在這方面,某些客戶難以買到保單,其實反而證實了激勵機制正常發揮作用。資安的風險難以量化,但依然有跡可循。研究顧問公司Forrester Research最近發現,有投保資安險的公司,通常比沒有投保的更安全。這表示保險公司確實讓客戶注重資安,降低了買保險的道德風險與選擇偏差。也就是說,保險公司拒絕了某些不負責任的客戶。也許我們應該把保險當成一種身份象徵,而非一種權利,每個人在尋求外部協助之前,都應該做好基本的資安維護。
受害人變成加害人
以前我們都假設,購買保單的顧客與保險公司的利益站在同一邊,而且遊戲規則相當公平。顧客如果看守不嚴,被入侵之後受到的損失,會遠遠超過賠償金的上限。因此雙方都沒有動機去濫用規則。但勒索軟體蓬勃發展大幅改變了誘因結構,讓道德風險主導了市場,如今賠償金已經不只是保險公司要支出的成本,而是對犯罪行為的補貼。
這表示建立風險模型的困難一直都沒有解決。我們在模擬複雜現象的時候,都希望自己打造的模型不會改變它所代表的現實。但如果要預估的事件相當罕見,激勵機制的影響就會過大。統計學告訴我們,樣本量小的時候很難推導出先驗機率。只要你賭的次數不夠多,就不可能知道賭局是否公平。
而死亡螺旋就是這樣發生的。勒索軟體成功入侵之後,公司通常會請專業顧問來談判贖金,保險市場就是因此受到影響。談判時,雙方必須建立信任。兇手必須向受害者保證,只要拿到贖金就會歸還資料的存取權。照理來說,背信的兇手日後會拿不到贖金,但很多人繼續背信。
更令人驚訝的是,受害者如果跟兇手打好關係,反而可以降低傷害。資安公司MindSense的創始人Kurtis Minder指出,稱讚對方的攻擊技術高超,會讓兇手覺得你至少懂一點資安,跟他們有共通語言,因而降低開出的贖金價格。
而當市場力量充分發揮,受害者就能自由選擇,要交保費給保險公司,還是跟兇手達成共同利益。這大幅增加了投保的道德風險,兇手在使用勒索軟體時,通常會用駭客偷出來的資料,事先調查攻擊目標交付贖金的能力。所以從客戶的角度來看,無論是要避免自己受到攻擊,還是為了防止大家的保費最後落到兇手口袋,最好的選擇都是不要保險。
資安的本質是什麼
勒索病毒服務(Ransomware-as-a-Service, RaaS)把事情搞得更糟。這個名詞的出現,代表資安漏洞的增加已經在暗網撐起了一個犯罪市場,攻破漏洞的人和利用金融方式獲利的人已經成為了商業夥伴關係。不過諷刺的是,勒索軟體的市場化(因加密貨幣的出現而更快發生)反而使風險更容易建模。當然扭曲的誘因依然存在,保險公司即使靠著模型準確算出風險,也無法依此訂出有效的保單價格。我們只是更確定被攻擊的風險多高,但完全無法降低風險。
所以到底哪種觀點才對?到底是因為保險沒有跟著資安畫出層次,還是打從一開始就不該推出資安保險?答案取決於資安的概念到底是什麼。
電腦病毒最早來自生物學,作者只是想寫出一種可以自我複製的程式碼。病毒是道德中立的,某些生物病毒不會影響宿主,某些甚至有益。宿主與病毒的演化是大自然的正常現象。許多早期的「社運駭客」也相信他們偷出的資料可以引發物理世界的政治變革,或者事先找出系統的漏洞及時加以防範,讓世界變得更好。
此外,有些物理世界的跨國犯罪會偶爾使用到線上工具,但我們不該為了避免被這種無法預期的犯罪所牽連而投保,這既不道德也不實際。但這也表示法律必須能夠識別哪些人是真正的罪犯,哪些是被牽連的路人。無論如何,法律不該懲罰支付贖金的行為,這會動搖法治制度,而且讓人無法拯救企業,甚至生命。再說若要降低勒索軟體的威脅,就需要相關威脅的最新資訊,如果執法機關與民間的關係逐漸對立,它們勢必更難獲得這些資訊。
要如何保障資料安全,減少駭客入侵?決定的關鍵可能在於我們要根據不同層次的目標分別設計保險,還是妥善引導經濟誘因。
*作者為台灣金融研訓院特聘外籍研究員;譯者為劉維人。本文選自166期台灣銀行家雜誌,授權轉載。
