网络攻击:经济政策的挑战

长期以来，网络风险一直被认为是国家安全领域令人担忧的一个原因，现在从宏观经济角度来看，它也被视为一种威胁，因为越来越多的附加值是通过信息通信技术(ict)带来的。2012年，仅信息产业就占经合组织地区增加值总额的6%、就业人数的4%和固定投资总额的12%，而信息通信技术相关专利占根据《专利合作条约》提交的专利总额的40%(经合组织2014,2015)。2014年，数字行业(所有ict支持行业的一个小样本)雇佣了140万人，占英国经济的7.3%(英国文化、媒体和体育部2016年)。对于数字技术为整个经济提供的增加值规模而言，这是非常保守的下限。世界银行(2016年)通过描绘互联网生活中的典型一天(图1)提出了另一种关于数字化普及的提示性描述。

图1根据世界银行的数据，这是互联网上的一天

源:世界银行《2016年世界发展报告》团队，http://www.internetlivestats.com/one-second(2015年5月29日编制)

数字化不仅传播迅速，而且就其本质而言，它加深了经济内部的相互联系水平。因此，网络攻击的影响超出了对个人受害者造成的损害。出于同样的原因，对网络不安全的普遍认知可能会减缓知识密集型部门的技术采用和贸易整合的步伐，从而损害生产力(世界经济论坛2014年)。

为了让网络空间更安全，有必要明白网络安全不仅仅是一个好的编码问题;如果不是主要的话，这也是一个经济激励的问题。

早在15年前，Anderson(2001)就指出，不同国家自动柜员机(ATM)诈骗的发生率取决于责任规则，而不是诈骗者的技术能力。在美国，除非能证明客户的犯罪意图，否则由银行承担损失，与损失由持卡人承担的司法管辖区相比，欺诈的频率要低得多

被称为高级持续威胁(apt)的复杂攻击，通常由国家赞助，当然是网络安全问题的重要组成部分(国际与战略研究中心2016年);然而，简单的攻击往往会造成重大破坏，通过基本的安全训练、广泛可用的防御软件和良好的组织实践，就可以阻止这种攻击。2013年，美国零售商塔吉特(Target)的POS系统被攻破，造成约3亿美元的损失;犯罪分子通过从一家低安全性的空调服务提供商窃取的账户进入系统。2017年，黑客使用一种被称为“域名系统(DNS)劫持”的基本技术，将一家巴西银行的所有在线业务重定向到虚假(“钓鱼”)网站，持续约5个小时，窃取了每个试图登录的客户的凭据。

物联网的发展(图2)——在物理世界中执行操作的联网或“智能”设备的网络——将打开一个新的、未知的领域，并体现了具有巨大潜力的新技术与如果不从技术和经济层面解决网络安全问题，它们的采用将面临挫折的风险之间的权衡。以物联网为媒介的攻击已经发生:2016年，约有10万台数字录像机和网络摄像机被用于破坏Twitter和Reddit等社交平台的运营;2017年，被黑客入侵的自动售货机导致一所大学全部下线。

图2物联网的预期增长

源: IHS - Markit，据福布斯报道

政策解决方案和政策挑战

此类事件可以通过一些政策来预防，这些政策抵消了各种市场失灵，这些失灵阻碍了网络安全领域的最佳私人投资。除了政治意愿之外，制定良好政策的道路上还有两个障碍:对网络安全微观经济学的不完全理解，以及缺乏可靠、透明的网络攻击数据。

Anderson和Moore(2011)概述了网络不安全的关键微观经济决定因素。首先，硬件和软件市场具有网络外部性的特征，即产品的使用价值随着用户数量的增加而增加网络外部性带来了先发优势:最快吸引足够大用户群的生产者制定了标准，这反过来又带来了更多用户。这种机制奠定了硬件和软件市场的寡头垄断结构，并产生了“现在发布，以后打补丁”的开发模式;由于客户仍然不认为安全性是必要的，在争取最短时间上市的过程中，安全性被忽视了，导致了许多固有的弱点。

