數(shù)據(jù)隱私之殤

1989年，單殼船體的?？松ね郀柕掀澨?hào)（Exxon Valdez）超級(jí)油輪在阿拉斯加的威廉王子灣（Prince William Sound）擱淺，向周圍水域泄漏了25萬桶石油。這是當(dāng)時(shí)美國最嚴(yán)重的一起海上原油泄漏事故，重創(chuàng)了這艘油輪的所有者?？松凸镜穆曌u(yù)。該公司為清理水面和支付索賠花費(fèi)了30億美元。為了提高安全性，美國政府下令逐步淘汰?？松ね郀柕掀澨?hào)這種單殼船。現(xiàn)在，埃克森后來合并產(chǎn)生的?？松梨谠谌蚴褂玫乃写欢际请p殼船。但還不止于此。這場(chǎng)災(zāi)難令后來的?？松梨谠趦?nèi)部形成了一種宗教般的紀(jì)律文化，正是這種文化幫助這家公司成為了今天的盈利巨獸。

30年后的今天，由于網(wǎng)絡(luò)犯罪不斷激增，數(shù)字企業(yè)都在費(fèi)力應(yīng)對(duì)自己的“?？松ね郀柕掀潟r(shí)刻”。最近一家是市值420億美元的美國大型銀行“第一資本”（Capital One）。7月29日該銀行透露，它被黑客竊取了1.06億信用卡客戶和申請(qǐng)人的個(gè)人信息及財(cái)務(wù)數(shù)據(jù)。檢方聲稱，33歲的軟件開發(fā)員佩奇·湯普森（Paige Thompson）在4個(gè)月的時(shí)間里突破配置錯(cuò)誤的防火墻侵入了亞馬遜云計(jì)算平臺(tái)托管的“第一資本”的服務(wù)器。奇怪的是，甚至在這名黑客在社交媒體上匿名吹噓此事之后，銀行都沒發(fā)現(xiàn)問題—直到有人暗中告知。對(duì)于一家一直以來被視為擅長技術(shù)的金融公司而言，這是一記重?fù)簟?/p>

這起事件與石油泄漏事故有兩點(diǎn)相似之處。白宮網(wǎng)絡(luò)安全前顧問羅伯特·克納克（Robert Knake）與人合著了一本網(wǎng)絡(luò)安全方面的新書《第五戰(zhàn)爭(zhēng)領(lǐng)域》（The Fifth Domain）。克納克認(rèn)為黑客對(duì)Web應(yīng)用防火墻這一安全層的突破是單殼油輪時(shí)代的“完美類比”。和?？松ね郀柕掀澨?hào)一樣，“第一資本”本應(yīng)有更多保護(hù)。和從前的石油公司一樣，該銀行可能也缺乏足夠的安全文化，無法確保自己不懈地尋找新的漏洞。這兩起事件都提醒人們，如果說數(shù)據(jù)如今比石油更有價(jià)值，那么數(shù)據(jù)泄露就有著類似于石油泄漏的不良后果?；ヂ?lián)網(wǎng)公司可以從?？松梨谶@樣的老牌碳排放大戶那里汲取些經(jīng)驗(yàn)，以避免這類泄露。

?？松ね郀柕掀澨?hào)事件對(duì)?？松瓉碚f具有分水嶺一樣的意義。1989年的這場(chǎng)災(zāi)難引發(fā)了這家百年公司對(duì)安全和風(fēng)險(xiǎn)管理文化的徹底變革。史蒂夫·科爾在他關(guān)于埃克森美孚的著作《私人帝國》（Private Empire）中對(duì)這項(xiàng)變革的深度難掩訝異之情。辦公室里的桌子抽屜必須保持關(guān)閉，以免員工磕碰；每次會(huì)議開始前都會(huì)有類似于飯前禱告的“安全時(shí)刻”。公司甚至?xí)檰T工被紙夾割傷手的情況。包含11點(diǎn)要素的操作完整性管理系統(tǒng)（Operations Integrity Management System）如同佛教中追求開悟一般細(xì)致地追求安全涅槃。即使在今天，這家公司還在向新員工反復(fù)灌輸該系統(tǒng)，并將其納入績效評(píng)估，還將之與承包商和供應(yīng)商共享。27年來，這套系統(tǒng)成效顯著。

