部分外包,安全外部性论文

关键词: 部分外包；安全外部性；信息泄露；强制性安全标准；

摘要: 信息技术的快速发展不仅方便了人们的生活，同时也给企业和个人带来了更大的安全隐患。为了应对安全风险的挑战，企业倾向于将部分信息安全外包给专业的管理安全服务提供商(MSSP)，MSSP旨在通过专业高效的信息安全管理手段来帮助企业提高信息安全质量。因此，本文考虑了部分外包发生时企业和MSSP之间不对称的安全外部性以及强制性安全标准约束，探究了企业的两种部分外包策略(核心外包策略和非核心外包策略)，为企业的安全实践提供了管理启示。我们发现，当企业对MSSP的外部性为负(正)时，在较低的安全标准下，企业付出的安全努力水平总是随着MSSP对企业外部性的增大而增大(减小)。另外，我们发现不同程度的强制性安全标准对企业和MSSP最优决策的影响不同。当企业采取核心外包策略时，在较低的强制性安全标准约束下，企业需设定赔偿比例从而得到最低期望成本；然而，在较高的强制性安全标准约束下，企业无需设立赔偿机制即可达到最优决策。此外，当信息泄露风险较高时，企业总是选择非核心外包策略。

1. 引言

近年来信息技术发展迅速并得到了广泛应用，信息技术的发展极大地方便并丰富了人们的生活，但与此同时信息安全事件也屡出不穷，给经济社会带来了严重影响。根据《2021年中国网络安全报告》 [1]，2021年一年内瑞星云安全系统截获网络病毒样本、恶意网址、病毒感染次数总计高达4.41亿次。2021年4月，勒索软件恶意攻击加拿大无线设备制造商的IT系统，导致Sierra在全球各地的生产基地停产 [2]。2022年4月，北美国家哥斯达黎加财政部证实被conti勒索软件攻击，无数敏感数据被盗，窃取纳税人信息引起了公共恐慌 [3]。此一系列网络安全事件给人们生产生活带来了巨大威胁。

为了预防黑客攻击，并降低黑客攻破信息系统带来的安全损失，许多企业倾向于将其业务安全外包给专业的托管安全服务提供商(Managed Security Service Provider，以下简称为MSSP)。据报道，到2025年，托管安全服务市场价值464亿美元 [4]。在实践中，由于信息安全外包行业存在信息泄露风险，将部分信息业务外包给MSSP的情况较为普遍。Cybersecurity insiders的报告显示，91%的企业担心云安全服务商的数据泄露问题，比起外包给MSSP，企业更愿意把核心数据储存在内部 [5]。尤其是近年来大型云安全服务商的数据泄露事故层出不穷，加剧了企业对于云安全的担心。例如，2021年2月，新加坡知名电信公司新电信(Singtel)在其官网发布消息称，由第三方供应商(Accellion)提供的文件共享系统FTA被身份未知的黑客非法攻击，导致数据泄露 [6]。信息泄漏源于业务信息从企业到MSSP的转移，可能发生在检测和分析过程中 [7]。因此，在安全外包实践中，企业往往会选择将部分业务安全外包给MSSP而非全部外包。在实践中，企业通常将其业务分为核心和非核心业务，其中核心业务是为企业创造重大价值的关键部分，对企业绩效、潜在竞争优势和未来增长至关重要 [8]。先前的研究表明，对于IT企业而言，部分外包的成功率高于全部外包或全部自主管理 [9]。

值得注意的是，当部分外包发生时，由于管理主体的增加，企业和MSSP付出的安全努力，即对应管理业务的安全质量，将通过安全外部性相互影响 [10]。安全外部性意味着，为保护或攻击一个主体所付出的努力可能会影响其他主体的安全水平。安全外部性带来的影响可能是积极的或者消极的 [11]。积极的外部性，即正外部性的一个例子是，当企业将部分业务外包给MSSP时，双方将建立合作关系，并相互学习信息安全技术，从而更好地保护其业务。此外，当黑客战略性地选择薄弱目标时，就会产生消极的外部性，即负外部性：在一个攻击目标具有更强有力的安全保护的情况下，黑客可能会将注意力转移到安全级别相对较低的其他目标，我们称之为“攻击转移” [10] [12]。此外，由于企业和MSSP运营性质的不同，企业对MSSP的外部性和MSSP对企业的外部性往往是不对称的。因此，在安全外部性影响下企业应如何制定安全运营策略，值得深入研究。

