Avatar image Harlan V. Wei (aka. Wei Chen)

信息安全工程中的经济学问题

• Photo credits: micheile henderson @ Unsplash

Hero image for 信息安全工程中的经济学问题

This post is only available in Chinese at this moment.

这篇文章是我在阅读 Security Engineering 第八章时所写的读后感。其中一些关于大公司对信息使用的方式仅为我个人设想,并不一定是事实,请读者注意。

Ross Anderson 所著的 Security Engineering 一书中,第八章专门从经济学角度分析了信息安全工程中的种种问题。

这个角度很有趣。表面上看,信息安全工程似乎与经济学并无太大关联,但 Anderson 解释道,其实经济学与人类社会的方方面面都息息相关。从某种角度上说,经济学理论实际上是分析人类社会行为的工具,因为大多数人都是出于自利的动机来行动,不能指望人永远“为爱发电”。使用经济学的工具去分析各种行为的成本与收益,往往能够起到预测行为的效果。

信息产业内的大公司垄断的形成

资本主义依靠市场来调节人类社会的行为,但市场也有可能会失效,其中的一种情景就是市场垄断者。垄断者拥有绝对的定价权,他们通过哄抬价格来榨取剩余价值,而处于信息不对称另一端的消费者有时甚至并不知道定价的不合理性;他们也可以利用自己的市场支配地位来挤兑竞争者,从而进一步巩固自己的垄断地位。出于垄断的这一特性(造成市场失效、严重影响创新),各个国家一般都有针对垄断的法律法规来限制垄断者。

然而,信息时代的行业垄断者相比以往又有了一些新的特征。信息时代的垄断者并不直接操纵市场价格,实际上由于信息的边际成本几乎为零(信息可以随意复制),这些垄断者也没有任何价格弄够操纵。然而,信息行业内的垄断者却更容易形成,其中一个原因是网络效应:信息产品在建立伊始基本只有零散的用户,然而一旦超过某个阈值,网络效应开始形成支配,每个人都被迫开始使用这些产品,拒绝合作的成本大大提高;一个例子就是 Facebook 和 Instagram。

大公司垄断的巩固

这些垄断者也更容易巩固自己的垄断地位。一个巩固方法是大量收集用户信息,利用这些信息来提升自身产品竞争力。例如,Google 推出的浏览器产品会收集用户的访问历史以及使用习惯等信息,并利用这些信息计算用户画像,通过这些信息提升广告匹配度,从而提高广告点击率,吸引更多广告主在 Google 广告平台上进行投放。

另一个方法是营造信息的不对称,锁定用户,挤兑竞争对手。为了巩固自身的垄断地位,大公司会收集用户信息来了解用户需要什么样的新产品,并建立护城河将用户锁定(lock-in)在自己的生态系统内。例如,Google 发现用户经常在搜索过程中访问办公文档,便推出免费的文档服务 Google Docs,在搜索过程中搜集到的任何文档都可以直接在 Google Docs 中打开,而不需要付费使用需要下载的 Microsoft Office。在 Google Docs 中,用户还可以和其他用户协作,共同修改、审阅文档。这些文档数据自然能够下载下来,但首先它们不保证能够与 Microsoft Office 完全兼容,其次在大企业内将所有的员工都迁移到另一个平台上也是相当大的开销。

垄断对于信息安全的影响

Anderson 用了相当大的篇幅来介绍经济学方面的概念,以及科技公司如何形成垄断。那么垄断究竟对于信息安全有什么危害?

首先,垄断公司作为信息中枢,可能会滥用用户信息。例如,对于 Google 的广告业务,在拍卖竞价的过程中, Google 很可能会向第三方披露用户的相关信息,而第三方广告商利用差分计算等技术可以从这些信息中获取用户的相关数据,这就带来了极大的隐私隐患。此外,这些垄断公司拥有大量的用户信息,一旦发生数据泄漏事故,即使是相对来说规模较小的,其影响都将非常严重。

其次,表面上看,使用 Google 的搜索、文档及在线视频等产品都是免费的,但实际上这其中都隐含了大量的成本,例如迁移的成本:使用 Google 文档的用户自然可以随时切换到其他服务,但将所有文档从 Google 下载回来再上传到新的服务上去本身就是非常大的时间开销,更不要说 Google 文档可能还提供了一些独家功能,在新服务平台上这些功能很难找到替代品。对于个人用户来说,这些好像并不是并不会有非常显著的影响,然而对于一个企业来说,这种成本是巨大的。

另外,信息不对称的另外一个影响就是,用户会倾向于使用更便宜的产品,而不是更安全的。对于用户来说,市场上有两个功能相近的产品时,如果用户不能分辨出孰优孰劣,他们就会倾向于选择更便宜的产品;科技垄断公司为了抢占市场,会倾向于优先开发功能,安全性能作为用户不能立马直观感受到的方面就会被忽视,相当于将安全的成本与责任转嫁给了用户(大多数产品的使用条款里都会说明,使用产品而导致的损失由用户承担,大多数厂商修复安全问题只不过是为了保证产品能够继续在市场上销售下去),最终形成劣币驱逐良币的市场态势。

信息安全对于经济及社会的意义

信息产业自身也参与社会经济活动,因此我们在关注信息安全时自然也会关注这样一个问题,即研究信息安全到底能带给我们怎样的收益。最浅显的层次自然在于保证信息系统不受攻击,信息不会收到篡改。Anderson 则指出,这样的理解并不能帮助我们改变当前信息安全被大众轻视的现状。实际上,安全是一种平衡,过度地追求安全会导致我们所做的一切事情都需要相当高的成本;更进一步地说,安全是一种权力的分配,拥有权力的人在给定的系统中决定规则,达到最大化自身利益的目的。

此外,信息安全对于我们的意义并不在于我们个人,更多的时候也在于社会。就像工业生产向空气中排放污染物,生活在周边地区的人们并没有参与生产,却需要共同承受污染;信息安全也具有类似的属性,某个人不重视隐私与数据安全,最终却有可能会导致网络中的所有人共同蒙受威胁,造成更大规模的经济损失。

信息安全中研究的问题对于预防犯罪也非常重要。Anderson 指出,目前社会犯罪率表面上有下降的趋势,但更有可能的是犯罪只是从现实社会转移到了网络空间里,而网络空间中的犯罪往往更难追踪(有趣的是,正是因为我们重视信息安全,才反过来导致了罪犯也很难被追踪)。然而目前网络空间犯罪造成的信息安全损失也很难被准确估量,相关的出版物与政府部门为了起到预防作用、引起重视,往往都会将具体的数字夸大。

总结

Anderson 非常系统地描述了信息安全与经济之间的关系,他所提出的这些见解一方面剖析了信息安全为什么当前受到普遍忽视,另一方面也明确表示了信息安全的重要性。作为从业者的我们应当重视起来,在日常的实践中多加反思。