走出网络安全迷宫：为企业定义“合理”标准

译者按

数字经济时代企业面临着网络安全风险，不同类型的企业面对的风险不同且应对做法不一。网络安全的“合理”标准影响企业管控风险的方式及其肩负的监管责任。政策制定者、网络安全专业人士和企业领导者有责任携手实施积极的网络安全措施，降低网络安全风险。

来源：Brookings Institution（布鲁金斯学会）是美国著名智库之一，主要研究社会科学尤其是经济与发展、都市政策、政府、外交政策以及全球经济发展等议题，总部位于美国华盛顿特区。

作者：Christos Makridis，亚利桑那州立大学副研究员；Anne Boustead，亚利桑那大学助理教授；Scott Shackelford，印第安纳大学教授。

根据美国经济分析局（Bureau of Economic Analysis）的数据，数字经济目前占美国国内生产总值（GDP）的10%以上，在2017年至2022年期间以每年7.1%的速度增长，是其他经济部门的三倍多。虽然数字经济的发展带来的好处显而易见，但风险却往往隐蔽且难以量化，尤其是网络安全漏洞和黑客攻击带来的风险。

量化损害

人们对网络安全攻击的危害争论已久。例如，2018年兰德公司的一份报告（Dreyer等人，2018年）发现，全球网络犯罪的直接成本在2750亿美元到6.6万亿美元之间，总成本在7990亿美元到22.5万亿美元之间。还有人认为，平均每次攻击的成本在110万美元至445万美元之间。估算结果差别很大，部分原因是大多数研究要么采用调查的方法，询问受访者数据泄露的成本——这种方法得出的数字变化很大，而且往往有问题；要么采用股市的方法，比较数据泄露前后的收益率——这种方法得出的估算结果也不可靠，因为市场往往不知道如何反应。

最近的研究发现，一般规模、公开报道的数据泄露事件会对企业声誉有积极影响，这可能是因为媒体关注度和知名度随之提高。然而，最大的数据泄露事件则与声誉下降有关。这表明，数据泄露对一个企业的影响可能因情况、规模以及媒体报道的不同而大相径庭。这也表明，股市不一定能反映数据泄露的真实社会成本，这可能是由于数据泄露事件的模糊性（即损害尚未明确）或投资者关注度不足（即冷漠）所致。

为了更好地理解数据泄露的经济后果，Andreadis等人（2023年）利用2012年1月至2022年12月间市政债券的详细纵向数据，研究了特定州内不同县发行的债券收益率如何随着当地市政数据泄露事件而变化。他们发现，数据泄露对发行收益率产生了稳健且具有经济意义的影响，从而影响了筹集新资本和为公共支出融资的成本。这些影响是由媒体报道和显著性驱动的，凸显了有关攻击的信息在解释经济后果中的重要作用。由于样本量更大，且各市政当局之间的收益率差异更大，市政数据克服了现有成本估算中的许多常见问题。

最佳做法和“合理的网络安全”

专家普遍认为，网络安全威胁无法完全消除，但采取最佳做法可以大幅降低风险。

随着威胁的不断演变，一个重要问题始终存在：什么是“合理”的网络安全？这个问题的答案影响企业管控风险的方式，以及他们面临的监管责任。然而，由于缺乏明确的监管规定，因此只能由法院来制定适当的标准，而这有其自身的成本和收益。

“合理”的网络安全是什么，这不仅仅是学术问题，还具有实质性的法律和政策影响。从立法角度看，“合理”的概念界定具有挑战性，因为它需要在具体性（提供明确指导）和灵活性（应对网络领域的快速变化）之间取得平衡。法律先例同样模棱两可，法院通常考虑诸如财务资源和技术专长等因素，但没有标准定义作为基准。

从商业角度来看，“合理”一词同样令人困惑。各种不同的州层面的法律和行业规范为企业创造了一个复杂的环境。在国际上，这个问题也很突出。例如，加利福尼亚州的《消费者隐私法》（CPRA）和欧盟的《通用数据保护条例》（GDPR）都要求“合理”的网络安全，但“合理”的定义却因解释和背景的不同而大相径庭。