其次，网络漏洞具有负面外部性:入侵的成本可能不会完全落在直接受害者身上。许多计算机系统存储关于系统所有者以外的实体的有价值的信息。例如，针对健康保险公司Anthem和电子邮件提供商Yahoo!损坏了敏感医疗记录或个人通信被不当访问的所有客户。此外，黑客经常使用间接攻击技术——而不是直接攻击他们的最终目标，他们首先控制他们能找到的任何未受保护的机器，然后从这些机器发起攻击。一些被劫持的计算机网络，被称为僵尸网络，由数百万台计算机组成。

尽管如此，人们对网络风险的认识仍然普遍较低，即使不存在任何形式的外部性，许多IT系统用户也不会在安全方面投入足够的资金，因为他们不了解风险。即使他们这样做了，他们和防御系统供应商之间仍然存在委托代理问题，导致保护不佳。迄今为止，硬件和软件生产商一直回避为不安全产品承担责任，他们辩称，让计算机代码中不可避免的错误承担经济负担，将扼杀创新的动力;正如最近所指出的《经济学人》(2017)，公众的看法和立法者的立场可能会在被黑的智能汽车撞倒某人的那一刻发生巨大变化。

人们提出了几种消除负面外部性的方案，其中多数旨在平衡将泄露成本内部化的需要，以及不应强迫普通公民赔偿其物联网洗衣机被劫持、并被用来攻击一家石油公司的想法。一个例子是选择性责任，即互联网服务提供商(isp)等专业代理将承担在其管理的网络上传输的攻击的部分成本

大多数经合组织国家开始制定网络安全立法，为市场失灵提供部分解决方案，例如，强制要求个人数据的保管人向信息的所有者披露被非法访问的违规行为，或对关键基础设施施加安全要求，这些基础设施的失效可能会损害普通公众。在技术密集型、注重安全的部门，严格的国家法律义务辅以国际监管标准和最佳做法。

金融部门对各种类型的黑客都非常有吸引力(Maurer et al. 2017)，它很好地说明了这些层次之间的相互作用。在发达经济体，与大多数其他企业相比，立法要求金融机构接受更严格的审查、更严格的合规要求和更严格的责任规定。例如，从2018年开始，欧盟的支付服务提供商将必须遵守新的支付服务指令(PSD2)，该指令要求对所有数字支付实施非常高的网络安全标准

央行和其他金融监管机构还可以对受监管实体施加义务，例如披露重大网络事件，同时合作制定安全标准，这些标准虽然不具约束力，但得到国际认可，并为国家法律的实施提供参考。国际清算银行和国际证券委员会组织促进了加强金融系统安全的跨国努力;这导致了《金融市场基础设施网络弹性指南》(BIS和IOSCO 2016)的出台，该指南不仅限于技术方面，还涉及治理、人为因素的作用以及信息共享的重要性。

所有这些努力都将面临新危机的风险降至最低，但并不能完全消除。例如，一家大型金融机构可能完全有偿付能力，但却因为网络攻击而无法运营。确保任何单一行业的安全虽然有用，但仍然不够。需要制定经济层面的政策——如果周边环境不安全，网络空间的任何一点都不可能是安全的。与大多数现有立法相反，政策应适用于所有类型的攻击，而不仅仅是涉及个人数据的攻击，适用于所有经济主体，而不仅仅是关键基础设施或某些服务的提供商。

数据差距:一个关键的政策挑战

良好的政策设计受到严重缺乏数据的阻碍。普通企业有多脆弱?他们被攻击的频率是多少?保安的成本是多少?我们所知甚少。媒体最常引用的统计数据是由专门从事网络防御的公司提供的，这些公司存在明显的利益冲突，而底层微观层面的信息并不公开。很少有人试图提供具有适当质量和透明度的数据。

