收益����、成本�����、責任與平臺����,薛兆豐四大關鍵詞說透企業(yè)數字安全觀
每日經濟新聞
2023-09-08 20:08:44
每經編輯 蒙錦濤
9月8日��,2023騰訊全球數字生態(tài)大會召開����,經濟學者薛兆豐現(xiàn)場所做的主旨演講《關于數字安全的經濟規(guī)律和行動策略》,面向企業(yè)家人群深入淺出地辨析了在數智化時代�����,企業(yè)應當以何種心態(tài)面對網絡安全風險,又應以何種成本投入觀平衡企業(yè)安全建設與持續(xù)發(fā)展的關系�����。
薛兆豐說�����,企業(yè)對安全的投入��,具有普遍的社會性����,是正面的、主動的����、有價值的。在數字時代的每一個人��、每家企業(yè)��,都有責任在享受數字化福利的同時���,恪守數字義務��,守護數字安全����。
薛兆豐從四個維度總結了企業(yè)管理者以及安全負責人,應在數字時代具備的“數字安全免疫力”思維:一是要認識到投資安全就是產生收益�����;二是應與平臺和用戶按照“成本越低責任越大”的原則共同分擔網絡安全風險��;三是要選擇足夠大的數字安全提供商�,從而享受最大的安全網絡效應����;四是要做出足夠的安全投資,從而獲取一個最確定的安全的數字環(huán)境��,以專注于自身擅長的業(yè)務����。
經濟學者薛兆豐在2023騰訊全球數字生態(tài)大會現(xiàn)場
安全就是收益
成本越低,責任越大
隨著數字經濟發(fā)展�,安全需求也水漲船高。根據《中國數字安全產業(yè)年度報告(2023)》�,2022年度國內數字安全市場規(guī)模為981.2億元,增長率為7.14%。工信部提出�����,重點行業(yè)網絡安全投入占信息化投入比例不應低于10%����,但調研顯示我國70%的企業(yè)甚至未達到5%的基準線。除了安全意識尚待提升����,另一個重要因素是企業(yè)管理者如何看待數字安全方面的“投資”與“回報”。
對此����,薛兆豐以“鎖”舉例,“強調安全投入并非無謂損失(deadweight loss)��,安全的對立面在不斷變化����,但對安全的追求是恒定的。投資安全不是負面����、被動���、無奈的,而應當是正面�����、主動�、有價值的,這本身就是一種收益��?���!?/span>
安全投入除了“個體性”還有“社會性”,數字時代萬物互聯(lián)��、數據互通帶來更多安全責任方����,進一步放大了這種屬性�����。薛兆豐援引經濟學中的漢德公式(Learned Hand Formula)���,推導出避免安全事故成本與安全責任分擔成反比��,如果企業(yè)和個人都承擔安全成本��、參與安全體系��,整個社會安全體系的成本就可以降到最低�。
薛兆豐強調,每個人都應當在享受數字福利的同時恪守數字義務�,數字安全絕不是孤立責任,而是具備非常廣泛的社會性��,如果受益于數字化又忽略數字安全�,造成的負面事件破壞力很有可能超出企業(yè)預期,產生高昂的社會代價�����。
網絡安全
需要頭部平臺帶來最高的網絡效應
明確了數字安全的價值和責任之后��,企業(yè)如何去選擇正確的產品�?
薛兆豐認為,安全服務作為信息服務的一種��,應當充分利用網絡的富集效應:安全服務性能改善成本由參與者共同分享����,平臺的參與者越多�,分攤成本越低��,又反過來加速平臺安全性能的提升���。因此��,企業(yè)應當選擇最有積極性���、最有感召力、最有能力的安全提供者���,同時�,一致的范式標準���,也能從宏觀整體層面穩(wěn)固安全水平。
“一是能夠代表新的理念和范式�����,具有創(chuàng)新的領先性���;二是具有經濟優(yōu)勢�,即為多數客戶提供完整、優(yōu)秀但成本可控的解決方案�����;三是具有平臺屬性�,使用者越多,平臺性能越強�����,成本也越低����。”薛兆豐如此總結優(yōu)質數字安全提供者應當具有的特征�。
獲取專業(yè)化安全服務
投資商業(yè)的確定性,專注自身擅長的業(yè)務
完善的數字安全體系如何影響企業(yè)發(fā)展���?薛兆豐表示�����,風險和不確定性不可能完全消除��,但能通過保險機制進行交易和轉移���,購買安全服務就好像購買“確定性”���,即使未來不可預測,也能讓企業(yè)安心專注于自身擅長的業(yè)務�,實現(xiàn)長遠發(fā)展,這在越發(fā)達的經濟體���、越成熟的行業(yè)�����、越理性的企業(yè)身上體現(xiàn)得更加明顯��。
薛兆豐以某次攻防事件舉例:企業(yè)因大規(guī)模數據泄露而遭到消費者訴訟和政府的處罰�����,商譽也受到嚴重損害��。但這家企業(yè)由于事先購買了相應的保險���,因此處罰成本的絕大部分轉移給了保險公司,相當于“購買”了確定性���。這個例子證明了企業(yè)轉移風險行為的恰當性���,但這家企業(yè)對數字安全投入的不充分,依然不能完全前置應對風險��、不能完全消除網絡攻擊對企業(yè)造成的重大打擊����。薛教授表示,越成熟的行業(yè)��、越理性的企業(yè)���,越會追求用一定的成本投入�����,將風險交換成“確定性”�,從而將精力集中在自己擅長的專業(yè)上���。
2023年上半年���,騰訊安全聯(lián)合IDC在北京發(fā)布“數字安全免疫力”模型框架��,提出用免疫的新范式�����,應對新時期下安全建設與企業(yè)發(fā)展的協(xié)同關系�。模型提出����,企業(yè)應以數據和業(yè)務安全為目標,建設彈性�、自適應、可擴展的安全免疫體系�����,為企業(yè)在數字時代的高質量發(fā)展保駕護航���。
這與薛兆豐呼吁的“重視安全責任��,獲取專業(yè)化服務��,面向發(fā)展為‘確定性’投資”高度一致��。企業(yè)應用“治未病”的思路替代“治已病”的攻防對抗理念��。隨著數字化進程加快����,企業(yè)數字化體系的邊界在不斷拓展�����,安全風險和挑戰(zhàn)不斷增加�����,需要從被動安全變?yōu)橹鲃臃烙?����,以企業(yè)數據和業(yè)務安全為目標���,建設彈性�����、自適應���、可擴展的安全免疫體系����,應對新時期下安全建設與企業(yè)發(fā)展的協(xié)同關系���。
編輯|蒙錦濤