此外，强制性安全标准也是影响信息安全投资的另一个关键因素。安全标准作为建设信息安全保障体系的重要支撑，是保证企业最低安全投入的重要工具，可以从社会监管机构或行业协会的角度提高信息系统的安全水平。一般而言，安全要求的目的不仅是区别地保护政府、机构和个人拥有的信息资产，而且还保护存储、传输和处理这些信息资产的信息系统。在此基础上，对不同安全要求的信息安全响应进行了区分处理。企业和其他组织的信息安全要求可以单独制定，以更好地保护其自身的信息资产 [13]。

综上所述，信息安全问题已经引起个人和企业的高度重视。为了将安全损失最小化，企业通常需要考虑信息泄露、安全外部性、强制性安全标准三重因素进行信息安全管理方面的投资决策研究。本文考虑了企业的两种部分外包策略，一是将核心业务外包给MSSP，非核心业务由企业内部管理(OC策略)，二是将非核心业务外包给MSSP，核心业务由企业内部管理(ONC策略)，进而探究了企业在不同环境下的信息安全管理策略，为企业的安全实践提供参考。

2. 文献综述

本文的文献研究主要涉及以下几个领域：信息安全部分外包、安全外部性及强制性安全标准。

目前，对部分外包的研究主要集中在运营管理领域。Grossman (2005) [14] 表明国际外包的程度外取决于供应商国内外市场的厚度、在每个市场搜索的相对成本、定制投入品的相对成本以及每个国家合同环境的性质。Shy和Stenbacka (2005) [15] 调查竞争如何影响生产分包投入的比例并得出结论：外包投入的比例随着竞争的增强而增加。Alvarez和Stenbacka (2007) [16] 运用实物期权方法对企业的最优组织模式进行一般性描述，并得出结论：建立部分外包的最佳阈值是潜在市场不确定性的一个不断增加的函数。然而在信息安全领域，关于部分外包的研究却很少。以往大多数关于信息安全外包的文献认为，企业选择是将其信息安全全部外包给MSSP或采用内部管理策略，而忽略将部分外包作为一种替代战略。然而在实践中，企业通常将其部分安全功能外包，以有效地管理信息安全。企业通常专注于高效利用自己的资源，同时支付MSSP以执行他们不太擅长的功能并避免专有信息被盗 [17] [18]。Cezar等(2014) [19] 将MSSP的功能归类为预防和检测，他们发现预防和检测功能在合同层面上是相互依赖的。Yang等(2020) [20] 研究了当用户外包部分云安全管理时，云服务模型对供应商和用户激励措施的影响。本文与上述研究的不同之处在于，我们将安全外部性作为影响企业和MSSP安全决定的关键因素，并对OC和ONC四种部分外包策略进行了比较。

目前关于安全外部性的研究相对较少。Lee等(2013) [10] 研究了MSSP和企业如何在企业侧外部性和MSSP侧外部性下协调努力以获得更好的安全性，他们提出了一种新的合同，称为多边合同，以解决双重道德风险问题。Zhao等(2014) [21] 将MSSP作为一种风险管理工具，表明服务于多个企业的MSSP可以将安全投资的外部性内化，并降低安全投资的低效率。Wu等(2018) [22] 考虑了竞争和整合环境下两个企业安全投资之间的外部性，并从三个维度对决策进行了比较竞争环境和整合环境之间的差异、正安全外部性和负安全外部性之间的差异以及企业间信息共享之间的差异。Zhang等(2020) [23] 得出结论，如果建立了商业伙伴关系的两家企业外包给同一家MSSP，则两家企业的安全投资在正外部性下更大，反之亦然。Wu等(2022) [24] 考虑了企业之间的信息共享和风险相关性，并发现风险相关性激励企业共享安全知识。

由于安全标准作为一种管理信息安全的策略是最近才发展起来的，因此现有的关于该主题的研究有限。Miller和Tucker (2010) [25] 表明，由于违反通知条例中的安全港规定，采用加密软件会增加公开数据丢失的事件部分原因是由于应保护信息资产的人对其他保护活动的疏忽。随着政府和行业协会对网络安全的高度重视，越来越多的学者致力于研究强制性安全标准对企业信息安全投资的影响。Ghose和Rajan (2006) [26] 考虑了监管信息公开对企业安全投资的经济影响，因此强制性安全公开可以激励企业做出最佳生产决策。Lee等(2016) [27] 研究了强制性安全标准对企业最优安全决策的影响，并得出结论，更高的安全标准不一定导致更高的安全水平。Gao等(2022) [28] 研究表明，严格的强制性标准并不总是对每个企业都有利，即使其信息系统可以得到更好的保护。因此，应从社会最优的角度制定更严格的安全标准。此外，虽然补偿机制可以促使每个企业增加投资，但这种机制可能会损害每个企业。