其中一个例子是英国政府在2016年首次进行的网络安全漏洞调查;最新的研究结果于2017年4月发布(英国文化、媒体和体育部2017年)。根据调查，46%的英国公司在采访前的12个月内至少遭受过一次网络攻击，攻击事件的发生率随着规模的增加而增加，在大型企业中最高达到68%(图3)。虽然攻击造成的平均损失相对较小(大型企业为19,600英镑)，但分布不对称;数据集中记录的最具破坏性的数据泄露意味着仅恢复成本就高达50万英镑。

图3针对英国公司的网络攻击发生率

源:英国政府。

意大利银行(Biancotti 2017)利用长期以来对意大利制造业和非金融服务公司的调查进行了类似的，但不太详细的研究。[5]尽管只有不到2%的企业宣称他们没有部署任何网络安全措施，但在2015年9月至2016年9月期间，约有三分之一的企业遭受了至少一些网络攻击的损害(表1)。开发了一个归算模型，以解释一些受访者不愿意报告或无法检测攻击;在观察期间，受到攻击的公司比例攀升至45.2家，其中大型、高科技和国际暴露企业的情况比平均水平更糟。

表1意大利制造业和非金融服务企业遭受至少一次网络攻击的比例

这些数据应该给政府和公共机构敲响警钟。为了在技术、经济和法律层面制定适当的应对措施，迫切需要更多这类信息，最好是基于国际统一的定义，并免费提供给研究人员。

作者注:本文所表达的观点不应归因于意大利银行。

参考文献

安德森，R (2001)， '为什么信息安全是困难的——一个经济学的视角”,第十七届计算机安全应用年会论文集。

Anderson, R和T Moore(2011)，“互联网安全”，载于Peitz, M.和J. Waldfogel(编著)，牛津数字经济手册牛津大学出版社出版。

Biancotti, C (2017)， '网络攻击:来自意大利银行商业调查的初步证据’，临时论文没有。373号，意大利银行。

国际清算银行和国际证券委员会组织理事会(2016年)，'金融市场基础设施网络弹性指南”。

战略与国际研究中心(2016)，'2006年以来的重大网络事件”。

毛雷尔，T, A利未人和G Perkovitch (2017)， '建立一个反对操纵金融数据完整性的全球规范，卡内基国际和平基金会的白皮书。

梅塞施密特，J (2013)， '黑客攻击:允许非国家行为者进行报复性黑客攻击，以应对跨界网络伤害”,哥伦比亚跨国法杂志，52(1)。

Oecd (2014)， '衡量数字经济。新视角”。

Oecd(2015)，’数字经济展望”。

雷蒙德，M, G nojem和A Brill (2015)， '私营部门回扣与意外后果定律，民主与技术中心。

《经济学人》(2017),“如何管理计算机安全威胁”。

英国文化、媒体和体育部(2017)，'网络安全漏洞调查:主要报告”。

英国文化、媒体和体育部(2016年)，'数码行业经济预测-统计数字公布．

世界银行(2016)，《2016年世界发展报告:数字红利》．

世界经济论坛(2014)，'超连接世界中的风险与责任”。

尾注

最终，面对日益增长的犯罪，几乎所有地方的银行都承担了责任，从而引发了对自动取款机安全的充分投资。

这在操作系统的情况下尤其明显——广泛安装的操作系统对应用程序开发人员更有吸引力，而支持许多应用程序的操作系统对用户更有吸引力。另一个例子是消息平台，如果它们不连接任何人，则其值为零。

关于网络领域的自卫权也存在激烈的争论，“黑客攻击”有时被认为是对来自非合作管辖区的许多攻击的最佳回应之一(Messerschmidt 2013)，有时被严重批评为进一步不安全的来源(Raymond et al. 2015)。

在PSD2框架中，安全性将通过涉及四个领域的整体方法得到保证:用户、支付服务提供商、通信基础设施和当局。

这些是:工业及服务业企业调查(https://www.bancaditalia.it/pubblicazioni/indagine-imprese/index.html)，关注结构变数，以及工业及服务业企业商业前景调查(https://www.bancaditalia.it/pubblicazioni/sondaggio-imprese/index.html)，关注短期动态。这两项活动每年都会进行。