近日,网络安全大咖施奈尔(Bruce Schneier)在纽约时报撰文指出,后资本主义时代私营企业们之所以不愿意在网络安全上花钱,是“市场经济”的必然结果,因为企业可以把风险转嫁给纳税人和用户。
美国历史上最严重的黑客事件——SolarWinds供应链攻击暴露出的诸多问题中,SolarWinds自身的网络安全防御形同虚设,已经到了令人发指的地步。施奈尔认为SolarWinds作为一家垄断性的行业巨头,以“一己之力”给美国全社会带来不可估量的安全灾难,值得深刻反思。
施奈尔认为,资本和市场奖励公司的这种冒险精神,也就是所谓的“利润私有化,亏损社会化”。重视网络安全和隐私保护的企业会在竞争中处于不利地位,而不重视网络安全甚至侵犯用户隐私的企业,更有可能“野蛮生长”,并最终给国家网络安全带来系统性风险。
以下是施奈尔文章原文,编译如下:
2020年初,为俄罗斯政府工作的黑客组织入侵SolarWinds公司生产的一款广泛使用的网络管理软件(Orion)。这次黑客攻击使攻击者可以访问SolarWinds大约18,000个客户的计算机网络,其中包括美国政府机构,如国土安全部和国务院、美国核研究实验室、政府承包商、IT公司和非政府机构。
这是一次规模空前的袭击,对美国国家安全产生重大影响。参议院情报委员会定于本周二举行听证会,对事件进行问责质询。
当然,美国政府自身因网络防御能力不足应受到强烈谴责。但是,如果仅将黑客事件归咎为技术缺陷将掩盖一个导致网络安全困局的根本性问题——现代市场经济积极地奖励公司快速攫取短期利润并积极削减成本,其激励结构几乎可以确保“成功的”高科技公司推向市场的一定是不安全的产品和服务。
像所有营利性公司一样,SolarWinds致力于通过最小化成本和最大化利润来提高股东价值。该公司主要由Silver Lake和Thoma Bravo拥有,Thoma Bravo本身就是因削减成本而闻名的私募股权公司。
能够成为行业领头羊,SolarWinds在网络安全上的投入自然是“低于行业平均水平”。该公司将其大部分软件工程外包给了便宜的海外程序员,尽管这通常会增加安全漏洞的风险。在2019年,在很长一段时间中,SolarWinds网络管理软件的更新服务器密码是妇孺皆知的“Solarwinds123”。显然,俄罗斯黑客不费吹灰之力就能入侵SolarWinds的电子邮件系统,并在那里潜伏了数月之久。
SolarWinds公司的网络安全顾问表示,在他提出加强网络安全的建议被忽略之后,他辞职了。
除了省钱以外,没有其他充分理由可以解释为什么SolarWinds要在网络安全上克扣预算,要知道SolarWinds的客户包括世界各地的政府机构,而花高价请来的技术顾问也强烈建议加强安全措施。
正如经济学作家马特·斯托勒(Matt Stoller)的论断,网络安全对于技术公司来说是削减成本的首选项。因为除非客户被黑客入侵,否则客户不会注意到这些问题(产品和服务的安全很差劲),而即使客户信息或资产被盗,企业也没有太大损失,因为这些客户已经为产品支付过费用。换句话说,网络攻击的风险可以转移给客户。这种策略从长期来看是否会减少回头客?当然,这里存在危险,但是投资者过于关注短期收益,以至于他们通常愿意冒险。
当这些网络安全(和隐私泄漏)风险主要由纳税人等其他方承担时,市场喜欢奖励公司的“冒险精神”。这被称为“利润私有化和亏损社会化”。这包括那些所谓的“大到不能倒闭”的公司,这也意味着整个社会都要为自己糟糕的商业决策付出代价。飞速发展的高科技公司危害了国家安全,将网络安全风险转移给客户,这恰恰是“市场机制”在起作用。
(对于吃瓜群众来说)类似的错位激励措施也会影响您个人的日常网络安全。您的智能手机容易遭受一种被称为SIM卡交换攻击的欺诈行为,因为电话公司希望使您能够轻松地频繁购买新手机,并且他们(移动公司)知道网络诈骗造成的损失主要由用户自己承担。收集、使用和出售您的个人数据的数据代理机构和征信机构不会花费大量金钱来保护您的数据,因为如果有人对其进行黑客攻击和窃取,这将是您自己的问题(损失)。
社交媒体公司倾向放任仇恨言论和错误信息在其平台上泛滥成灾,因为删除这些言论的过程既昂贵又复杂,而且(这些煽动性的误导性的)言论不会给平台带来直接损失。实际上,无论何种性质的用户参与(例如:谣言、炒作),社交媒体平台都将从中获利。
有两个问题需要解决。首先是信息不对称:购买者无法充分判断软件产品或公司行为的安全性。其次是错误的激励机制:市场鼓励公司基于自身利益做出决策,即使这会损害社会的广泛利益。这两个问题共同导致公司倾向通过承担更大的(网络安全和合规)风险来节省资金,然后将这种风险转嫁给这个国家的每一个人。
迫使企业为客户和用户提供(充分)安全保护功能的唯一方法是政府干预。通过法律、法规强制企业为不安全因素支付真实成本(编者:例如每泄漏一条病例的罚款金额需要与真实损失和必要的威慑性挂钩)。政府通常会制定(人身与健康)安全法规,例如污染标准、汽车安全带、无铅汽油、食品安全法规。今天,我们需要对网络安全做同样的事情:美国联邦政府应为软件和软件开发设定最低安全标准。
在当今监管不足的市场中,像SolarWinds这样的软件公司太容易通过克扣安全支出来节省成本,提升财务表现。在当今的自由市场世界中,这是一个“理性”的决定,而扭转局面的唯一方法就是从根本上改变(蔑视)网络安全的经济动机。
【本文是51CTO专栏作者“安全牛”的原创文章,转载请通过安全牛(微信公众号id:gooann-sectv)获取授权】