科技和行業(yè)壟斷巨頭們?yōu)槭裁锤矣诖笏谅訆Z個(gè)人隱私數(shù)據(jù)，同時(shí)又不斷擠壓網(wǎng)絡(luò)安全預(yù)算，無視由此給個(gè)人、社會和國家造成的巨大安全風(fēng)險(xiǎn)？例如，為什么手機(jī)運(yùn)營商明知道SIM卡交換攻擊的可怕，卻并不愿采取（更高成本的）緩解措施？為什么如此多的美國互聯(lián)網(wǎng)企業(yè)在隱私保護(hù)方面總是不見棺材不落淚？

　　近日，網(wǎng)絡(luò)安全大咖施奈爾（Bruce Schneier）在紐約時(shí)報(bào)撰文指出，后資本主義時(shí)代私營企業(yè)們之所以不愿意在網(wǎng)絡(luò)安全上花錢，是“市場經(jīng)濟(jì)”的必然結(jié)果，因?yàn)槠髽I(yè)可以把風(fēng)險(xiǎn)轉(zhuǎn)嫁給納稅人和用戶。

　　美國歷史上最嚴(yán)重的黑客事件——SolarWinds供應(yīng)鏈攻擊暴露出的諸多問題中，SolarWinds自身的網(wǎng)絡(luò)安全防御形同虛設(shè)，已經(jīng)到了令人發(fā)指的地步。施奈爾認(rèn)為SolarWinds作為一家壟斷性的行業(yè)巨頭，以“一己之力”給美國全社會帶來不可估量的安全災(zāi)難，值得深刻反思。

　　施奈爾認(rèn)為，資本和市場獎勵(lì)公司的這種冒險(xiǎn)精神，也就是所謂的“利潤私有化，虧損社會化”。重視網(wǎng)絡(luò)安全和隱私保護(hù)的企業(yè)會在競爭中處于不利地位，而不重視網(wǎng)絡(luò)安全甚至侵犯用戶隱私的企業(yè)，更有可能“野蠻生長”，并最終給國家網(wǎng)絡(luò)安全帶來系統(tǒng)性風(fēng)險(xiǎn)。

　　以下是施奈爾文章原文，編譯如下：

　　2020年初，為俄羅斯政府工作的黑客組織入侵SolarWinds公司生產(chǎn)的一款廣泛使用的網(wǎng)絡(luò)管理軟件（Orion）。這次黑客攻擊使攻擊者可以訪問SolarWinds大約18,000個(gè)客戶的計(jì)算機(jī)網(wǎng)絡(luò)，其中包括美國政府機(jī)構(gòu)，如國土安全部和國務(wù)院、美國核研究實(shí)驗(yàn)室、政府承包商、IT公司和非政府機(jī)構(gòu)。

　　這是一次規(guī)模空前的襲擊，對美國國家安全產(chǎn)生重大影響。參議院情報(bào)委員會定于本周二舉行聽證會，對事件進(jìn)行問責(zé)質(zhì)詢。

　　當(dāng)然，美國政府自身因網(wǎng)絡(luò)防御能力不足應(yīng)受到強(qiáng)烈譴責(zé)。但是，如果僅將黑客事件歸咎為技術(shù)缺陷將掩蓋一個(gè)導(dǎo)致網(wǎng)絡(luò)安全困局的根本性問題——現(xiàn)代市場經(jīng)濟(jì)積極地獎勵(lì)公司快速攫取短期利潤并積極削減成本，其激勵(lì)結(jié)構(gòu)幾乎可以確保“成功的”高科技公司推向市場的一定是不安全的產(chǎn)品和服務(wù)。

　　像所有營利性公司一樣，SolarWinds致力于通過最小化成本和最大化利潤來提高股東價(jià)值。該公司主要由Silver Lake和Thoma Bravo擁有，Thoma Bravo本身就是因削減成本而聞名的私募股權(quán)公司。

　　能夠成為行業(yè)領(lǐng)頭羊，SolarWinds在網(wǎng)絡(luò)安全上的投入自然是“低于行業(yè)平均水平”。該公司將其大部分軟件工程外包給了便宜的海外程序員，盡管這通常會增加安全漏洞的風(fēng)險(xiǎn)。在2019年，在很長一段時(shí)間中，SolarWinds網(wǎng)絡(luò)管理軟件的更新服務(wù)器密碼是婦孺皆知的“Solarwinds123”。顯然，俄羅斯黑客不費(fèi)吹灰之力就能入侵SolarWinds的電子郵件系統(tǒng)，并在那里潛伏了數(shù)月之久。

　　SolarWinds公司的網(wǎng)絡(luò)安全顧問表示，在他提出加強(qiáng)網(wǎng)絡(luò)安全的建議被忽略之后，他辭職了。

　　除了省錢以外，沒有其他充分理由可以解釋為什么SolarWinds要在網(wǎng)絡(luò)安全上克扣預(yù)算，要知道SolarWinds的客戶包括世界各地的政府機(jī)構(gòu)，而花高價(jià)請來的技術(shù)顧問也強(qiáng)烈建議加強(qiáng)安全措施。

