科技和行業壟斷巨頭們為什么敢于大肆掠奪個人隱私數據,同時又不斷擠壓網絡安全預算,無視由此給個人、社會和國家造成的巨大安全風險?例如,為什么手機運營商明知道SIM卡交換攻擊的可怕,卻并不愿采取(更高成本的)緩解措施?為什么如此多的美國互聯網企業在隱私保護方面總是不見棺材不落淚?
近日,網絡安全大咖施奈爾(Bruce Schneier)在紐約時報撰文指出,后資本主義時代私營企業們之所以不愿意在網絡安全上花錢,是“市場經濟”的必然結果,因為企業可以把風險轉嫁給納稅人和用戶。
美國歷史上最嚴重的黑客事件——SolarWinds供應鏈攻擊暴露出的諸多問題中,SolarWinds自身的網絡安全防御形同虛設,已經到了令人發指的地步。施奈爾認為SolarWinds作為一家壟斷性的行業巨頭,以“一己之力”給美國全社會帶來不可估量的安全災難,值得深刻反思。
施奈爾認為,資本和市場獎勵公司的這種冒險精神,也就是所謂的“利潤私有化,虧損社會化”。重視網絡安全和隱私保護的企業會在競爭中處于不利地位,而不重視網絡安全甚至侵犯用戶隱私的企業,更有可能“野蠻生長”,并最終給國家網絡安全帶來系統性風險。
以下是施奈爾文章原文,編譯如下:
2020年初,為俄羅斯政府工作的黑客組織入侵SolarWinds公司生產的一款廣泛使用的網絡管理軟件(Orion)。這次黑客攻擊使攻擊者可以訪問SolarWinds大約18,000個客戶的計算機網絡,其中包括美國政府機構,如國土安全部和國務院、美國核研究實驗室、政府承包商、IT公司和非政府機構。
這是一次規模空前的襲擊,對美國國家安全產生重大影響。參議院情報委員會定于本周二舉行聽證會,對事件進行問責質詢。
當然,美國政府自身因網絡防御能力不足應受到強烈譴責。但是,如果僅將黑客事件歸咎為技術缺陷將掩蓋一個導致網絡安全困局的根本性問題——現代市場經濟積極地獎勵公司快速攫取短期利潤并積極削減成本,其激勵結構幾乎可以確保“成功的”高科技公司推向市場的一定是不安全的產品和服務。
像所有營利性公司一樣,SolarWinds致力于通過最小化成本和最大化利潤來提高股東價值。該公司主要由Silver Lake和Thoma Bravo擁有,Thoma Bravo本身就是因削減成本而聞名的私募股權公司。
能夠成為行業領頭羊,SolarWinds在網絡安全上的投入自然是“低于行業平均水平”。該公司將其大部分軟件工程外包給了便宜的海外程序員,盡管這通常會增加安全漏洞的風險。在2019年,在很長一段時間中,SolarWinds網絡管理軟件的更新服務器密碼是婦孺皆知的“Solarwinds123”。顯然,俄羅斯黑客不費吹灰之力就能入侵SolarWinds的電子郵件系統,并在那里潛伏了數月之久。
SolarWinds公司的網絡安全顧問表示,在他提出加強網絡安全的建議被忽略之后,他辭職了。
除了省錢以外,沒有其他充分理由可以解釋為什么SolarWinds要在網絡安全上克扣預算,要知道SolarWinds的客戶包括世界各地的政府機構,而花高價請來的技術顧問也強烈建議加強安全措施。
正如經濟學作家馬特·斯托勒(Matt Stoller)的論斷,網絡安全對于技術公司來說是削減成本的首選項。因為除非客戶被黑客入侵,否則客戶不會注意到這些問題(產品和服務的安全很差勁),而即使客戶信息或資產被盜,企業也沒有太大損失,因為這些客戶已經為產品支付過費用。換句話說,網絡攻擊的風險可以轉移給客戶。這種策略從長期來看是否會減少回頭客?當然,這里存在危險,但是投資者過于關注短期收益,以至于他們通常愿意冒險。
當這些網絡安全(和隱私泄漏)風險主要由納稅人等其他方承擔時,市場喜歡獎勵公司的“冒險精神”。這被稱為“利潤私有化和虧損社會化”。這包括那些所謂的“大到不能倒閉”的公司,這也意味著整個社會都要為自己糟糕的商業決策付出代價。飛速發展的高科技公司危害了國家安全,將網絡安全風險轉移給客戶,這恰恰是“市場機制”在起作用。
(對于吃瓜群眾來說)類似的錯位激勵措施也會影響您個人的日常網絡安全。您的智能手機容易遭受一種被稱為SIM卡交換攻擊的欺詐行為,因為電話公司希望使您能夠輕松地頻繁購買新手機,并且他們(移動公司)知道網絡詐騙造成的損失主要由用戶自己承擔。收集、使用和出售您的個人數據的數據代理機構和征信機構不會花費大量金錢來保護您的數據,因為如果有人對其進行黑客攻擊和竊取,這將是您自己的問題(損失)。
社交媒體公司傾向放任仇恨言論和錯誤信息在其平臺上泛濫成災,因為刪除這些言論的過程既昂貴又復雜,而且(這些煽動性的誤導性的)言論不會給平臺帶來直接損失。實際上,無論何種性質的用戶參與(例如:謠言、炒作),社交媒體平臺都將從中獲利。
有兩個問題需要解決。首先是信息不對稱:購買者無法充分判斷軟件產品或公司行為的安全性。其次是錯誤的激勵機制:市場鼓勵公司基于自身利益做出決策,即使這會損害社會的廣泛利益。這兩個問題共同導致公司傾向通過承擔更大的(網絡安全和合規)風險來節省資金,然后將這種風險轉嫁給這個國家的每一個人。
迫使企業為客戶和用戶提供(充分)安全保護功能的唯一方法是政府干預。通過法律、法規強制企業為不安全因素支付真實成本(編者:例如每泄漏一條病例的罰款金額需要與真實損失和必要的威懾性掛鉤)。政府通常會制定(人身與健康)安全法規,例如污染標準、汽車安全帶、無鉛汽油、食品安全法規。今天,我們需要對網絡安全做同樣的事情:美國聯邦政府應為軟件和軟件開發設定最低安全標準。
在當今監管不足的市場中,像SolarWinds這樣的軟件公司太容易通過克扣安全支出來節省成本,提升財務表現。在當今的自由市場世界中,這是一個“理性”的決定,而扭轉局面的唯一方法就是從根本上改變(蔑視)網絡安全的經濟動機。