基于上述文献综述，本文结合强制性安全标准、信息泄露和安全外部性对企业部分安全外包策略进行深入探究，这可以进一步丰富信息安全管理理论，为企业的安全实践提供管理启示。

证毕。

从命题1可以看出：当企业采取ONC策略时，若核心业务的安全质量受到较高的强制性安全标准约束，即使此时非核心业务的安全质量并没有受到约束，其安全质量也会相应提高；然而，当企业选择OC策略时，若核心业务的安全质量受到较高的强制性安全标准约束，非核心业务安全质量有可能会下降。此外，当企业选择OC策略时，核心业务安全质量受到较高的强制性安全标准约束后赔偿比例会降低，因为企业无需再通过规定赔偿比例来确保MSSP付出的安全努力；反之，当企业选择ONC策略时，核心业务安全质量受到强制性安全标准约束后MSSP赔偿比例会升高，因为企业需要规定更高的赔偿比例来确保非核心业务的安全质量。

从以上几个命题中可看出无论在多高的强制性安全标准约束下，企业总是在信息泄露风险较高时选择ONC策略，在信息泄露风险较低时选择OC策略。

5. 结论与展望

复杂的网络安全环境迫使许多企业将其信息业务外包给MSSP。在实践中，由于信息泄露风险的存在，许多企业选择部分外包策略来抵御黑客的攻击。然而，目前对部分外包策略下的安全外部性的研究非常有限。因此，在前人研究的基础上，我们采用博弈论模型来考察安全外部性在MSSP和企业安全外包激励中的作用，为企业的安全实践提供管理启示。

本文从安全外部性不对称的视角研究了企业和MSSP合作保护核心和非核心业务的情景，并考虑了强制性安全标准的影响，补充了关于安全问题的新结论。我们发现，当强制性安全标准较低时，若企业对MSSP的外部性为负(正)，企业付出的安全努力水平总是随着MSSP对企业外部性的增大而增大(减小)。当强制性安全标准较高时，企业或MSSP的最优决策不受另一方外部性的影响。另外，我们发现，当企业采取OC策略时，在较低的强制性安全标准约束下，企业需设定一定的赔偿比例从而得到最低期望成本；然而，在较高的强制性安全标准约束下，企业无需设立赔偿机制即可达到最优决策。此外，无论在多高的强制性安全标准约束下，企业总是在信息泄露风险较高时选择ONC策略，在信息泄露风险较低时选择OC策略。

本文的研究为企业安全外包的策略选择提供了一定的指导依据，但也存在以下局限性：1) 本文从信息安全保护的投资方进行考虑，尚未考虑到黑客行为对企业或者MSSP投资行为的影响，未来可以将策略黑客纳入研究范围。2) 企业可能是风险厌恶的，信息安全参与者风险偏好不同的模型值得研究。

参考文献

[1] 瑞星2021年中国网络安全报告[R]. 北京: 北京瑞星网安技术股份有限公司, 2022.

[2] Sierra Wireless. 无线设备制造公司在遭勒索软件攻击后工厂停产[EB/OL]. https://ti.dbappsecurity.com.cn/info/1796, 2021-03-25.

[3] 哥斯达黎加国家财政系统遭勒索攻击: 税务海关停摆[EB/OL]. https://www.freebuf.com/news/330941.html, 2022-04-25.

[4] MarketsandMarkets (2020) Managed Security Services Market Worth $46.4 Billion by 2025. India.

[5] Fortinet (2021) Cloud Security Report. https://www.fortinet.com/content/dam/fortinet/assets/threat-reports/report-cybersecurity-cloud-security-report-fortinet-2.5.pdf

[6] 新加坡电信巨头近13万客户信息遭泄露, 涉身份证号等[EB/OL]. https://3g.163.com/dy/article/G358TCLE05129QAF.html, 2021-02-19.

[7] Hoecht, A. and Trott, P. (2006) Outsourcing, Information Leakage and the Risk of Losing Technology-Based Competencies. European Business Review, 18, 395-412.

https://doi.org/10.1108/09555340610686967

[8] Alexander, M. and Young, D. (1996) Strategic Outsourcing. Long Range Planning, 29, 116-119.

https://doi.org/10.1016/0024-6301(95)00075-5

[9] Lacity, M.C. and Willcocks, L.P. (1998) An Empirical Investigation of Information Technology Sourcing Practices: Lessons from Experience. MIS Quarterly, 22, 363-408.