(zhǎng)期來看是否會(huì)減少回頭客,?當(dāng)然,,這里存在危險(xiǎn),但是投資者過于關(guān)注短期收益,,以至于他們通常愿意冒險(xiǎn),。

  當(dāng)這些網(wǎng)絡(luò)安全(和隱私泄漏)風(fēng)險(xiǎn)主要由納稅人等其他方承擔(dān)時(shí),市場(chǎng)喜歡獎(jiǎng)勵(lì)公司的“冒險(xiǎn)精神”,。這被稱為“利潤(rùn)私有化和虧損社會(huì)化”,。這包括那些所謂的“大到不能倒閉”的公司,這也意味著整個(gè)社會(huì)都要為自己糟糕的商業(yè)決策付出代價(jià),。飛速發(fā)展的高科技公司危害了國(guó)家安全,,將網(wǎng)絡(luò)安全風(fēng)險(xiǎn)轉(zhuǎn)移給客戶,這恰恰是“市場(chǎng)機(jī)制”在起作用,。

 ?。▽?duì)于吃瓜群眾來說)類似的錯(cuò)位激勵(lì)措施也會(huì)影響您個(gè)人的日常網(wǎng)絡(luò)安全。您的智能手機(jī)容易遭受一種被稱為SIM卡交換攻擊的欺詐行為,,因?yàn)殡娫捁鞠M鼓軌蜉p松地頻繁購(gòu)買新手機(jī),,并且他們(移動(dòng)公司)知道網(wǎng)絡(luò)詐騙造成的損失主要由用戶自己承擔(dān)。收集,、使用和出售您的個(gè)人數(shù)據(jù)的數(shù)據(jù)代理機(jī)構(gòu)和征信機(jī)構(gòu)不會(huì)花費(fèi)大量金錢來保護(hù)您的數(shù)據(jù),,因?yàn)槿绻腥藢?duì)其進(jìn)行黑客攻擊和竊取,這將是您自己的問題(損失),。

  社交媒體公司傾向放任仇恨言論和錯(cuò)誤信息在其平臺(tái)上泛濫成災(zāi),,因?yàn)閯h除這些言論的過程既昂貴又復(fù)雜,而且(這些煽動(dòng)性的誤導(dǎo)性的)言論不會(huì)給平臺(tái)帶來直接損失,。實(shí)際上,,無論何種性質(zhì)的用戶參與(例如:謠言、炒作),,社交媒體平臺(tái)都將從中獲利,。

  有兩個(gè)問題需要解決。首先是信息不對(duì)稱:購(gòu)買者無法充分判斷軟件產(chǎn)品或公司行為的安全性,。其次是錯(cuò)誤的激勵(lì)機(jī)制:市場(chǎng)鼓勵(lì)公司基于自身利益做出決策,,即使這會(huì)損害社會(huì)的廣泛利益。這兩個(gè)問題共同導(dǎo)致公司傾向通過承擔(dān)更大的(網(wǎng)絡(luò)安全和合規(guī))風(fēng)險(xiǎn)來節(jié)省資金,,然后將這種風(fēng)險(xiǎn)轉(zhuǎn)嫁給這個(gè)國(guó)家的每一個(gè)人,。

  迫使企業(yè)為客戶和用戶提供(充分)安全保護(hù)功能的唯一方法是政府干預(yù)。通過法律,、法規(guī)強(qiáng)制企業(yè)為不安全因素支付真實(shí)成本(編者:例如每泄漏一條病例的罰款金額需要與真實(shí)損失和必要的威懾性掛鉤),。政府通常會(huì)制定(人身與健康)安全法規(guī),例如污染標(biāo)準(zhǔn),、汽車安全帶,、無鉛汽油、食品安全法規(guī),。今天,,我們需要對(duì)網(wǎng)絡(luò)安全做同樣的事情:美國(guó)聯(lián)邦政府應(yīng)為軟件和軟件開發(fā)設(shè)定最低安全標(biāo)準(zhǔn)。

  在當(dāng)今監(jiān)管不足的市場(chǎng)中,,像SolarWinds這樣的軟件公司太容易通過克扣安全支出來節(jié)省成本,,提升財(cái)務(wù)表現(xiàn)。在當(dāng)今的自由市場(chǎng)世界中,,這是一個(gè)“理性”的決定,,而扭轉(zhuǎn)局面的唯一方法就是從根本上改變(蔑視)網(wǎng)絡(luò)安全的經(jīng)濟(jì)動(dòng)機(jī),。

 


本站內(nèi)容除特別聲明的原創(chuàng)文章之外,轉(zhuǎn)載內(nèi)容只為傳遞更多信息,,并不代表本網(wǎng)站贊同其觀點(diǎn),。轉(zhuǎn)載的所有的文章、圖片,、音/視頻文件等資料的版權(quán)歸版權(quán)所有權(quán)人所有,。本站采用的非本站原創(chuàng)文章及圖片等內(nèi)容無法一一聯(lián)系確認(rèn)版權(quán)者。如涉及作品內(nèi)容,、版權(quán)和其它問題,,請(qǐng)及時(shí)通過電子郵件或電話通知我們,以便迅速采取適當(dāng)措施,,避免給雙方造成不必要的經(jīng)濟(jì)損失,。聯(lián)系電話:010-82306118;郵箱:[email protected],。