我们的数据到底有多安全?

2016年，在一次博物馆展览中，福特将一辆1965年福特野马的左侧与一辆2015年福特野马的右侧拼接在一起。这次展览旨在展示汽车在过去50年里的变化。

在1960年，坐上任何一辆车都是一件值得炫耀的事。例如，1965年的福特野马(Ford Mustang)首次在储物箱中安装了一个灯，而2015年的版本在储物箱门上安装了一个安全气囊，以保护乘客的膝盖。更不用说其他好处（如防撞、盲点检测和车道偏离系统）。这些安全方面的改善是由于监管，部分是由于为满足消费者日益增长的需求而展开的。由此人们对安全性的重视是有目共睹的。 

今天，我们经常会把个人信息发布到网站上。互联网最初设计时并没有考虑到安全问题。它被设计成一个分布式系统，连接多个网络，没有中央核心来保障安全。相反，关键在于信任那些使用它的人，这在早期很容易，当时它被用来在相互认识的学者和研究人员之间共享资源。根据早期先驱之一，麻省理工学院的科学家大卫·D·克拉克的说法，“并不是我们没有考虑到安全问题。我们知道有不值得信任的人，我们认为我们可以把他们排除在外。”这种选择在今天显然是不可行的，许多可用的服务仍然没有优先考虑安全性。

以Ashley Madison为例，该网站在2015年遭到黑客攻击，3700万用户的信息都被泄露了。泄露事件的后果暴露出该公司除了使用机器人来吸引男性客户外，还有许多低劣和欺诈行为。该公司在其网站上展示了许多安全证书和奖项，以宣传其安全性，但所有这些都是编造的。用户可以选择支付19美元来删除他们的信息，以便完全隐藏他们的踪迹——但Ashley Madison实际上并没有删除在黑客攻击中公布的数据。事实上，这种欺骗行为实际上可能促使黑客出于道德而公布这些数据。

灾难的后果也给相关方造成了难以估量的损失。首先，那些渴望婚外情的用户被排除在外。有些人被勒索，有些人离婚，有些人选择自杀。这位被迫离职的首席执行官的婚外情也因被盗电子邮件的泄露而曝光。不出所料，该公司被集体起诉，要求赔偿5.78亿美元，并面临政府制裁。但与许多在此之后受到损害的关系不同，该公司仍在营业，事实上声称业务有所增加。

有趣的是，一家以自由裁量权为主要卖点的公司无法保护其数据，用户也无法保护自己免受泄露。公布的信息表明，该公司存在一些导致数据泄露的错误，其中一些是他们知道的，却被忽视了。

退一步说，2019年的一项研究表明，95%的此类数据泄露本可以避免。违规的两个主要原因是可以避免的。

首先，许多入侵攻击的是在线系统中的已知漏洞。我们都习惯于更新电脑或手机上的操作系统。使用不同系统连接的数百或数千台设备的组织可能没有投入足够的资源用于安全，或者可能担心测试升级的兼容性，这使他们暴露在黑客搜索未更新系统的情况下。在疫情期间，员工在家工作，通常使用自己的设备，网络受到的保护较少，这加剧了这些挑战。

第二种是被称为社会工程的现象，在这种现象中，员工被骗继而主动提供密码。我们都收到过网络钓鱼邮件，要求我们登录一个熟悉的网站来处理紧急事项。这样做允许黑客获取用户的电子邮件地址或用户名以及相关密码。然后，黑客可以使用这些信息直接进入网站，或者可以找到用户可能去的其他地方。这些网络钓鱼攻击凸显了黑客所拥有的不对称优势。他们可以发出数百万封电子邮件，只需要一个人点击错误的链接就可以开始攻击。

当然，如果95%的数据泄露是可以预防的，那就意味着5%的数据泄露是不可预防的。例如，尽管许多漏洞是由系统中的已知漏洞造成的，但漏洞在被发现之前，根据定义是未知的。这种漏洞被称为零日漏洞，对黑客来说很有价值，因为它无法防御，它们经常被囤积或出售，有时还给负责的公司，以便他们创建补丁。

在零日攻击中，尽管无法阻止破坏，但可以减轻其影响(任何破坏都是如此，无论原因如何)。当然，最简单的方法是不存储数据，因为泄露数据可能会付出高昂的代价。例如，Ashley Madison的泄密事件因付费删除用户的详细信息被公布而变得更糟。但归根结底，数据对在线服务的运行至关重要，有些数据必须存储起来。然而，它并不一定要容易使用。如果操作正确，数据加密——即应用代码打乱数据——实际上是不可逆转的。然而，在一项针对入侵的分析中，只有1%的被入侵组织报告称，它们的数据已被加密，这对黑客来说毫无用处。

