9月8日,2023腾讯全球数字生态大会召开,经济学者薛兆丰现场所做的主旨演讲《关于数字安全的经济规律和行动策略》,面向企业家人群深入浅出地辨析了在数智化时代,企业应当以何种心态面对网络安全风险,又应以何种成本投入观平衡企业安全建设与持续发展的关系。
薛兆丰说,企业对安全的投入,具有普遍的社会性,是正面的、主动的、有价值的。在数字时代的每一个人、每家企业,都有责任在享受数字化福利的同时,恪守数字义务,守护数字安全。
薛兆丰从四个维度总结了企业管理者以及安全负责人,应在数字时代具备的“数字安全免疫力”思维:一是要认识到投资安全就是产生收益;二是应与平台和用户按照“成本越低责任越大”的原则共同分担网络安全风险;三是要选择足够大的数字安全提供商,从而享受最大的安全网络效应;四是要做出足够的安全投资,从而获取一个最确定的安全的数字环境,以专注于自身擅长的业务。
(资料图片)
经济学者薛兆丰在2023腾讯全球数字生态大会现场
安全就是收益
成本越低,责任越大
随着数字经济发展,安全需求也水涨船高。根据《中国数字安全产业年度报告(2023)》,2022年度国内数字安全市场规模为981.2亿元,增长率为7.14%。工信部提出,重点行业网络安全投入占信息化投入比例不应低于10%,但调研显示我国70%的企业甚至未达到5%的基准线。除了安全意识尚待提升,另一个重要因素是企业管理者如何看待数字安全方面的“投资”与“回报”。
对此,薛兆丰以“锁”举例,“强调安全投入并非无谓损失(deadweight loss),安全的对立面在不断变化,但对安全的追求是恒定的。投资安全不是负面、被动、无奈的,而应当是正面、主动、有价值的,这本身就是一种收益。”
安全投入除了“个体性”还有“社会性”,数字时代万物互联、数据互通带来更多安全责任方,进一步放大了这种属性。薛兆丰援引经济学中的汉德公式(Learned Hand Formula),推导出避免安全事故成本与安全责任分担成反比,如果企业和个人都承担安全成本、参与安全体系,整个社会安全体系的成本就可以降到最低。
薛兆丰强调,每个人都应当在享受数字福利的同时恪守数字义务,数字安全绝不是孤立责任,而是具备非常广泛的社会性,如果受益于数字化又忽略数字安全,造成的负面事件破坏力很有可能超出企业预期,产生高昂的社会代价。
网络安全
需要头部平台带来最高的网络效应
明确了数字安全的价值和责任之后,企业如何去选择正确的产品?
薛兆丰认为,安全服务作为信息服务的一种,应当充分利用网络的富集效应:安全服务性能改善成本由参与者共同分享,平台的参与者越多,分摊成本越低,又反过来加速平台安全性能的提升。因此,企业应当选择最有积极性、最有感召力、最有能力的安全提供者,同时,一致的范式标准,也能从宏观整体层面稳固安全水平。
“一是能够代表新的理念和范式,具有创新的领先性;二是具有经济优势,即为多数客户提供完整、优秀但成本可控的解决方案;三是具有平台属性,使用者越多,平台性能越强,成本也越低。”薛兆丰如此总结优质数字安全提供者应当具有的特征。
获取专业化安全服务
投资商业的确定性,专注自身擅长的业务
完善的数字安全体系如何影响企业发展?薛兆丰表示,风险和不确定性不可能完全消除,但能通过保险机制进行交易和转移,购买安全服务就好像购买“确定性”,即使未来不可预测,也能让企业安心专注于自身擅长的业务,实现长远发展,这在越发达的经济体、越成熟的行业、越理性的企业身上体现得更加明显。
薛兆丰以某次攻防事件举例:企业因大规模数据泄露而遭到消费者诉讼和政府的处罚,商誉也受到严重损害。但这家企业由于事先购买了相应的保险,因此处罚成本的绝大部分转移给了保险公司,相当于“购买”了确定性。这个例子证明了企业转移风险行为的恰当性,但这家企业对数字安全投入的不充分,依然不能完全前置应对风险、不能完全消除网络攻击对企业造成的重大打击。薛教授表示,越成熟的行业、越理性的企业,越会追求用一定的成本投入,将风险交换成“确定性”,从而将精力集中在自己擅长的专业上。
2023年上半年,腾讯安全联合IDC在北京发布“数字安全免疫力”模型框架,提出用免疫的新范式,应对新时期下安全建设与企业发展的协同关系。模型提出,企业应以数据和业务安全为目标,建设弹性、自适应、可扩展的安全免疫体系,为企业在数字时代的高质量发展保驾护航。
这与薛兆丰呼吁的“重视安全责任,获取专业化服务,面向发展为‘确定性’投资”高度一致。企业应用“治未病”的思路替代“治已病”的攻防对抗理念。随着数字化进程加快,企业数字化体系的边界在不断拓展,安全风险和挑战不断增加,需要从被动安全变为主动防御,以企业数据和业务安全为目标,建设弹性、自适应、可扩展的安全免疫体系,应对新时期下安全建设与企业发展的协同关系。
编辑|蒙锦涛