我们最近在《耶鲁法律与技术杂志》（Shackelford等人，2022年）上发表了一篇文章，利用与印第安纳州政府合作收集的数据来定义和帮助理解“合理”网络安全的概念，并研究了其对企业，尤其是中小型企业（SMEs）的影响。该研究基于我们从197家企业收集到的回复，我们对这些回复进行了分析，并将其与关于合理网络安全的法律文献和先例联系起来。研究发现，关键基础设施企业与非关键基础设施企业在安全做法方面存在一些系统性差异。此外，与大型企业相比，中小型企业由于网络安全最佳做法的不确定性而面临更多的困惑和风险。

网络安全做法：

关键基础设施与非关键基础设施

图1记录了关键基础设施企业与非关键基础设施企业在网络安全做法方面的显著差异（Shackelford等人，2022年）。关键基础设施企业通常涉及对国家运转至关重要的部门，如能源、交通、医疗和金融。这些部门受到破坏会对安全、经济、公共卫生和安全产生深远影响。

关键基础设施企业更有可能采取强有力的网络安全措施，部分原因是它们面临着更为严格、针对特定行业的法律要求，如医疗行业的HIPAA法案和金融行业的Sarbanes Oxley法案。值得注意的是，在这些关键基础设施企业中，采用领先框架的比例也相对较高，例如国家标准与技术研究院网络安全框架（NIST CSF）和互联网安全中心（CIS）关键安全控制框架。NIST CSF提供了计算机安全指导的高级政策框架，主要面向运营美国大部分关键基础设施的私营部门企业；而CIS框架则是为缓解一系列网络威胁而设计的具体控制措施。

此外，其他用户友好型方法也逐渐受到关注。印第安纳大学应用网络安全研究中心围绕信息安全实践制定了一套更广泛的管理原则，包括：全面性（我是否涵盖了所有方面？）、机遇性（我是否充分利用了环境？）、严谨性（什么是正确的行为，我如何确保它？）、最小化（这是否可以成为一个更小的目标？）、隔离性（这是否由具有有限交互作用的独立部分组成？）、容错性（如果这失败了会发生什么？）和比例性（这是否值得？）。该中心还在互联网安全中心（CIS）、Trusted CI框架和NIST CSF之间的核心安全控制设计方面开展了重要工作，这些控制有助于推广一套通用的操作程序。

关键基础设施企业与非关键基础设施企业在采纳网络安全做法方面的差异可能是由于前者面临的更严格的监管要求。鉴于网络攻击可能对关键基础设施造成的毁灭性后果，这些部门的公司往往受到更严格的审查和监管。然而，Desai和Makridis（2022年）认为，关键基础设施的法律定义并不充分——实际上，许多传统上不属于关键基础设施的企业，即专业服务领域的企业，也管理着敏感数据，并可能面临网络攻击的严重影响，因此这些部门也需要采取强有力的网络安全做法。从这个角度来说，我们应该将关键基础设施视为一种随时间变化、企业对其供应链中供应商暴露程度的衡量标准，而不是一种不变的行业分类。

规模很重要：

中小型企业与大型企业的网络安全做法

当我们比较中小型企业与大型企业的网络安全做法时，差异变得更加明显。尽管面临许多相同的威胁，我们发现与大型企业相比，中小型企业在采用全面的网络安全做法方面存在滞后。

考虑采用网络风险保险。长期以来，网络风险保险一直被认为是公共和私营部门各种规模的企业管控其网络风险的不可或缺的一部分。因此，几十年来，保险公司一直在试验网络风险保险。普华永道（PWC）的估算表明，2020年该市场价值超过25亿美元，预计到2030年将达到75亿美元。这一趋势可能会因监管和技术的发展以及勒索软件等威胁带来的损失不断增加而得到加强。然而，网络保险的采用一直比较缓慢。德勤（Deloitte）2019年发布的《中端市场网络保险调查报告》显示，成本和保额限制是购买网络风险保险的主要障碍。这些因素，尤其是部分由新冠疫情导致的成本上升，以及对“战争行为”和“敌对行为”等免责条款界限的困惑，在我们的研究中也很明显。与小型企业相比，近两倍的大中型企业表示已购买网络风险保险。

网络风险保险旨在减轻包括数据泄露、业务中断和网络损坏在内的各种网络事件造成的损失。然而，保费上涨以及部分协议条款的复杂性，为购买保险设置了一些障碍，尤其是在小型企业当中。从这个意义上说，尽管小型企业对网络保险的需求较低，但缺乏保险仍然会使中小型企业在网络事件发生后面临毁灭性的经济损失。

