- 网络安全的经济学“原罪”:利润私有化,亏损社会化
- 来源:安全牛
点击蓝字关注我们
科技和行业垄断巨头们为什么敢于大肆掠夺个人隐私数据,同时又不断挤压网络安全预算,无视由此给个人、社会和国家造成的巨大安全风险?例如,为什么手机运营商明知道SIM卡交换攻击的可怕,却并不愿采取(更高成本的)缓解措施?为什么如此多的美国互联网企业在隐私保护方面总是不见棺材不落泪?
近日,网络安全大咖施奈尔(Bruce Schneier)在纽约时报撰文指出,后资本主义时代私营企业们之所以不愿意在网络安全上花钱,是“市场经济”的必然结果,因为企业可以把风险转嫁给纳税人和用户。
美国历史上最严重的黑客事件——SolarWinds供应链攻击暴露出的诸多问题中,SolarWinds自身的网络安全防御形同虚设,已经到了令人发指的地步。施奈尔认为SolarWinds作为一家垄断性的行业巨头,以“一己之力”给美国全社会带来不可估量的安全灾难,值得深刻反思。
施奈尔认为,资本和市场奖励公司的这种冒险精神,也就是所谓的“利润私有化,亏损社会化”。重视网络安全和隐私保护的企业会在竞争中处于不利地位,而不重视网络安全甚至侵犯用户隐私的企业,更有可能“野蛮生长”,并最终给国家网络安全带来系统性风险。
以下是施奈尔文章原文,编译如下:
2020年初,为俄罗斯政府工作的黑客组织入侵SolarWinds公司生产的一款广泛使用的网络管理软件(Orion)。这次黑客攻击使攻击者可以访问SolarWinds大约18,000个客户的计算机网络,其中包括美国政府机构,如国土安全部和国务院、美国核研究实验室、政府承包商、IT公司和非政府机构。
这是一次规模空前的袭击,对美国国家安全产生重大影响。参议院情报委员会定于本周二举行听证会,对事件进行问责质询。
当然,美国政府自身因网络防御能力不足应受到强烈谴责。但是,如果仅将黑客事件归咎为技术缺陷将掩盖一个导致网络安全困局的根本性问题——现代市场经济积极地奖励公司快速攫取短期利润并积极削减成本,其激励结构几乎可以确保“成功的”高科技公司推向市场的一定是不安全的产品和服务。
像所有营利性公司一样,SolarWinds致力于通过最小化成本和最大化利润来提高股东价值。该公司主要由Silver Lake和Thoma Bravo拥有,Thoma Bravo本身就是因削减成本而闻名的私募股权公司。
能够成为行业领头羊,SolarWinds在网络安全上的投入自然是“低于行业平均水平”。该公司将其大部分软件工程外包给了便宜的海外程序员,尽管这通常会增加安全漏洞的风险。在2019年,在很长一段时间中,SolarWinds网络管理软件的更新服务器密码是妇孺皆知的“Solarwinds123”。显然,俄罗斯黑客不费吹灰之力就能入侵SolarWinds的电子邮件系统,并在那里潜伏了数月之久。
SolarWinds公司的网络安全顾问表示,在他提出加强网络安全的建议被忽略之后,他辞职了。
除了省钱以外,没有其他充分理由可以解释为什么SolarWinds要在网络安全上克扣预算,要知道SolarWinds的客户包括世界各地的政府机构,而花高价请来的技术顾问也强烈建议加强安全措施。
正如经济学作家马特·斯托勒(Matt Stoller)的论断,网络安全对于技术公司来说是削减成本的首选项。因为除非客户被黑客入侵,否则客户不会注意到这些问题(产品和服务的安全很差劲),而即使客户信息或资产被盗,企业也没有太大损失,因为这些客户已经为产品支付过费用。换句话说,网络攻击的风险可以转移给客户。这种策略从长期来看是否会减少回头客?当然,这里存在危险,但是投资者过于关注短期收益,以至于他们通常愿意冒险。
当这些网络安全(和隐私泄漏)风险主要由纳税人等其他方承担时,市场喜欢奖励公司的“冒险精神”。这被称为“利润私有化和亏损社会化”。这包括那些所谓的“大到不能倒闭”的公司,这也意味着整个社会都要为自己糟糕的商业决策付出代价。飞速发展的高科技公司危害了国家安全,将网络安全风险转移给客户,这恰恰是“市场机制”在起作用。
