Экономика безопасности
This article needs additional citations for verification. (January 2021) |
Экономика информационной безопасности рассматривает экономические аспекты конфиденциальности и компьютерной безопасности . Экономика информационной безопасности включает модели строго рационального « homo economicus », а также поведенческую экономику . Экономика ценных бумаг рассматривает индивидуальные и организационные решения и поведение в отношении безопасности и конфиденциальности как рыночные решения.
Экономика безопасности решает основной вопрос: почему агенты выбирают технические риски, когда существуют технические решения для снижения рисков безопасности и конфиденциальности? Экономика решает не только этот вопрос, но и информирует о проектных решениях в области инженерии безопасности .
Возникновение экономики безопасности
Национальная безопасность является каноническим общественным благом . Экономический статус информационной безопасности вышел на передний план интеллектуального развития около 2000 года. Как и в случае с инновациями, он возник одновременно в нескольких местах.
В 2000 году Росс Андерсон написал «Почему информационная безопасность — это сложно». Андерсон объяснил, что существенная трудность в оптимальной разработке технологии безопасности заключается в том, что стимулы должны быть согласованы с технологией, чтобы обеспечить рациональное внедрение. Таким образом, экономические идеи должны быть интегрированы в техническое проектирование. Технология безопасности должна позволять стороне, подвергающейся риску, инвестировать в ограничение этого риска. В противном случае разработчики просто рассчитывают на альтруизм для внедрения и распространения. Многие считают эту публикацию рождением экономики безопасности.
Также в 2000 году в Гарварде Кэмп в Школе государственного управления и Вольфрам в Департаменте экономики утверждали, что безопасность не является общественным благом , а каждая существующая уязвимость имеет связанную с ней отрицательную внешнюю ценность. Уязвимости были определены в этой работе как торгуемые товары. Шесть лет спустя iDEFENSE, ZDI и Mozilla имеют существующие рынки для уязвимостей.
В 2000 году ученые из Computer Emergency Response Team в Carnegie Mellon University предложили ранний механизм оценки риска . Иерархическая голографическая модель предоставила первый многогранный инструмент оценки для управления инвестициями в безопасность с использованием науки о риске. С тех пор CERT разработал набор систематических механизмов для организаций, которые можно использовать при оценке риска в зависимости от размера и опыта организации: OCTAVE. Изучение компьютерной безопасности как инвестиции в предотвращение риска стало стандартной практикой.
В 2001 году, в несвязанной разработке, Лоуренс А. Гордон и Мартин П. Лоэб опубликовали Using Information Security as a Response to Competitor Analysis System. Рабочий документ опубликованной статьи был написан в 2000 году. Эти профессора из Школы бизнеса Смита в Мэриленде представляют игровую теоретико-рамочную структуру, которая демонстрирует, как информационная безопасность может помешать конкурирующим фирмам получить конфиденциальную информацию. В этом контексте статья рассматривает экономические (т. е. затраты-выгоды) аспекты информационной безопасности.
Авторы объединились, чтобы разработать и расширить серию флагманских мероприятий под названием «Практикум по экономике информационной безопасности».
Примеры выводов в области экономики безопасности
Proof of work — это технология безопасности, разработанная для остановки спама путем изменения экономики. В ранней статье по экономике информационной безопасности утверждалось, что proof of work не может работать. Фактически, вывод состоял в том, что proof of work не может работать без ценовой дискриминации , как проиллюстрировано в более поздней статье Proof of Work can Work.
Еще одно открытие, имеющее решающее значение для понимания современных американских практик обработки данных, заключается в том, что противоположностью конфиденциальности является не анонимность в экономическом смысле , а ценовая дискриминация . Книга «Конфиденциальность и ценовая дискриминация» была написана Эндрю Одлыжко и иллюстрирует, что то, что может показаться информационной патологией при сборе данных, на самом деле является рациональным организационным поведением.
Хэл Вариан представил три модели безопасности, используя метафору высоты стен вокруг города, чтобы показать безопасность как обычное благо, общественное благо или благо с внешними эффектами. В любом случае конечный результат — это безбилетник.
Лоуренс А. Гордон и Мартин П. Лоэб написали «Экономику инвестиций в информационную безопасность». [1] Модель Гордона–Лёба многими рассматривается как первая экономическая модель, которая определяет оптимальную сумму инвестиций для защиты заданного набора информации. Модель учитывает уязвимость информации к нарушению безопасности и потенциальные потери в случае такого нарушения.
Смотрите также
- Небезопасность компьютера
- Защитное программирование (безопасное кодирование)
- Техника безопасности
- Взлом
- Обеспечение безопасности программного обеспечения
- Компьютерная безопасность
- Надежная система
- Киберстрахование
Ссылки
- ^ Гордон, Лоуренс А.; Лёб , Мартин П. (ноябрь 2002 г.). «Экономика инвестиций в информационную безопасность». ACM Transactions on Information and System Security . 5 (4): 438– 457. doi :10.1145/581271.581274. S2CID 1500788.
Внешние ссылки
Центры, изучающие экономику безопасности
- Университет Карнеги-Меллона, колледж Хайнца
- Лаборатория конфиденциальности Университета Карнеги-Меллона
- Лаборатория компьютерных наук Кембриджского университета
- Факультет информатики Университета Индианы
- Университет Миннесоты
- Факультет информации Мичиганского университета
- Гарвардский университет, факультет инженерии и прикладных наук
- В Дартмуте находится I3P, в состав которого входят Школа Така, а также кафедра компьютерных наук, изучающая экономику информационной безопасности.
Ресурсы в экономике безопасности
- Росс Андерсон ведет страницу «Экономика информационной безопасности».
- У Алессандро Аквисти есть соответствующая страница «Экономика ресурсов конфиденциальности».
- Jean Camp Economics of Information Security содержит ссылки на все прошедшие семинары с соответствующими статьями, а также текущие конференции и призывы к докладам. Он также предоставляет мероприятия, книги, прошедшие семинары и аннотированную библиографию.
- «Возврат инвестиций в информационную безопасность» предоставляет анкету для самооценки, статьи и ссылки на ресурсы по экономике информационной безопасности.
- В статье «Кибератаки: вызов экономической политике», опубликованной на политическом портале CEPR VOX, представлен нетехнический обзор вопросов политики и измерений, связанных с экономикой кибербезопасности.
