收益��、成本�����、責(zé)任與平臺����,薛兆豐四大關(guān)鍵詞說透企業(yè)數(shù)字安全觀
每日經(jīng)濟(jì)新聞
2023-09-08 20:08:44
每經(jīng)編輯 蒙錦濤
9月8日,2023騰訊全球數(shù)字生態(tài)大會召開�����,經(jīng)濟(jì)學(xué)者薛兆豐現(xiàn)場所做的主旨演講《關(guān)于數(shù)字安全的經(jīng)濟(jì)規(guī)律和行動策略》,面向企業(yè)家人群深入淺出地辨析了在數(shù)智化時(shí)代�����,企業(yè)應(yīng)當(dāng)以何種心態(tài)面對網(wǎng)絡(luò)安全風(fēng)險(xiǎn)��,又應(yīng)以何種成本投入觀平衡企業(yè)安全建設(shè)與持續(xù)發(fā)展的關(guān)系��。
薛兆豐說���,企業(yè)對安全的投入�,具有普遍的社會性��,是正面的�、主動的���、有價(jià)值的�。在數(shù)字時(shí)代的每一個(gè)人����、每家企業(yè),都有責(zé)任在享受數(shù)字化福利的同時(shí),恪守?cái)?shù)字義務(wù)���,守護(hù)數(shù)字安全��。
薛兆豐從四個(gè)維度總結(jié)了企業(yè)管理者以及安全負(fù)責(zé)人�,應(yīng)在數(shù)字時(shí)代具備的“數(shù)字安全免疫力”思維:一是要認(rèn)識到投資安全就是產(chǎn)生收益��;二是應(yīng)與平臺和用戶按照“成本越低責(zé)任越大”的原則共同分擔(dān)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)�����;三是要選擇足夠大的數(shù)字安全提供商�����,從而享受最大的安全網(wǎng)絡(luò)效應(yīng)���;四是要做出足夠的安全投資���,從而獲取一個(gè)最確定的安全的數(shù)字環(huán)境,以專注于自身擅長的業(yè)務(wù)���。
經(jīng)濟(jì)學(xué)者薛兆豐在2023騰訊全球數(shù)字生態(tài)大會現(xiàn)場
安全就是收益
成本越低���,責(zé)任越大
隨著數(shù)字經(jīng)濟(jì)發(fā)展�����,安全需求也水漲船高�����。根據(jù)《中國數(shù)字安全產(chǎn)業(yè)年度報(bào)告(2023)》��,2022年度國內(nèi)數(shù)字安全市場規(guī)模為981.2億元�,增長率為7.14%���。工信部提出�����,重點(diǎn)行業(yè)網(wǎng)絡(luò)安全投入占信息化投入比例不應(yīng)低于10%,但調(diào)研顯示我國70%的企業(yè)甚至未達(dá)到5%的基準(zhǔn)線�。除了安全意識尚待提升,另一個(gè)重要因素是企業(yè)管理者如何看待數(shù)字安全方面的“投資”與“回報(bào)”��。
對此���,薛兆豐以“鎖”舉例���,“強(qiáng)調(diào)安全投入并非無謂損失(deadweight loss)�����,安全的對立面在不斷變化�����,但對安全的追求是恒定的����。投資安全不是負(fù)面�����、被動�����、無奈的�,而應(yīng)當(dāng)是正面、主動��、有價(jià)值的,這本身就是一種收益����。”
安全投入除了“個(gè)體性”還有“社會性”�,數(shù)字時(shí)代萬物互聯(lián)、數(shù)據(jù)互通帶來更多安全責(zé)任方����,進(jìn)一步放大了這種屬性。薛兆豐援引經(jīng)濟(jì)學(xué)中的漢德公式(Learned Hand Formula)����,推導(dǎo)出避免安全事故成本與安全責(zé)任分擔(dān)成反比,如果企業(yè)和個(gè)人都承擔(dān)安全成本�、參與安全體系,整個(gè)社會安全體系的成本就可以降到最低���。
薛兆豐強(qiáng)調(diào)����,每個(gè)人都應(yīng)當(dāng)在享受數(shù)字福利的同時(shí)恪守?cái)?shù)字義務(wù)�����,數(shù)字安全絕不是孤立責(zé)任��,而是具備非常廣泛的社會性�����,如果受益于數(shù)字化又忽略數(shù)字安全�����,造成的負(fù)面事件破壞力很有可能超出企業(yè)預(yù)期���,產(chǎn)生高昂的社會代價(jià)��。
網(wǎng)絡(luò)安全
需要頭部平臺帶來最高的網(wǎng)絡(luò)效應(yīng)
明確了數(shù)字安全的價(jià)值和責(zé)任之后��,企業(yè)如何去選擇正確的產(chǎn)品�?