(对于吃瓜群众来说)类似的错位激励措施也会影响您个人的日常网络安全。您的智能手机容易遭受一种被称为SIM卡交换攻击的欺诈行为,因为电话公司希望使您能够轻松地频繁购买新手机,并且他们(移动公司)知道网络诈骗造成的损失主要由用户自己承担。收集、使用和出售您的个人数据的数据代理机构和征信机构不会花费大量金钱来保护您的数据,因为如果有人对其进行黑客攻击和窃取,这将是您自己的问题(损失)。
社交媒体公司倾向放任仇恨言论和错误信息在其平台上泛滥成灾,因为删除这些言论的过程既昂贵又复杂,而且(这些煽动性的误导性的)言论不会给平台带来直接损失。实际上,无论何种性质的用户参与(例如:谣言、炒作),社交媒体平台都将从中获利。
有两个问题需要解决。首先是信息不对称:购买者无法充分判断软件产品或公司行为的安全性。其次是错误的激励机制:市场鼓励公司基于自身利益做出决策,即使这会损害社会的广泛利益。这两个问题共同导致公司倾向通过承担更大的(网络安全和合规)风险来节省资金,然后将这种风险转嫁给这个国家的每一个人。
迫使企业为客户和用户提供(充分)安全保护功能的唯一方法是政府干预。通过法律、法规强制企业为不安全因素支付真实成本(编者:例如每泄漏一条病例的罚款金额需要与真实损失和必要的威慑性挂钩)。政府通常会制定(人身与健康)安全法规,例如污染标准、汽车安全带、无铅汽油、食品安全法规。今天,我们需要对网络安全做同样的事情:美国联邦政府应为软件和软件开发设定最低安全标准。
在当今监管不足的市场中,像SolarWinds这样的软件公司太容易通过克扣安全支出来节省成本,提升财务表现。在当今的自由市场世界中,这是一个“理性”的决定,而扭转局面的唯一方法就是从根本上改变(蔑视)网络安全的经济动机。
相关阅读地震监测预警面临三大网络安全威胁黑客利用网络安全公司设备漏洞入侵上百家企业
2021年关键基础设施网络安全支出将超过1000亿美元
合作电话:18311333376
合作微信:aqniu001
投稿邮箱:editor@aqniu.com
科技和行业垄断巨头们为什么敢于大肆掠夺个人隐私数据,同时又不断挤压网络安全预算,无视由此给个人、社会和国家造成的巨大安全风险?例如,为什么手机运营商明知道SIM卡交换攻击的可怕,却并不愿采取(更高成本的)缓解措施?为什么如此多的美国互联网企业在隐私保护方面总是不见棺材不落泪?
近日,网络安全大咖施奈尔(Bruce Schneier)在纽约时报撰文指出,后资本主义时代私营企业们之所以不愿意在网络安全上花钱,是“市场经济”的必然结果,因为企业可以把风险转嫁给纳税人和用户。
美国历史上最严重的黑客事件——SolarWinds供应链攻击暴露出的诸多问题中,SolarWinds自身的网络安全防御形同虚设,已经到了令人发指的地步。施奈尔认为SolarWinds作为一家垄断性的行业巨头,以“一己之力”给美国全社会带来不可估量的安全灾难,值得深刻反思。
施奈尔认为,资本和市场奖励公司的这种冒险精神,也就是所谓的“利润私有化,亏损社会化”。重视网络安全和隐私保护的企业会在竞争中处于不利地位,而不重视网络安全甚至侵犯用户隐私的企业,更有可能“野蛮生长”,并最终给国家网络安全带来系统性风险。
以下是施奈尔文章原文,编译如下:
2020年初,为俄罗斯政府工作的黑客组织入侵SolarWinds公司生产的一款广泛使用的网络管理软件(Orion)。这次黑客攻击使攻击者可以访问SolarWinds大约18,000个客户的计算机网络,其中包括美国政府机构,如国土安全部和国务院、美国核研究实验室、政府承包商、IT公司和非政府机构。
这是一次规模空前的袭击,对美国国家安全产生重大影响。参议院情报委员会定于本周二举行听证会,对事件进行问责质询。
当然,美国政府自身因网络防御能力不足应受到强烈谴责。但是,如果仅将黑客事件归咎为技术缺陷将掩盖一个导致网络安全困局的根本性问题——现代市场经济积极地奖励公司快速攫取短期利润并积极削减成本,其激励结构几乎可以确保“成功的”高科技公司推向市场的一定是不安全的产品和服务。
像所有营利性公司一样,SolarWinds致力于通过最小化成本和最大化利润来提高股东价值。该公司主要由Silver Lake和Thoma Bravo拥有,Thoma Bravo本身就是因削减成本而闻名的私募股权公司。
