网络安全的经济学“原罪”

ds自身的网络安全防御形同虚设，已经到了令人发指的地步。施奈尔认为SolarWinds作为一家垄断性的行业巨头，以“一己之力”给美国全社会带来不可估量的安全灾难，值得深刻反思。

施奈尔认为，资本和市场奖励公司的这种冒险精神，也就是所谓的“利润私有化，亏损社会化”。重视网络安全和隐私保护的企业会在竞争中处于不利地位，而不重视网络安全甚至侵犯用户隐私的企业，更有可能“野蛮生长”，并最终给国家网络安全带来系统性风险。

以下是施奈尔文章原文，编译如下：

2020年初，为俄罗斯政府工作的黑客组织入侵SolarWinds公司生产的一款广泛使用的网络管理软件(Orion)。这次黑客攻击使攻击者可以访问SolarWinds大约18,000个客户的计算机网络，其中包括美国政府机构，如国土安全部和国务院、美国核研究实验室、政府承包商、IT公司和非政府机构。

这是一次规模空前的袭击，对美国国家安全产生重大影响。参议院情报委员会定于本周二举行听证会，对事件进行问责质询。

当然，美国政府自身因网络防御能力不足应受到强烈谴责。但是，如果仅将黑客事件归咎为技术缺陷将掩盖一个导致网络安全困局的根本性问题——现代市场经济积极地奖励公司快速攫取短期利润并积极削减成本，其激励结构几乎可以确保“成功的”高科技公司推向市场的一定是不安全的产品和服务。

像所有营利性公司一样，SolarWinds致力于通过最小化成本和最大化利润来提高股东价值。该公司主要由Silver Lake和Thoma Bravo拥有，Thoma Bravo本身就是因削减成本而闻名的私募股权公司。

能够成为行业领头羊，SolarWinds在网络安全上的投入自然是“低于行业平均水平”。该公司将其大部分软件工程外包给了便宜的海外程序员，尽管这通常会增加安全漏洞的风险。在2019年，在很长一段时间中，SolarWinds网络管理软件的更新服务器密码是妇孺皆知的“Solarwinds123”。显然，俄罗斯黑客不费吹灰之力就能入侵SolarWinds的电子邮件系统，并在那里潜伏了数月之久。

SolarWinds公司的网络安全顾问表示，在他提出加强网络安全的建议被忽略之后，他辞职了。

（编辑：应用网_丽江站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!