　　正如經(jīng)濟(jì)學(xué)作家馬特·斯托勒（Matt Stoller）的論斷，網(wǎng)絡(luò)安全對于技術(shù)公司來說是削減成本的首選項(xiàng)。因?yàn)槌强蛻舯缓诳腿肭郑駝t客戶不會注意到這些問題（產(chǎn)品和服務(wù)的安全很差勁），而即使客戶信息或資產(chǎn)被盜，企業(yè)也沒有太大損失，因?yàn)檫@些客戶已經(jīng)為產(chǎn)品支付過費(fèi)用。換句話說，網(wǎng)絡(luò)攻擊的風(fēng)險(xiǎn)可以轉(zhuǎn)移給客戶。這種策略從長期來看是否會減少回頭客？當(dāng)然，這里存在危險(xiǎn)，但是投資者過于關(guān)注短期收益，以至于他們通常愿意冒險(xiǎn)。

　　當(dāng)這些網(wǎng)絡(luò)安全（和隱私泄漏）風(fēng)險(xiǎn)主要由納稅人等其他方承擔(dān)時(shí)，市場喜歡獎勵(lì)公司的“冒險(xiǎn)精神”。這被稱為“利潤私有化和虧損社會化”。這包括那些所謂的“大到不能倒閉”的公司，這也意味著整個(gè)社會都要為自己糟糕的商業(yè)決策付出代價(jià)。飛速發(fā)展的高科技公司危害了國家安全，將網(wǎng)絡(luò)安全風(fēng)險(xiǎn)轉(zhuǎn)移給客戶，這恰恰是“市場機(jī)制”在起作用。

　　（對于吃瓜群眾來說）類似的錯(cuò)位激勵(lì)措施也會影響您個(gè)人的日常網(wǎng)絡(luò)安全。您的智能手機(jī)容易遭受一種被稱為SIM卡交換攻擊的欺詐行為，因?yàn)殡娫捁鞠Ｍ鼓軌蜉p松地頻繁購買新手機(jī)，并且他們（移動公司）知道網(wǎng)絡(luò)詐騙造成的損失主要由用戶自己承擔(dān)。收集、使用和出售您的個(gè)人數(shù)據(jù)的數(shù)據(jù)代理機(jī)構(gòu)和征信機(jī)構(gòu)不會花費(fèi)大量金錢來保護(hù)您的數(shù)據(jù)，因?yàn)槿绻腥藢ζ溥M(jìn)行黑客攻擊和竊取，這將是您自己的問題（損失）。

　　社交媒體公司傾向放任仇恨言論和錯(cuò)誤信息在其平臺上泛濫成災(zāi)，因?yàn)閯h除這些言論的過程既昂貴又復(fù)雜，而且（這些煽動性的誤導(dǎo)性的）言論不會給平臺帶來直接損失。實(shí)際上，無論何種性質(zhì)的用戶參與（例如：謠言、炒作），社交媒體平臺都將從中獲利。

　　有兩個(gè)問題需要解決。首先是信息不對稱：購買者無法充分判斷軟件產(chǎn)品或公司行為的安全性。其次是錯(cuò)誤的激勵(lì)機(jī)制：市場鼓勵(lì)公司基于自身利益做出決策，即使這會損害社會的廣泛利益。這兩個(gè)問題共同導(dǎo)致公司傾向通過承擔(dān)更大的（網(wǎng)絡(luò)安全和合規(guī)）風(fēng)險(xiǎn)來節(jié)省資金，然后將這種風(fēng)險(xiǎn)轉(zhuǎn)嫁給這個(gè)國家的每一個(gè)人。

　　迫使企業(yè)為客戶和用戶提供（充分）安全保護(hù)功能的唯一方法是政府干預(yù)。通過法律、法規(guī)強(qiáng)制企業(yè)為不安全因素支付真實(shí)成本（編者：例如每泄漏一條病例的罰款金額需要與真實(shí)損失和必要的威懾性掛鉤）。政府通常會制定（人身與健康）安全法規(guī)，例如污染標(biāo)準(zhǔn)、汽車安全帶、無鉛汽油、食品安全法規(guī)。今天，我們需要對網(wǎng)絡(luò)安全做同樣的事情：美國聯(lián)邦政府應(yīng)為軟件和軟件開發(fā)設(shè)定最低安全標(biāo)準(zhǔn)。

　　在當(dāng)今監(jiān)管不足的市場中，像SolarWinds這樣的軟件公司太容易通過克扣安全支出來節(jié)省成本，提升財(cái)務(wù)表現(xiàn)。在當(dāng)今的自由市場世界中，這是一個(gè)“理性”的決定，而扭轉(zhuǎn)局面的唯一方法就是從根本上改變（蔑視）網(wǎng)絡(luò)安全的經(jīng)濟(jì)動機(jī)。