能够成为行业领头羊,SolarWinds在网络安全上的投入自然是“低于行业平均水平”。该公司将其大部分软件工程外包给了便宜的海外程序员,尽管这通常会增加安全漏洞的风险。在2019年,在很长一段时间中,SolarWinds网络管理软件的更新服务器密码是妇孺皆知的“Solarwinds123”。显然,俄罗斯黑客不费吹灰之力就能入侵SolarWinds的电子邮件系统,并在那里潜伏了数月之久。
SolarWinds公司的网络安全顾问表示,在他提出加强网络安全的建议被忽略之后,他辞职了。
除了省钱以外,没有其他充分理由可以解释为什么SolarWinds要在网络安全上克扣预算,要知道SolarWinds的客户包括世界各地的政府机构,而花高价请来的技术顾问也强烈建议加强安全措施。
正如经济学作家马特·斯托勒(Matt Stoller)的论断,网络安全对于技术公司来说是削减成本的首选项。因为除非客户被黑客入侵,否则客户不会注意到这些问题(产品和服务的安全很差劲),而即使客户信息或资产被盗,企业也没有太大损失,因为这些客户已经为产品支付过费用。换句话说,网络攻击的风险可以转移给客户。这种策略从长期来看是否会减少回头客?当然,这里存在危险,但是投资者过于关注短期收益,以至于他们通常愿意冒险。
当这些网络安全(和隐私泄漏)风险主要由纳税人等其他方承担时,市场喜欢奖励公司的“冒险精神”。这被称为“利润私有化和亏损社会化”。这包括那些所谓的“大到不能倒闭”的公司,这也意味着整个社会都要为自己糟糕的商业决策付出代价。飞速发展的高科技公司危害了国家安全,将网络安全风险转移给客户,这恰恰是“市场机制”在起作用。
(对于吃瓜群众来说)类似的错位激励措施也会影响您个人的日常网络安全。您的智能手机容易遭受一种被称为SIM卡交换攻击的欺诈行为,因为电话公司希望使您能够轻松地频繁购买新手机,并且他们(移动公司)知道网络诈骗造成的损失主要由用户自己承担。收集、使用和出售您的个人数据的数据代理机构和征信机构不会花费大量金钱来保护您的数据,因为如果有人对其进行黑客攻击和窃取,这将是您自己的问题(损失)。
社交媒体公司倾向放任仇恨言论和错误信息在其平台上泛滥成灾,因为删除这些言论的过程既昂贵又复杂,而且(这些煽动性的误导性的)言论不会给平台带来直接损失。实际上,无论何种性质的用户参与(例如:谣言、炒作),社交媒体平台都将从中获利。
有两个问题需要解决。首先是信息不对称:购买者无法充分判断软件产品或公司行为的安全性。其次是错误的激励机制:市场鼓励公司基于自身利益做出决策,即使这会损害社会的广泛利益。这两个问题共同导致公司倾向通过承担更大的(网络安全和合规)风险来节省资金,然后将这种风险转嫁给这个国家的每一个人。
迫使企业为客户和用户提供(充分)安全保护功能的唯一方法是政府干预。通过法律、法规强制企业为不安全因素支付真实成本(编者:例如每泄漏一条病例的罚款金额需要与真实损失和必要的威慑性挂钩)。政府通常会制定(人身与健康)安全法规,例如污染标准、汽车安全带、无铅汽油、食品安全法规。今天,我们需要对网络安全做同样的事情:美国联邦政府应为软件和软件开发设定最低安全标准。
在当今监管不足的市场中,像SolarWinds这样的软件公司太容易通过克扣安全支出来节省成本,提升财务表现。在当今的自由市场世界中,这是一个“理性”的决定,而扭转局面的唯一方法就是从根本上改变(蔑视)网络安全的经济动机。
相关阅读地震监测预警面临三大网络安全威胁黑客利用网络安全公司设备漏洞入侵上百家企业
2021年关键基础设施网络安全支出将超过1000亿美元
合作微信:aqniu001
投稿邮箱:editor@aqniu.com
科技
-
-
- 线下展会,市民畅享科技大餐
- 5月28日,是2021中国国际大数据产业博览会线下展最后一天,也是免费向市民开放的公众日。趁此机会,记者继续带您探秘国际综合馆(W1馆)、数字应用馆(W2馆)、前沿技术馆(E1馆)、智慧产业馆(E2馆)4...
- 贵阳晚报
-
-
-
- 为何新药研发、基因测序、卫星遥感的发展提速都需要它?
- 人类第一次完整全基因组的测序花了13年,在新技术的加持下,这个时间已经降低到1天以内;没有这项新技术加持,电影《阿凡达》的渲染可能需要上万年;这项新技术还让新药的研发周期大幅缩短,让卫星遥感定位精度...
