责任改变一切

  • 布鲁斯·施奈188滚球网站尔
  • 海瑟安全
  • 2003年11月

德语翻译

计算机安全不是技术所能解决的问题。安全解决方案有一个技术组件,但安全从根本上来说是一个人民问题。在风险管理方面,企业像对待任何其他业务不确定性一样对待安全问题。组织优化其活动,以最小化成本风险产品,了解这些动机是了解当今计算机安全的关键。

把更多的钱花在安全上比问题的原始成本更没有意义,就像当把钱花在安全上更便宜的时候,为所造成的损害支付责任赔偿是没有意义的。企业寻找财务上的优势——以合理的成本提供足够的安全保障,例如——如果安全解决方案没有商业意义,公司不会这么做的。

这种对安全的思考方式解释了一些令人费解的安全现实。例如,从历史上看,大多数组织在网络安全上没有花很多钱。为什么?因为成本很高:时间,费用,功能降低,受挫的最终用户。(提高安全性经常会让最终用户感到沮丧。)另一方面,忽视安全和被黑客攻击的代价是,在计划中,相对较小。

我们在计算机安全领域喜欢认为它们是巨大的,但它们并没有真正影响公司的利润。从首席执行官的角度来看,风险包括坏消息、愤怒的客户和网络停机的可能性——这些都不是永久性的。结果是:一个聪明的组织做了别人做的事,再也没有了。事情正在改变;慢慢地,但他们正在改变。风险在增加,因此,支出也在增加。

同样的经济推理解释了为什么软件供应商花费如此少的精力来保护他们自己的产品。我们在计算机安全方面认为供应商都是一群白痴,但从他们自己的观点来看,他们的行为完全是理性的。在软件产品中增加好的安全性的成本基本上与提高网络安全性所产生的成本相同——高昂的费用,功能降低,延迟产品发布,烦人的用户——尽管忽略安全性的成本很小:偶尔会有坏消息,也许有些用户会转向竞争对手的产品。任何智能软件供应商都会大谈安全,但尽量少做,因为这才是最有经济意义的。

作为科学家,我们掌握了大量的安全技术。我们知道如何构建更安全的操作系统。我们知道如何建立更安全的访问控制系统。我们知道如何建立更安全的网络。可以肯定的是,还有技术问题,研究还在继续。但在现实世界中,网络安全是一个商业问题。解决这个问题的唯一方法就是集中精力于商业动机。我们需要改变安全的经济成本和效益。我们需要让组织处于最佳的位置来解决问题想要解决问题。

责任强制执行是必要的。请记住,我说过,坏安全性的成本不由产生坏安全性的软件供应商承担。在经济学中,这被称为外部性:由决策者以外的人承担的决策成本。

今天,安全问题没有真正的后果,或者拥有任何类型的低质量软件。更糟的是,市场往往奖励低质量。更确切地说,它奖励附加功能和及时的发布日期,即使他们是以牺牲质量为代价来的。

如果我们希望软件供应商减少功能,延长开发周期,投资于安全的软件开发过程,他们必须对产品中的安全漏洞负责。如果我们期望CEO在自己的网络安全上花费大量资源——尤其是客户的安全——他们必须对错误处理客户数据负责。基本上,我们必须调整风险方程,以便首席执行官真正关心解决问题。对资产负债表施加压力是最好的方法。

这可能以几种不同的方式发生。立法机构可以强制软件制造商遵守影响其他行业的相同产品责任法,从而将责任强加给计算机行业。如果软件制造商生产出有缺陷的产品,他们要承担损害赔偿责任。即使没有这个,法院可能会开始对软件制造商和用户施加惩罚等责任。

这已经开始发生了。美国法官强迫内政部将其网络关闭,因为它不能保证美国和印度数据的安全。几起案件导致对使用客户数据违反其隐私承诺的公司的处罚,或利用虚假陈述或欺诈收集数据。法官已经对网络不安全的公司发布了限制令,这些公司被用作攻击他人的渠道。或者,该行业可以联合起来定义自己的责任标准。

显然,这不是全部或全部。典型的软件攻击涉及许多方面。有一家公司出售的软件首先带有漏洞。有人写了攻击工具。袭击者自己也在那里,他用这个工具闯入了一个网络。这是网络的所有者,他被委托保卫这个网络。百分之百的责任不应该落在软件供应商的肩上,就像百分之百不应该落在攻击者或网络所有者身上一样。但如今,100%的成本都落在了网络所有者身上,那就到此为止。

不管发生什么,责任改变了一切。目前,软件公司没有理由不提供更多功能,更复杂,更多版本。责任迫使软件公司在改变某些事情之前三思而后行。责任迫使公司保护他们所委托的数据。

类别:计算机和信息安全安全经济学法律法规

布鲁斯·施耐尔的照片。188滚球网站

188滚球网站施耐尔的安全是一个个人网站。表达的意见不一定是IBM弹性.