企業(yè)可能會(huì)爭(zhēng)辯說數(shù)據(jù)比石油更難管理。防止數(shù)據(jù)泄露如同一場(chǎng)艱苦的貓鼠游戲。企業(yè)不知道攻擊者是誰—犯罪分子？國家力量？獨(dú)行黑客？也不知道攻擊者想要什么。黑客只需要做對(duì)一次就可以進(jìn)入系統(tǒng)。而系統(tǒng)捍衛(wèi)者必須始終都能防住每一次攻擊，一步走錯(cuò)，全盤皆輸。許多企業(yè)自認(rèn)為是犯罪或戰(zhàn)爭(zhēng)行為的受害者，卻還要承擔(dān)責(zé)任，因而憤懣不已。

盡管如此，石油行業(yè)的經(jīng)驗(yàn)仍具指導(dǎo)意義。首先，重視加強(qiáng)每個(gè)員工的安全意識(shí)可以鞏固網(wǎng)絡(luò)安全中最薄弱的環(huán)節(jié)：個(gè)人。在《第五戰(zhàn)爭(zhēng)領(lǐng)域》中，克納克和另一位作者理查德·克拉克（Richard Clarke）認(rèn)為，企業(yè)部署再高級(jí)的反黑客技術(shù)也無法消除“可憐的戴夫”—每個(gè)組織中忍不住要打開網(wǎng)絡(luò)釣魚郵件的人。研究表明，無論有意無意，員工往往是網(wǎng)絡(luò)攻擊得逞的主要原因。明智的企業(yè)會(huì)發(fā)送假的釣魚郵件來找出這些“戴夫”。

石油公司堅(jiān)持要求其供應(yīng)鏈在安全問題上與自己保持一致的態(tài)度并清楚說出存在的問題，這種做法也值得效仿。黑客在攻擊大企業(yè)時(shí)越來越多地會(huì)先突破小型供應(yīng)商的防御，然后再利用連接兩者的通信系統(tǒng)侵入大企業(yè)的系統(tǒng)。許多企業(yè)對(duì)待黑客攻擊就像對(duì)待淋病一樣—即使只消說一聲就能防止疾病蔓延，也還是沒人愿意承認(rèn)有這種難言之隱，這就讓黑客更易得手。有人將這稱為網(wǎng)絡(luò)公地悲劇。

第三，英國石油公司（BP）在2010年的深水地平線漏油災(zāi)難后瀕臨破產(chǎn)的經(jīng)歷表明，數(shù)據(jù)也可能從資產(chǎn)變?yōu)槌林氐膫鶆?wù)。這起事件最終導(dǎo)致這家公司損失了500多億美元，其聲譽(yù)至今未完全恢復(fù)。

就目前而言，比起石油泄漏，數(shù)據(jù)泄露的成本看起來低得荒唐?！暗谝毁Y本”表示，最近的黑客攻擊會(huì)令它今年損失最多1.5億美元，主要是用于提供額外的客戶支持。如果不算可能會(huì)受到的罰款，這些錢平攤到每個(gè)受害用戶頭上還不到1.5美元，總數(shù)也只相當(dāng)于這家銀行上一季度利潤的1/10。征信公司Equifax在近1.5億名客戶的數(shù)據(jù)遭黑客攻擊泄露后，最近同意支付最高7億美元用于訴訟和其他索賠和解。咨詢公司IBM Security將全球數(shù)據(jù)泄露的平均成本定為每位受害者150美元?？思{克和克拉克認(rèn)為應(yīng)該定為1000美元才能刺激相關(guān)公司來防止此類損失。

政府的態(tài)度確實(shí)越來越強(qiáng)硬。7月，英國政府?dāng)M對(duì)英國航空公司約50萬名乘客數(shù)據(jù)被盜的事件開出1.83億英鎊（約合16億元人民幣）的罰單。這是與歐盟最新的數(shù)據(jù)保護(hù)法規(guī)相關(guān)的第一張額大罰單。英航表示將提出上訴。它或許仍有機(jī)會(huì)說服監(jiān)管機(jī)構(gòu)錯(cuò)不在己。但與?？松駼P的經(jīng)歷一樣，監(jiān)管機(jī)構(gòu)和消費(fèi)者對(duì)這樣的爭(zhēng)辯可能越來越不會(huì)買賬。交易數(shù)據(jù)的企業(yè)—如今多數(shù)大企業(yè)都在這么做—最好提前做好應(yīng)對(duì)準(zhǔn)備。

本文出自《經(jīng)濟(jì)學(xué)人》熊彼特專欄，專欄名稱源自著名政治經(jīng)濟(jì)學(xué)家約瑟夫·熊彼特（Joseph Alois Schumpeter，1883年2月8日—1950年1月8日），他提出的“創(chuàng)新理論”對(duì)現(xiàn)代商業(yè)觀念影響深遠(yuǎn)。