Экономика безопасности

Национальная безопасность традиционно рассматривается как общественное благо. Экономика информационной безопасности обрела статус самостоятельного предмета исследования около 2000 года и, как часто бывает с инновациями, возникла одновременно в разных научных центрах.

В 2000 году Росс Андерсон опубликовал работу Why Information Security is Hard, в которой заявил, что одной из основных проблем эффективного развития технологий безопасности является необходимость согласования стимулов пользователей с технологией для её рационального внедрения. Следовательно, выводы экономики следует включать в техническое проектирование. Технология безопасности должна позволять субъекту риска инвестировать в снижение этого риска; в противном случае разработчики рассчитывают лишь на альтруизм пользователей для распространения и применения решений. Многие считают эту публикацию отправной точкой возникновения экономики безопасности.

Также в 2000 году в Гарварде, Кэмп из Школы государственного управления и Вольфрам из экономического департамента утверждали, что безопасность не является общественным благом, а каждая выявленная уязвимость связана с негативной экстерналией. В данной работе уязвимости определяются как товары, которыми можно торговать. Уже через шесть лет iDEFENSE, ZDI и Mozilla создали полноценные рынки уязвимостей.

В 2000 году специалисты группы быстрого реагирования при Университете Карнеги — Меллона предложили первый механизм оценки риска. Иерархическая голографическая модель стала первым многоаспектным инструментом для управления инвестициями в безопасность на основе анализа риска. С тех пор CERT разработал целый набор систематизированных методов оценки риска для организаций различного размера и уровня компетентности, например OCTAVE. Изучение информационной безопасности как средства снижения риска утрат стало стандартной практикой.

В 2001 году, в рамках самостоятельного исследования, Лоуренс А. Гордон и Мартин П. Лёб опубликовали работу Using Information Security as a Response to Competitor Analysis System. Черновик этой статьи был подготовлен в 2000 году. Эти профессора Мэрилендской школы бизнеса Смита предложили игровую модель, демонстрирующую, как информационная безопасность помогает компаниям предотвращать утечки чувствительных данных конкурентам. В этом контексте рассматриваются экономические (затратные и выгодные) аспекты информационной безопасности.

В дальнейшем авторы совместно инициировали серию знаковых конференций под названием Workshop on the Economics of Information Security («Семинар по экономике информационной безопасности»).

Технология «доказательство работы» была разработана для борьбы со спамом путём изменения экономических стимулов. Ранние публикации в экономике информационной безопасности утверждали, что доказательство работы работать не может; однако позднее было показано, что метод эффективен лишь при наличии ценовой дискриминации, что отражено в более поздней работе Proof of Work can Work.

Ещё один важный вывод для понимания современных американских практик обработки данных: с экономической точки зрения противоположностью конфиденциальности является не анонимность, а ценовая дискриминация. В работе Privacy and price discrimination (автор — Андрей Одлыко) показано, что зачастую сбор данных воспринимается как иррациональная патология, хотя на самом деле представляет собой рациональное поведение организаций.

Хэл Вариан предложил три модели безопасности, используя метафору высоты городских стен: безопасность как нормальное благо, как общественное благо и благо с внешними эффектами. В результате всегда возникает явление безбилетничества (free riding).

Гордон и Лёб опубликовали работу «Экономика инвестиций в информационную безопасность»^[1]. Модель Гордона—Лёба считается первой экономической моделью, определяющей оптимальный объём инвестиций для защиты определённого объёма информации с учётом степени уязвимости данных и потенциальных потерь.