因此，这就是网络安全核心的经济悖论。受害者并非抽象或遥远:他们是这些公司自己的客户。数据泄露的经济成本可能包括损害企业声誉、流失客户、股价下跌、高管失业、修复损失的巨额成本以及诉讼。然而，可预防的数据泄露事件数量仍不断增加

通常，当出现这样的经济悖论时，当人们无法理解市场结果时，人们就会寻找市场失灵的原因。市场失灵是指市场参与者不能或不愿自行解决的市场故障。市场失灵只能由第三方来解决，通常是政府，但并非总是如此。这将我们带到了网络安全经济学，其中存在三种潜在的市场失灵，需要第三方解决方案。

公共物品

互联网模式的优势掩盖了其潜在的弱点。互联网协议是开放标准，通常依赖于开源软件，任何人都可以免费使用。

以公共广播电视为例，它是一种公共产品。一旦信号被传送，任何有电视的人都能看到这些频道。此外，我的观看并不会剥夺其他人观看的权利。换句话说，观看这个频道是免费的，这样做不会对任何人产生影响。像这样的公共产品有很多优点，有很多社会效益。然而，它们之所以是公开的，并不是因为任何人都可以使用它们;从某种意义上说，它们也是公共的，因为它们通常由政府提供便利或资助，即使是由私营公司提供。这是因为公共产品的搭便车问题。

想象一下，如果一家营利性公司决定提供一个公共广播频道，只播放教育和文化节目，不做广告，会发生什么。他们开始广播，并要求人们付费。人们很快就会意识到，即使他们不付费，只要其他人付费，他们也能收到这个频道，有些人会开始搭便车:不付费观看。这限制了营利性公司提供公共产品的动机，即使这些产品受到受众的重视，这是一种市场失灵。因此，许多国家的公共广播公司，如英国的BBC，向每个有电视的家庭收取强制性的服务费，以支付广播费用。

开源软件的开发也是一项公益事业。一旦某人完成了，所有人都可以使用，这可能导致搭便车。这并不是说，开源的代码不是研究人员、工程师自愿共同为所有人构建软件的一项成就，而且在许多情况下，开源的缺陷比专有软件少。

缺点是缺乏用于改进软件的资源，包括用于安全目的的资源。例如，2014年在OpenSSL中发现了“心脏出血”漏洞。OpenSSL是一个用于保护在线交易安全的开源软件库，被包括谷歌在内的许多大型网站和包括思科在内的服务器制造公司使用。事实证明，在过去的两年里，这个漏洞让用户容易受到黑客的攻击。它被认为是潜在的灾难，估计会影响到20%的安全web服务器，识别风险并解决它们的成本估计为5亿美元。

在此之后，人们很快就发现，开发OpenSSL的计划每年只收到2000美元的捐款，而且只有一名全职员工和几名志愿者在维护。核心基础设施计划很快建立起来，许多主要软件公司为OpenSSL和其他类似的关键开源计划提供资金。尽管如果漏洞被更广泛地利用，这个警钟可能会更糟，但它显示了软件的重要性与可用资源之间的不匹配。它还强调了开源的许多积极方面，这些方面不应该被忽视:志愿者在软件上工作的意愿，发现和报告错误的责任，以及一旦发现潜在的资源缺乏时的快速反应。

信息不对称

OpenSSL的故事凸显了网络安全的另一个市场失灵:作为消费者，我们几乎没有办法知道我们的软件、设备和系统的安全性。这在经济学中通常被称为信息不对称，这是我们生活中经常出现的一种市场失灵。当潜在事务的一方比另一方拥有更多关于事务的信息时，它就会出现。

当你买一辆二手车时，卖家比买家更了解他们汽车的状况;在购买汽车保险时，司机比保险公司更了解他们的驾驶习惯;进入一家餐厅，厨师比用餐者更了解食物的质量和厨房卫生。当真相大白的时候，可能已经太迟了。

这种市场失灵会影响人们购买或出售某种商品或服务的意愿。想想竞争市场中汽车保险的价格。公司必须设定每年的保险费和车主在发生事故时支付的免赔额。如果一家公司有一个针对普通司机的保费和免赔额计划，会发生什么?司机会很高兴地接受这个计划，因为考虑到他们的驾驶记录，这是一笔不错的交易。另一方面，优秀的车手会发现它太多了，然后去别的地方。因此，保险公司将服务更多的坏司机而不是好司机，并将不得不不断提高保费或免赔额，直到他们被最危险的司机所困。这种情况有时被称为死亡螺旋。