薛兆豐認(rèn)為���,安全服務(wù)作為信息服務(wù)的一種���,應(yīng)當(dāng)充分利用網(wǎng)絡(luò)的富集效應(yīng):安全服務(wù)性能改善成本由參與者共同分享,平臺的參與者越多�����,分?jǐn)偝杀驹降停址催^來加速平臺安全性能的提升�。因此,企業(yè)應(yīng)當(dāng)選擇最有積極性��、最有感召力��、最有能力的安全提供者����,同時(shí),一致的范式標(biāo)準(zhǔn)�,也能從宏觀整體層面穩(wěn)固安全水平。
“一是能夠代表新的理念和范式���,具有創(chuàng)新的領(lǐng)先性�����;二是具有經(jīng)濟(jì)優(yōu)勢����,即為多數(shù)客戶提供完整、優(yōu)秀但成本可控的解決方案�����;三是具有平臺屬性���,使用者越多,平臺性能越強(qiáng)���,成本也越低�?����!毖φ棕S如此總結(jié)優(yōu)質(zhì)數(shù)字安全提供者應(yīng)當(dāng)具有的特征����。
獲取專業(yè)化安全服務(wù)
投資商業(yè)的確定性,專注自身擅長的業(yè)務(wù)
完善的數(shù)字安全體系如何影響企業(yè)發(fā)展�����?薛兆豐表示���,風(fēng)險(xiǎn)和不確定性不可能完全消除����,但能通過保險(xiǎn)機(jī)制進(jìn)行交易和轉(zhuǎn)移,購買安全服務(wù)就好像購買“確定性”�����,即使未來不可預(yù)測�,也能讓企業(yè)安心專注于自身擅長的業(yè)務(wù),實(shí)現(xiàn)長遠(yuǎn)發(fā)展���,這在越發(fā)達(dá)的經(jīng)濟(jì)體���、越成熟的行業(yè)、越理性的企業(yè)身上體現(xiàn)得更加明顯����。
薛兆豐以某次攻防事件舉例:企業(yè)因大規(guī)模數(shù)據(jù)泄露而遭到消費(fèi)者訴訟和政府的處罰,商譽(yù)也受到嚴(yán)重?fù)p害��。但這家企業(yè)由于事先購買了相應(yīng)的保險(xiǎn)�����,因此處罰成本的絕大部分轉(zhuǎn)移給了保險(xiǎn)公司,相當(dāng)于“購買”了確定性��。這個(gè)例子證明了企業(yè)轉(zhuǎn)移風(fēng)險(xiǎn)行為的恰當(dāng)性�����,但這家企業(yè)對數(shù)字安全投入的不充分�,依然不能完全前置應(yīng)對風(fēng)險(xiǎn)��、不能完全消除網(wǎng)絡(luò)攻擊對企業(yè)造成的重大打擊�。薛教授表示,越成熟的行業(yè)�、越理性的企業(yè),越會追求用一定的成本投入��,將風(fēng)險(xiǎn)交換成“確定性”����,從而將精力集中在自己擅長的專業(yè)上。
2023年上半年���,騰訊安全聯(lián)合IDC在北京發(fā)布“數(shù)字安全免疫力”模型框架���,提出用免疫的新范式,應(yīng)對新時(shí)期下安全建設(shè)與企業(yè)發(fā)展的協(xié)同關(guān)系。模型提出���,企業(yè)應(yīng)以數(shù)據(jù)和業(yè)務(wù)安全為目標(biāo)����,建設(shè)彈性�、自適應(yīng)、可擴(kuò)展的安全免疫體系�,為企業(yè)在數(shù)字時(shí)代的高質(zhì)量發(fā)展保駕護(hù)航。
這與薛兆豐呼吁的“重視安全責(zé)任�����,獲取專業(yè)化服務(wù)�,面向發(fā)展為‘確定性’投資”高度一致。企業(yè)應(yīng)用“治未病”的思路替代“治已病”的攻防對抗理念��。隨著數(shù)字化進(jìn)程加快�����,企業(yè)數(shù)字化體系的邊界在不斷拓展�����,安全風(fēng)險(xiǎn)和挑戰(zhàn)不斷增加,需要從被動安全變?yōu)橹鲃臃烙?,以企業(yè)數(shù)據(jù)和業(yè)務(wù)安全為目標(biāo),建設(shè)彈性����、自適應(yīng)、可擴(kuò)展的安全免疫體系�,應(yīng)對新時(shí)期下安全建設(shè)與企業(yè)發(fā)展的協(xié)同關(guān)系。
編輯|蒙錦濤