此外，较少中小型企业表示有指定人员或团队负责网络安全。这种专门资源和专业知识的缺乏会妨碍中小型企业及时检测和应对网络威胁，增加其脆弱性。而且，中小型企业在员工培训和意识提升计划方面的投入往往较少，而这些计划对于降低人为因素造成的网络风险至关重要。我们在印第安纳州的调查结果与相关文献一致，包括Aldasoro等人（2022年）的研究，他们发现大型企业往往在应对网络安全威胁方面投入最多的资源。

我们已经论证了这些差异可以归因于几个因素。其中最主要的是财力和人力资源有限。中小型企业往往预算紧张，导致网络安全在更紧迫的运营成本面前被边缘化。此外，网络威胁的快速演变以及实施网络安全措施的复杂性，使得中小型企业不知从何下手。

这些调查结果凸显了采用更全面的网络安全方法的迫切需求，特别是在中小企业中。数字技术在企业运营中的普遍应用意味着，无论企业规模或行业如何，都可能成为网络攻击的目标。

虽然没有放之四海而皆准的解决方案，但我们显然需要更好地支持中小企业的网络安全工作。这种支持可以采取多种形式，包括教育举措、采用最佳做法的激励措施，或专为小型企业设计的简化、可负担的网络安全解决方案。

确定最佳做法

虽然不存在能够消除网络安全风险的万全之策，因为所有代码都不可避免地存在漏洞，而且每个企业都可能因员工的行为判断失误而遭受网络钓鱼攻击，但我们仍然可以朝着一些标准努力。澳大利亚网络安全中心（ACSC）的“八项基本要素（Essential Eight）”是一种减少网络安全事件的策略。该策略被推荐给所有企业，以帮助他们保护自己的系统免受最常见的网络威胁，同时也是政府机构和关键基础设施的必备要求。“八项基本要素”是ACSC更广泛的“减少网络安全事件策略（Strategies to Mitigate Cyber Security Incidents）”的一部分。

“八项基本要素”包括四项用于减少有针对性的网络入侵的强制性策略，以及四项用于进一步保护数据和系统的额外策略。

· 应用程序白名单：这意味着只允许经过批准的应用程序在系统中运行。因此，任何未经批准的软件，包括潜在的恶意程序，都无法运行。

· 应用程序补丁：定期修补应用程序至关重要。这意味着一旦制造商发布补丁，应立即更新软件应用程序，这些补丁通常包括已知安全漏洞的修复。

· 禁用不受信任的宏（macros）：宏可以用来自动执行Office文档中的任务，但也可能被恶意使用。禁用宏（如从互联网接收的Office文件中禁用宏）有助于防止这些威胁。

· 用户应用程序加固：这包括禁用应用程序（如网络浏览器）中不需要的功能，从而最大限度地降低其受攻击的可能性。

· 限制管理权限：通过限制必要用户和应用程序的管理权限，可以降低恶意活动获得系统高级访问权限的可能性。

· 操作系统补丁：这与应用程序补丁类似。当制造商发布其操作系统的补丁时，应尽快应用这些补丁，以保护系统免受已知漏洞的侵害。

· 多因素身份验证：要求使用多种身份验证方法，可以显著降低未经授权访问的成功几率。

· 每日备份：定期备份重要数据并确保可以恢复这些数据至关重要。这可以在发生严重安全事件时提供安全保障。

对政策和实践的影响

2023年3月，拜登政府发布了一份新的国家网络安全战略，呼吁国会对软件漏洞和错误导致的“数据丢失和损害”追究责任，同时主张“市场对这些将易受攻击的产品或服务引入我们数字生态系统的实体施加的责任不足，而且往往还会给予奖励”。

这个观点有一定的道理。毕竟，正如我们之前讨论的那样，网络攻击的成本巨大且影响深远，据估算，到2025年损失将超过10万亿美元。尽管定量估算各不相同，但它们仍然揭示了问题所在。

我们目前所处的状况并非偶然：鉴于如此巨大的成本尚未显著改变决策的制定，我们正在经历网络安全市场的失灵。例如，使用成本收益分析来为网络安全投资决策辩护是出了名的困难，因为要确定可避免的成本是个挑战，而且决定下一笔投资的去向也很复杂，比如是投入多因素身份验证、加密、保险还是对员工进行网络安全培训。