这家保险公司更愿意发出一个可信的信号，把好司机和坏司机区分开来。如果只有想要分享积极信息的一方——好司机——能够负担得起，信号才是可信的。例如，一家汽车保险公司可以提供两种计划——一种是高保费低免赔额，另一种是低保费高免赔额。一个知道自己开车不好的人不太可能愿意为每次事故支付高额免赔额，但一个好司机却可以承担得起。他们将通过每年缴纳较低的保险费，只在极少数情况下发生事故时才支付较高的免赔额，从而节省资金。

但有时候，没有办法让一个信号可信。你的牙膏可能会说它含有氟化物来帮助对抗蛀牙，但是你怎么确定呢?你怎么知道你的安全气囊在撞车时是否会起作用?你可以试驾一辆车，但你不能测试安全气囊。如果你的新吹风机掉在你的浴缸里，它真的会关闭吗?而且，当餐馆评论家坐在餐厅里时，他们无法知道厨房的卫生状况。

在某些情况下，私人组织将代表消费者进行测试:想想许多产品的消费者报告，汽车安全的欧洲新车评估计划，或UL(以前的保险商实验室)的电器。但在这些市场失灵的情况下，解决方案往往是政府。政府可以制定标准;它可以为消费者提供虚假索赔保护;它可以自己测试产品;并且它可以在失败的情况下施加责任。

这就引出了网络安全问题。从某种程度上讲，OpenSSL的情况与信息不对称本身无关;这是一个有关诚实的问题，即使是开发人员也不知道。另一方面，在进行调查之前，很少有人意识到他们对用如此少的资源支持的软件给予了多大的信任。Ashley Madison的案例是特殊的:用户通常依赖虚假的安全声明，特别是不知道他们花钱删除的记录实际上并没有被删除。公司知道这一点，但用户不知道。

更大的问题是，即使是那些在网络安全方面投入了大量资源的公司，也很难发出这样做的可信信号。作为一个用户，在选择一项重要的服务，如网上银行时，我们如何确定哪些是真正保护了资源，哪些只是简单地说他们已经这样做了?在此之前，雅虎宣布旗下所有30亿美元的业务用户账户被黑，普通用户怎么会知道他们使用雅虎的风险比Gmail更大呢?

我们如何确定哪些服务已经将资源置于保护之中，哪些服务只是简单地声明它们已经这样做了?

网络安全评级的一个来源与保险有关。鉴于企业容易受到黑客攻击，网络安全保险可能是一个巨大的市场。然而，由于缺乏有关攻击、暴露和风险的信息，保险公司很难提供网络风险政策。通过对寻求网络攻击保险的机构进行风险评级，一些公司开始帮助保险行业。例如，保险行业的一项举措是帮助客户识别降低网络安全风险的产品和服务。这样的联合保险倡议相对罕见，但有趣的是，它与1950年该行业为提高道路安全而采取的措施相似。

归根结底，如果企业不能对自己的网络安全水平做出可信的声明(由第三方认证)，并且知道他们的竞争对手也做不到这一点，那么企业为什么要在网络安全方面全面投资呢?用户在任何情况下都无法测试哪些服务具有最好的安全性，所以为什么要麻烦呢?在这种情况下，这就是信息不对称的最终市场失灵:在网络安全方面投入更多资金并不能保证带来好处，因此投资将是不够的。

正如我们接下来看到的，投资不足没有带来足够的负面影响，这让情况变得更糟。

负外部效应

负外部效应是市场失灵；另一个例子。当一项经济活动对他人产生了负面或积极的影响，而这种影响没有反映在成本上时，就会出现这种情况。结果是低效的，因为没有考虑到全面的社会影响，就生产了太多或太少的商品或服务。

如果你想卖掉你的房子，你邻居的财产状况可能会有影响。你的邻居修剪草坪，修剪树篱，粉刷房子，扔掉后院的垃圾，这些都能让你的房子更有吸引力。然而，在任何一天，你的邻居都不会把你的房子价值考虑到他或她的清理决定中。这就是负外部效应的影响。

通常情况下，如果道德劝说不起作用——无论是对你的邻居还是对化工厂——就需要第三方的行动。对邻居来说，这可能是一个可以设定和执行标准的业主协会。不过，通常需要政府采取行动来弥补。政府可以对污染设定最低标准，或者在某些情况下，比如含铅汽油，如果含量过高，它可以彻底禁止某些东西。

从经济角度来看，它还可以征收至少等于活动成本的税——例如，对产生污染的燃料征税或对污染本身征税。这迫使生产者通过考虑社会成本和经济成本，减少生产导致外部性的产品，将外部性内部化。

数据泄露可能会导致严重的负外部效应，因为被泄露的组织通常不会承担泄露的全部成本。Ashley Madison面临着一场大规模的集体诉讼，但最终仅以1120万美元(不包括法律费用)达成和解，根据提交的有效索赔，每个被暴露的用户最多只能获得3500美元。例如，那些支付了19美元删除账户的人有资格获得这笔钱的退款，因为他们的账户实际上并没有被删除，但他们没有因为个人生活受到的影响而获得更多的退款。也许从这个角度来看，该网站仍在营业并不令人惊讶。

