近日, *** 安全大咖施奈尔(Bruce Schneier)《 *** 》写道,后资本主义时代的私营企业不愿意在 *** 安全上花钱的原因是“市场经济”因为企业可以将风险转移给纳税人和用户。
美国历史上最严重的黑客事件——SolarWinds在供应链攻击暴露的诸多问题中,SolarWinds自身的 *** 安全防御已经到了令人发指的地步。施奈尔认为SolarWinds作为垄断行业巨头,“一己之力”值得深刻反思的是,它给整个美国社会带来了不可估量的安全灾难。
施奈尔认为,资本和市场奖励公司的冒险精神,即所谓的“利润私有化,亏损社会化”。重视 *** 安全和隐私保护的企业在竞争中处于不利地位,而不重视 *** 安全甚至侵犯用户隐私的企业更有可能“野蛮生长”,并最终给国家 *** 安全带来系统性风险。
以下是施奈尔文章的原文,编译如下:
2020年初,为俄罗斯 *** 工作的黑客组织入侵SolarWinds公司生产的广泛使用的 *** 管理软件(Orion)。黑客攻击使攻击者能够访问SolarWinds国土安全部、国务院、美国核研究实验室、 *** 承包商、IT公司和非 *** 机构。
这是一次前所未有的袭击,对美国国家安全产生了重大影响。参议院情报委员会将于周二举行听证会,询问事件责任。
当然,由于缺乏 *** 防御能力,美国 *** 本身也应该受到强烈谴责。然而,仅仅将黑客事件归咎于技术缺陷将掩盖导致 *** 安全困境的根本问题——现代市场经济积极地奖励公司快速攫取短期利润并积极削减成本,其激励结构几乎可以确保“成功的”不安全的产品和服务必须由高科技公司推向市场。
和所有营利性公司一样,SolarWinds致力于通过降低成本和利润来提高股东价值。公司主要由Silver Lake和Thoma Bravo拥有,Thoma Bravo它是一家以降低成本而闻名的私募股权公司。
能成为行业领导者,SolarWinds投资 *** 安全自然是“低于行业平均水平”。尽管这通常会增加安全漏洞的风险,但该公司将其大部分软件工程外包给便宜的海外程序员。2019年,很长一段时间,SolarWinds众所周知, *** 管理软件更新服务器密码“Solarwinds123”。显然,俄罗斯黑客可以毫不费力地入侵SolarWinds电子邮件系统在那里潜伏了几个月。
SolarWinds该公司的 *** 安全顾问表示,在他提出加强 *** 安全的建议被忽视后,他辞职了。
除了省钱,没有理由解释为什么SolarWinds要在 *** 安全方面扣除预算,要知道SolarWinds来自世界各地的客户包括 *** 机构,高价邀请的技术顾问也强烈建议加强安全措施。
就像经济学家马特一样·斯托勒(Matt Stoller) *** 安全是 *** 安全是技术公司降低成本的首选。因为除非客户被黑客入侵,否则客户不会注意到这些问题(产品和服务的安全性很差),即使客户信息或资产被盗,企业也不会损失太多,因为这些客户已经为产品支付了费用。换句话说, *** 攻击的风险可以转移给客户。从长远来看,这种策略会减少回头客吗?当然,这里有危险,但投资者过于关注短期他们通常愿意冒险。
当这些 *** 安全(和隐私泄露)风险主要由纳税人和其他方承担时,市场喜欢奖励公司“冒险精神”。这被称为“利润私有化和亏损社会化”。这包括所谓的“大到不能倒闭”公司也意味着整个社会都要为自己糟糕的商业决策付出代价。快速发展的高科技公司危害国家安全,将 *** 安全风险转移给客户,正是这样“市场机制”在起作用。
(对于吃瓜的人来说)类似的错位激励措施也会影响你个人的日常 *** 安全。你的智能手机很容易遭受一种叫做SIM卡交换攻击的欺诈行为,因为 *** 公司希望让你轻松频繁地购买新手机,他们(移动公司)知道 *** 欺诈造成的损失主要由用户自己承担。收集、使用和销售您个人数据的数据 *** 和信用调查机构不会花很多钱来保护您的数据,因为如果有人攻击和窃取黑客,这将是您自己的问题(损失)。
社交媒体公司倾向于让仇恨言论和错误信息在其平台上泛滥,因为删除这些言论的过程既昂贵又复杂,而且(这些煽动性的误导性)言论不会给平台带来直接损失。事实上,社交媒体平台将从用户参与(如谣言和炒作)中获利。
有两个问题需要解决。一是信息不对称:买家无法充分判断软件产品或公司行为的安全性。二是激励机制错误:市场鼓励公司根据自身利益做出决策,即使这会损害社会的广泛利益。这两个问题共同导致公司通过承担更大的( *** 安全和合规)风险来节省资金,然后将风险转移给国家的每个人。
迫使企业为客户和用户提供(充分)安全保护功能的唯一途径是 *** 干预。企业通过法律法规强制支付不安全因素的真实成本(编者:例如,每个案件的罚款金额需要与真实损失和必要的威慑挂钩)。 *** 通常制定污染标准、汽车安全带、无铅汽油、食品安全法规等安全法规。今天,我们需要对 *** 安全做同样的事情:联邦 *** 应该为软件和软件开发设定更低安全标准。
在当今监管不足的市场中,就像SolarWinds这样的软件公司太容易通过扣除安全支出来节约成本,提高财务业绩。这是当今自由市场的世界“理性”扭转局面的唯一 *** 就是从根本上改变 *** 安全的经济动机。
【本文是51CTO专栏作者“安全牛”请通过安全牛(微信微信官方账号)转载原创文章id:gooann-sectv)获取授权】
戳这里,看作者更好的文章