Экономика безопасности - Economics of security

Экономика информационной безопасности касается экономических аспектов конфиденциальности и компьютерной безопасности . Экономика информационной безопасности включает модели строго рационального «человека экономического », а также поведенческой экономики . Экономика безопасности рассматривает индивидуальные и организационные решения и поведение в отношении безопасности и конфиденциальности как рыночные решения.

Экономика безопасности решает главный вопрос: почему агенты выбирают технические риски, когда существуют технические решения для снижения рисков безопасности и конфиденциальности? Экономика решает не только этот вопрос, но и способствует принятию проектных решений в инженерии безопасности .

Возникновение экономики безопасности

Национальная безопасность - каноническое общественное благо . Экономический статус информационной безопасности вышел на интеллектуальный уровень примерно в 2000 году. Как и в случае с инновациями, он возник одновременно в нескольких местах.

В 2000 году Росс Андерсон написал: « Почему информационная безопасность - это сложно» . Андерсон объяснил, что значительная трудность в оптимальной разработке технологии безопасности состоит в том, что стимулы должны быть согласованы с технологией, чтобы обеспечить рациональное внедрение. Таким образом, экономические идеи должны быть интегрированы в технический дизайн. Технология безопасности должна позволять стороне риска вкладывать средства для ограничения этого риска. В противном случае дизайнеры просто рассчитывают на альтруизм для принятия и распространения. Многие считают эту публикацию рождением экономики безопасности.

Также в 2000 году в Гарварде Кэмп из Школы государственного управления и Вольфрам из Департамента экономики утверждали, что безопасность не является общественным благом, а каждая существующая уязвимость имеет связанную с ней отрицательную внешнюю ценность. Уязвимые места определялись в этой работе как торгуемые товары. Шесть лет спустя, iDEFENSE , ZDI и Mozilla имеют дошедшие до нас рынков уязвимостей.

В 2000 году ученые из группы реагирования на компьютерные чрезвычайные ситуации в Университете Карнеги-Меллона предложили ранний механизм оценки риска. Иерархическая голографическая модель предоставила первый многогранный инструмент оценки, позволяющий направлять инвестиции в безопасность с использованием науки о рисках. С тех пор CERT разработал набор систематических механизмов для использования организациями при оценке рисков в зависимости от размера и опыта организации: OCTAVE . Изучение компьютерной безопасности как инвестиции в предотвращение рисков стало стандартной практикой.

В 2001 году Лоуренс А. Гордон и Мартин П. Леб опубликовали статью « Использование информационной безопасности как ответ на систему анализа конкурентов» , не связанное с этим . Рабочий документ опубликованной статьи был написан в 2000 году. Эти профессора из школы бизнеса Смита в Мэриленде представляют теоретико-игровую основу, демонстрирующую, как информационная безопасность может помешать конкурирующим фирмам получить конфиденциальную информацию. В этом контексте в статье рассматриваются экономические (т. Е. Рентабельные) аспекты информационной безопасности.

Авторы собрались вместе, чтобы разработать и расширить серию ведущих мероприятий под названием «Семинар по экономике информационной безопасности».

Примеры выводов по экономике безопасности

Доказательство работы - это технология безопасности, предназначенная для предотвращения спама путем изменения экономики. В одной из первых статей по экономике информационной безопасности утверждалось, что доказательство работы не может работать. Фактически, было обнаружено, что доказательство работы не может работать без ценовой дискриминации, как показано в более поздней статье Proof of Work can Work .

Еще один вывод, который имеет решающее значение для понимания современной американской практики обработки данных, заключается в том, что противоположностью конфиденциальности является не анонимность с экономической точки зрения , а ценовая дискриминация . Конфиденциальность и ценовая дискриминация были автором Андрея Одлызко и иллюстрируют, что то, что может выглядеть как информационная патология при сборе данных, на самом деле является рациональным организационным поведением.

Хэл Вариан представил три модели безопасности, используя метафору высоты стен вокруг города, чтобы показать безопасность как обычное благо, общественное благо или благо с внешними факторами. В любом случае фрирайд - это конечный результат.

Лоуренс А. Гордон и Мартин П. Леб написали книгу « Экономика инвестиций в информационную безопасность» . Модель Гордона – Леба рассматривается многими как первая экономическая модель, которая определяет оптимальную сумму инвестиций для защиты заданного набора информации. Модель учитывает уязвимость информации для нарушения безопасности и потенциальные потери в случае такого нарушения.

Смотрите также

Рекомендации

внешняя ссылка

Центры, изучающие экономику безопасности

Ресурсы по экономике безопасности