当然，如果您不希望承担数据泄露的所有成本，那么您可能不会尽一切努力来防止它，从而导致可预防的数据泄露的市场失灵，无辜的各方承担了重大成本。特别是用户通常被排除在外。例如，即使没有直接的成本，从长远来看，有时数据泄露可能导致身份盗窃，几乎没有赔偿。即使用户能够追回资金，默认情况是他们必须起诉并证明具体的损害，而且很难将身份盗窃与特定的数据泄露联系起来。

这种情况很大程度上源于这样一个事实，即软件供应商不对错误或漏洞造成的损害负责。以密码管理器为例，该程序为每个站点的用户创建唯一且复杂的密码，然后在使用该站点时自动填写密码。这对用户来说是一种降低风险的好方法，因为密码重用是很常见的，也是黑客窃取一个密码进入多个网站的一种方式。然而，通过使用密码管理器，用户把所有的鸡蛋放在一个篮子里:如果密码管理器被成功攻破——至少有一次被攻破的恐慌——那么黑客就有可能获得用户的主密码，从而可以访问他或她的所有其他密码。

用户的成本可能是巨大的，他们可能会被盗窃、勒索等等。密码管理器被攻破的代价是多少?可能根本没有多少。对其中一些软件的条款和条件进行了审查，这些条款和条件以大写字母警告用户，他们可能只会收到软件成本的退款。

数据泄露的影响必须内部化，以减少泄露的外部性，而政府的行动是实现这一目标的最佳方式，如果不是唯一的方式的话。将保护转移到受数据泄露损害的用户和第三方的法律将有所帮助，尤其是在欺诈或疏忽的情况下。这显然是汽车行业在安全方面发生的事情。

有人可能会说，这将提高提供服务的成本，特别是免费的在线服务，但必须要有一个平衡。密码管理器、健康网站和财务账户都存放着值得保护的重要敏感数据。尽管这种保护需要花钱，但成本不仅可以保护公司及其用户免受入侵，还可以通过增加在线信任来带来更广泛的社会效益——这是一种很好的正外部性。在用户无法自行评估网络风险的情况下，这一点尤为重要。

结论

在过去的50年里，汽车工业在安全方面取得了巨大的进步。虽然由于行业的阻力，安全气囊等许多功能不得不强制执行，但今天在安全功能方面存在竞争。现在的汽车不仅有前部安全气囊，还有侧面安全气囊、头顶安全气囊、保护乘客膝盖的安全气囊，甚至还有保护行人不撞到挡风玻璃的外部安全气囊。除了在发生碰撞时保护乘客外，还有一些功能可以帮助避免碰撞。

为了帮助我们更多地了解安全性，我们不仅要制定法规，还要进行测试。我们可以了解我们即将购买的汽车的评级，而对其安全评级不满的汽车制造商可以改进它们。在缺陷导致多人死亡之后，一家安全气囊制造商最近在支付召回费用并向受害者家属支付和解金后破产。这提供了一种机制，即使在测试之后，也要确保保持质量，及时报告和修复缺陷。

这是网络安全必须发生的转变。

首先，有一些工具可以提高安全性。提供技术的公司可以使安全特性适应人类的行为，而不是希望人类自己适应安全特性。这包括提示更好的密码，督促用户更新软件或使其自动更新，以及自动加密设备和传输中的数据。其中大部分已经开始发生;应该鼓励并继续下去。

其中许多功能将随商业软件而来;与此同时，处于互联网核心的开放标准的开发人员将不得不继续解决安全问题，对关键的开源努力的支持将需要在需要时继续得到补充。这将有助于解决这些标准和软件的公共产品方面的问题。

第三方可以在制定标准、进行测试和提供安全评级方面发挥重要作用，以指导我们选择在线使用的服务和设备。我们从帮助保险公司评估风险的评级开始，这需要扩展到提供评级以帮助用户。最近，Swiss Digital Initiative推出了他们的数字信任标签(Digital Trust Label)，向用户提供有关安全、数据保护和在线服务其他要素的更多信息。这将有助于减少有关安全的信息的不对称。

最后，政府也可以发挥作用，通过有关数据保护的法律，提供授权，确保负责任地揭露数据泄露事件，并在需要时探索何时以及如何对关键软件加以处罚。

这些努力显然将花费时间和金钱来实施，并不能免除我们所有人的责任。然而，不这样做的代价也很高——不仅仅是直接受到数据泄露影响的组织和用户，更广泛地说，数字信任是至关重要的，因为我们的生活越来越多地转移到网上。