- 华为
-
-
-
- 大型金属3D打印厂商钢研极光亮相TCT,展示强大的生产服务能力
- 2021亚洲3D打印、增材制造展览会 (TCT Asia)于2021年5月26日-28日在国家会展中心(上海)7.1馆隆重举办。作为官方战略合作媒体,南极熊将会全程现场报道(地址https://www.nanjixiong.com/foru
- 南极熊3D打印
-
-
-
- 美国国家情报委员会《全球趋势2040——竞争更激烈的世界》报告摘译
- 2021年3月,美国国家情报委员会(NIC)发布了每四年一度的全球趋势预测报告《全球趋势2040——竞争更激烈的世界》。NIC是美国最高层级的战略情报机构,该委员会的成员均为来自政府、学术界和私营部门的高级专家...
- 全球技术地图
-
-
-
- 数字让监管更加智慧 上交所成功举办首届全行业技术大会
- 5月28日,上交所成功举办主题为“数字赋能,守正创新”的首届全行业技术大会。中国证监会副主席赵争平出席大会并致辞指出,证监会高度重视资本市场科技化转型与发展,确定了“数字让监管更加智慧”的愿景。...
- 上海证券报
-
-
-
- 湾区智行||中科创达赵鸿飞:汽车“新物种”需要共通的操作系统|中国汽车报
- “我是谁?我来自哪里?我要到哪里去?”这是哲学史上永恒的三大命题,同样也是我们甚至是企业需要不断思考的问题。此次采访对象——中科创达软件股份有限公司就是一家勤于思考、擅于思考的企业。这家企业在不断...
- 中国汽车报
-
-
-
- 广电总局表彰虚拟现实视频、超高清视频等5类96个优秀项目!
- 广电总局共评选出互动视频、沉浸式视频、虚拟现实视频、云游戏、超高清视频等5类96个优秀项目,分获一、二、三等奖和优秀奖,包括《中央广播电视总台5G+VR融合制播系统——春节联欢晚会 (2017- 2021)节目VR制作...
- 广电头条
-
-
-
- 占据市场最新赛道,“中国制造”机器人迎来爆发期
- 【环球时报记者 邢晓婧 杨沙沙】配餐机器人、迎宾机器人、扫地机器人……不知不觉间,中国老百姓对出现在餐馆、医院、火车站、养老院等场景的机器人逐渐习以为常,甚至家中也出现扫地、娱乐等家用机器人。有统计...
- 环球网
-
-
-
- 最受关注展项出炉,2021年北京科技周闭幕不落幕!
- 5月28日下午,2021年北京科技周闭幕式在中关村国家自主创新示范区展示中心举行。北京市科委、中关村管委会相关负责人介绍了本届北京科技周举办情况以及最受关注的展项。市科委、中关村管委会二级巡视员王建新出...
- 科普北京
-
-
-
- 魔高一尺,道高一丈:上交所VPN攻防札记
- 本文选自《交易技术前沿》总第四十二期文章(2020年12月)谢毅 / 上海证券交易所 yxie@sse.com.cn相晓辉 / 上海证券交易所 xhxiang@sse.com.cn虚拟专用网络(以下简称“VPN”)系统、互联网业务系统、外网
- Android编程精选
-
-
-
- 绿色召集令——聚力创赢,共赴绿色能源新征程!
- 申耀的科技观察读懂科技,赢取未来!申耀的科技观察,由科技与汽车跨界自媒体人申斯基创办,18年企业级科技媒体工作经验,专注企业数字化、产业智能化、智慧城市、汽车科技内容的观察和思考。
- 申耀的科技观察
-
-
-
- 汉朔科技和微软(中国)联合推动 IoT+AI 赋能全球零售
- (本文阅读时间:4分钟)2021年5月20日,全球领先的零售数字化解决方案供应商汉朔与微软(中国)在北京举行战略合作备忘录签约仪式,以进一步推动其在零售行业的全球布局和数字化战略。根据战略合作备忘录,汉朔...
- 微软科技
-
-
-
- 关于安全访问服务边缘(SASE),你需要知道的事情
- 在企业纷纷拥抱数字业务的过程中,由于边缘计算、云服务、混合网络的逐渐兴起,使得本就漏洞百出的传统网络安全架构更加岌岌可危,而且远远无法满足企业数字业务的需要。为了应对这种情况,一个全新的模型——安...
- FreeBuf
-
-
-
- [报告]2021年中国新能源汽车行业洞察(附44页PDF文件下载)
- 新能源车大势将至,造车新势力差异化突围。以下为报告节选:......文│Mob研究院本报告共计:44页。如欲获取完整版PDF文件,请扫描下方二维码加入“车友圈”获取。#重磅推荐#需要批量下载和及时更新最新汽车行业...
- 汽车之地
-