建立安全事故披露和案例分析制度

 

安全事故的代價有以下幾項：應急響應和公共關係費用，律師費，IT系統體檢、取證調查費用，來自司法機構和主管行業/協會等的罰款和問責，各種使用者通知更新費用，另外，還有其它多種非直接的費用，例如IT系統清理、資料丟失帶來的智慧財產權和商譽的損失等。

“不披露”的責任取決於各國的立法。美國和日本等已開發國家在安全事故披露方面透過立法建立了較為完善的制度，故意隱匿安全事故會給相關方帶來嚴重的刑事、民事處罰。

安全事故發生並披露後的代價、和“不披露”的責任放在一起，較低的那個，我們可以稱之為“有效代價”，其高低是企業和組織評估安全投入是否合理合算的重要依據。

簡而言之，如果某類安全事故發生後的“有效代價”很低， 對於一個理性決策者來說，就沒有必要和理由投入過高的資源去預防或阻止它。相反的，如果某類安全事件發生後的“有效代價”極其高昂，理性的決策者一定會投入相對應的安全資源而將其降低到可以接受的水平。

另外，網路安全具有外在性（externality）。換句話說，個體在網路安全上的成效和意義超出該個體自身的利益，對個體之外群體的利益產生影響。與此類似的有傳染病、消防、吸菸等。對於具有此類特性的社會事務，通常透過立法來進行約束，取消個體的一些自主權，而進行強制要求。

舉例來說，當某電商網站被“拖庫”時，不僅該電商的業務受到影響，使用者資訊被洩露，可能被用以“撞庫”，而導致受影響使用者的其它資訊和業務受到損失。當沒有法律強行要求時，受損電商的理性選擇通常是將資料洩漏事件隱匿，或大事化小，從而降低自身的“代價”。但“捂蓋子”的做法卻增加了社會整體的潛在風險。相反地，如果有相關法律強制要求圍繞安全事件的一系列責任，透過大幅增加“隱匿”安全事故的成本，將其理性選擇轉向客觀透明地披露報告安全事故、通知受影響使用者、主動或協助第三方進行事故“根源分析”… 這樣長期實踐的綜合效果帶來的是社會整體風險的降低，以及有資料支撐的、更為科學的公眾安全實踐。

網路安全“事故”是客觀存在的，只不過有檢測到的和沒檢測到的、披露的和沒披露的、有根源分析的和不明所以的之分。

                    北京華清泰和科技有限公司：www .huaqingth.com