摘 要:在大数据的时代背景下,信息系统的广泛运用在为市场及企业发展带来红利的同时也带来许多安全隐患。将安全业务外包给管理安全服务供应商(MSSP)已成为应对不断变化的安全挑战的关键策略。本文通过研究大数据背景下信息安全外包的问题和特征,进一步分析将保险机制引入到企业信息安全外包策略體系中的可行性,为企业乃至政府部门和事业单位制定信息安全外包策略、设计合理的信息安全外包契约提供指导。
关键词:信息安全策略;外包;保险机制
1.基于大数据背景的信息安全市场
大数据技术的高速成长推动产生了海量非结构化数据,如果不通过大数据分析及时挖掘其价值,本身没有关联性的非结构化数据便会随着周期延迟而失去时效性。非结构化数据隐藏的巨大价值使得信息安全问题频频发生,数据信息的泄露和非法使用往往会给国家和人民群众造成较大的经济损失。数据显示,全球 20个国家大约有 9.78 亿人在 2020 年遭受网络攻击,经济损失高达 1720 亿美元。其中中国作为遭受网络犯罪最严重的国家,大约3.52亿的中国消费者曾是网络犯罪的受害者,经济损失达到 663 亿美元,过去 4 年复合增长率为15.7%。层出不穷的互联网信息安全问题引起了政府的关注,例如2017年我国出台了《中国网络安全法》,信息安全行业面临空前的发展机遇。据Frost and Sullivan调查显示,2016年全球MSSP市场达到147亿美元,预计年均上升18.5%。伴随信息安全产业爆发式增长机遇,我国信息安全外包服务市场规模迅速扩张。
2.大数据背景下信息安全外包风险控制的影响因素
信息安全外包服务市场呈现快速崛起的趋势。但在大数据背景下信息安全外包服务不一定总是最佳选择,一方面复杂又动态变化的信息系统不总那么安全,MSSP的操作不当可能会导致海量数据泄露,企业将产生巨大的损失;另一方面存在因信息及利益不对称导致的委托代理问题[1];在动态变化的信息系统环境中信息安全外包策略的一大重要影响因素是黑客的攻击,在信息安全投资策略中,通常把黑客攻击按模式差异划分成针对性攻击与大规模攻击。针对性攻击指的是黑客以效益最大化为原则针对不同用户或者企业实施不同的攻击手段;而大规模攻击则是黑客忽略攻击对象的差异化随机分配攻击资源[2]。
随着信息安全外包服务供应商(MSSP)的出现促进了企业将信息系统被黑客攻击的风险转移给MSSP。企业和MSSP之间极可能因为信息不对称产生双边道德风险。因为企业和MSSP都无法准确知晓对方安全投资的绩效,很难在外包过程中评估服务质量,所以会导致双方做出低于社会最优水平的努力[3],此时有效的信息安全外包策略能够最大程度规避双边道德风险,引导企业和MSSP做出最高水平努力。因此,怎样结合信息安全外包的特点和要求解决契约设计和风险控制问题;怎样更好降低存在的风险都十分值得研究。
3.基于保险机制的信息安全外包服务选择分析
鉴于信息安全复杂及动态变化的特点和前人已有的研究基础,本文将保险机制引入到信息安全契约设计中进行分析,发现当企业和MSSP均为风险中性时,企业和MSSP在不引入保险机制与引入保险机制时的收益均相同;当企业和MSSP均为风险厌恶时,一定条件下,引入保险机制时企业和MSSP的效益大于不引入保险机制时双方的效益,此时保险公司要求双方缴纳的保险费应随着企业检测能力和MSSP提供的服务质量达标率的提高而减少[4]。一方面可以根据企业和MSSP双方的风险偏好选择是否在信息安全外包策略中引入保险机制;另一方面,保险公司的保险费设置与企业及MSSP的努力水平成负相关。可以激励双方发挥其最大努力水平来降低其信息安全投资成本,有效解决委托代理问题并增加企业效益。
参考文献:
[1]Koh C, Soon A, Straub D W. IT outsourcing success: a psychological contract perspective[J]. Information Systems Research, 2004, 15(4): 356-373.
[2]顾建强. 信息系统安全投资策略及风险管理研究[D]. 2016.
[3]Bandyopadhyay T, Mookerjee V, Rao R C. Why IT managers dont go for cyber insurance products[J]. Communications of the ACM, 2009, 52(11): 68-73.
[4]解慧慧, 廖貅武, 陈刚. 引入保险机制的IT外包合同设计及分析[J]. 系统工程学报, 2012, 27(3): 18-26.
作者简介:
康飞宇(2000-),女,汉族,本科。