正如拜登政府所建议的那样，至少对于软件开发商的过失造成的漏洞而言，追究责任有望理清思路和基本原理。责任制度重新调整激励机制的威力已在某些特定领域得到体现，这些领域之所以面临责任追究，是因为受到了一系列特定行业法律的约束，如金融行业的《格拉姆-里奇-布利雷法案》（Gramm-Leach Bliley）。例如，当你的信用卡被盗刷时，最终并不是由你来买单，而是由你的银行来买单。因此，金融行业有动力认真对待你的信息安全——这在他们每年的网络安全支出中得到了体现——平均每位员工投入2300美元，总额高达数千亿美元。如果银行需要承担数据泄露或欺诈性收费的责任，那么整个系统将会有所不同。

从更广泛的意义上讲，追究责任可以应对持续存在的网络安全挑战，极大地改变企业从被动应对网络安全挑战到主动防御的方式，对创新和软件成本产生重大影响。这也是对国会未能对上世纪90年代互联网平台和社交媒体公司网站上托管的内容追究责任的一种可理解的反应。

旨在改善中小企业网络安全做法的教育举措是另一个重要步骤。包括国家标准与技术研究所（NIST）、联邦贸易委员会和美国小企业管理局在内的一些政府机构，都发布了针对小企业的网络安全信息。然而，关于小企业如何获取网络安全信息并采取相应行动，仍有许多问题需要研究，这是鼓励这些重要经济参与者采取更有力的网络安全做法的关键一步。研究人员应重点研究如何确保这些教育资源能够到达目标受众并为其所用。这些信息可以为政策制定者提供指导，帮助他们了解如何最有效地向中小企业推广其教育举措。行业协会在教育过程中也扮演着重要角色，它们可以向其成员解释管理网络安全风险的最佳做法。

政策制定工作应承认并解决所观察到的中小企业与大企业之间在网络安全做法方面存在的差异。有针对性的干预措施可以包括通过税收制度提供激励，就像马里兰州所做的那样；提供支持；促进中小企业更好的了解最佳做法。具体来说，马里兰州网络安全投资激励税收抵免（CIITC）为特定网络安全企业投资提供33%的税收抵免，最高可达25万美元；该项目后来被扩展为更普遍的创新投资税收抵免。

此外，在定义“合理”的网络安全时，保持平衡至关重要。一种考虑信息敏感性和服务关键性等因素的变动量表方法，同时辅以让人联想到“八项基本要素”缓解策略的基线要求，似乎是一种切实可行的方法。诸如俄亥俄州的避风港法案等立法，为企业提供选择不同网络安全框架的机会，可作为未来立法工作的典范。特别是，该法律的明确性和它为受保护实体提供的灵活性，使其有别于其他州在立法中不设立最低注意标准的要求。例如，科罗拉多州的法律要求受保护实体采取“合理措施保护个人身份信息”，但它是以一般义务而非技术要求的形式，来规定实体必须采取的措施。

我们发现，特别是在中小企业和地方政府层面，对于下一笔网络安全投资的投向存在大量问题。或许可以从关键基础设施供应商和“八项基本要素”中规定的基本要素（如多因素身份验证）入手，建立一个清晰的网络安全“底线”，这将有助于澄清这一问题。事实上，拜登政府本身已呼吁国会为关键基础设施供应商“定义最低预期网络安全做法或结果”。

但是，这只是在网络安全政策的迷宫中前行的第一步。我们的研究发现，目前迫切需要协助实施积极的网络安全措施，并确保诸如制定和更新事件响应计划等基本措施得到广泛实践。

网络风险保险也将继续在网络风险缓解方面发挥重要作用，但包括地方政府和非营利组织在内的许多组织都无法承担其费用。那些有能力承担的则对保险条款、免责条款及其选择感到困惑。在这方面，民间社会、学术界和政策制定者可以提供帮助，例如帮助公共部门实体更好地了解其面临的网络风险，以及他们可能需要什么样的保险来降低风险。

在数字时代，追求“合理”的网络安全是一项复杂但必要的工作。没有任何一份清单或框架能独自实现这一目标。但是，通过要求开发者对代码漏洞承担责任，并明确所有关键基础设施运营商的网络安全操作要求，将大有裨益。毕竟，中小企业特别容易受到攻击，而且往往难以理解并实施有效的网络安全措施。通过提供明确的指导、提供支持和激励采用强有力的网络安全做法，我们可以开始缩小目前存在的网络安全差距。政策制定者、网络安全专业人士和企业领导者都有责任共同揭开网络安全的神秘面纱。

编译 | 韦武

排版 | 韦武

审核 | 裴轶

声明：本文来自数据治理与竞争法研究，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。