AI大模型席卷全球，为各行业带来颠覆式创新机遇的同时，也打开了网络攻击的潘多拉魔盒。近日，一份报告指出，利用生成式AI制作的恶意软件增长了约700%，网络钓鱼邮件增长了约%。随着数字经济发展，安全需求也水涨船高。

“企业对安全的投入，具有普遍的社会性，是正面的、主动的、有价值的。在数字时代的每一个人、每家企业，都有责任在享受数字化福利的同时，恪守数字义务，守护数字安全。”经济学者薛兆丰在9月8日召开的2023腾讯全球数字生态大会上，以《关于数字安全的经济规律和行动策略》为主题进行主旨演讲。

他从四个维度总结了企业管理者以及安全负责人：

1） 认识到投资安全就是产生收益；

2） 平台和用户按照“成本越低责任越大”的原则共同分担网络安全风险；

3） 选择足够大的数字安全提供商，从而享受最大的安全网络效应；

4） 作出足够的安全投资，从而获取一个最确定的安全的数字环境，以专注于自身擅长的业务。

此前，腾讯安全联动IDC共同发布了数字安全免疫力模型，为数字化转型中的企业提供了统筹发展与安全，兼顾弹性、自适应和可扩展的数字安全建设方法论。

对此，薛兆丰提到，过往企业家关注的是安全本身，但是智能化时代，企业数字化加深变广，主动从数字化进入数智化，如果不建立完善的安全免疫力，那所有数字化投入都会失去原有的经济性。因此，安全愈发成为最高决策的关键点和投入点，也应该作为企业进行战略投入的关键方向。

根据《中国数字安全产业年度报告（2023）》，2022年度国内数字安全市场规模为981.2亿元，增长率为7.14%。但不容乐观的是，大部分企业的安全建设仍停留在“头疼医头、脚疼医脚”的传统搭烟囱阶段。《2023企业安全建设水平抽样调研报告》显示，在安全预算投入上，超过70%的企业低于基准线，甚至还有超过10%的企业的安全投入低于1%，对攻击事件“不设防”。

企业该如何调整安全价值认知的长期错位，改变安全投入就是成本，而且难以量化价值的陈旧观念，适应数智时代的新环境？

以下是薛兆丰现场分享的笔记整理：

今天非常高兴再来到腾讯全球数字生态大会，上次来是四年前了，今天再一次跟大家分享我的一点小看法，网络安全建设背后的经济规律和行动策略。

安全就是收益

第一个原则，安全就是收益。

我想先问大家一个问题，如果你买了房之后第一件事情你会做什么？

睡觉？错，如果你说是睡觉，你的房子肯定会出问题。

我的回答是，买房之后的第一件事情，是先买一把锁，无论是防盗门、数码锁、密码锁、指纹锁，但锁买下来之后，大家很少关注“锁”背后经济学的问题。

我的老师很早就提出过关于“锁”的经济学概念，比如为什么要买锁以及买锁成本等概念。

这里所指锁的成本，经济学家关注的是效率问题，并不是说做一把实体锁的成本，这不是经济学家关注的问题。

比如我的网络受到攻击是一个异常现象。我们把锁的成本、做锁的投入，看作一种贡献，就好像空调也是对人类的一种贡献。

所以第一点，安全本身就是收益，这是一念之差的一个观念。

所以对安全的投入不是负面的，不是被动的，不是无奈的，而是正面的、主动的、有价值的。

这是我想跟大家分享的第一个经济学的原理，如何看待我们今天生活当中那些负面因素。我们把它当做我们的起点，然后你就可以看到我们的投入是正面的收益。

成本越低，责任越大

第二个原则，是成本越低、责任越大，一个基本经济学的分摊责任原理。

给社会提供安全，需要各方的力量，而涉及安全的每一方都有责任。比如说有操作系统设计者的责任，有平台的责任，有使用平台上面企业的责任，也有用户自己的责任，当然更可能是他们共同的责任。

谁担的责任大，谁担的责任小？

避免意外的成本低过意外总量，就应该对此负责。因为你是有收益的，你的成本小，避免的损失大，就应该因此而负责任。

所以今天安全问题面对很多新的情况，可能也有很多损失，也有很多新的判例。

举一个例子，一个著名的连锁酒店，它在连续几年当中受到很多的网络攻击，造成部分用户的数据泄露。

它的用户数据泄露了，谁有责任呢？谁都有责任。操作系统设计好一点就好了，警察如果及时发现也好了，政府也好了。用户也可能有责任，别把身份证告诉他，你也不会泄露。

但仔细分析，其实显而易见，操作系统的设计者不可能预见这么细、这么具体的攻击，尤其攻击并不普遍；用户不给身份证就住不了；警察没有办法审查那么多的酒店的安全性。

所以最终落到真正最后要担责的最大的责任人就是酒店，酒店最后被判了很大一笔的赔偿。

我想强调的是每个人都应该在享受数字福利的同时，恪守数字义务；每家企业因为受益于数字化，都承担着数字安全的主要责任；数字安全绝不是孤立责任，而是具有非常广泛社会性的责任。

因此，发生负面事件的破坏力很有可能超出企业的预期。

这是我想跟大家分享的第二个原则，也就是避免意外的成本越低、责任越大的原则。

选择最大的平台，享受更高的网络效应

第三个原则，是选择最大的平台享受更高的网络效应。

这一点在座的各位可能都会有自己一个很好的理解。我们说经济学里面有一个所谓的网络效应

同理，数字安全也是具有很强的网络效应。我安全你安全，我不安全你也不安全，我们一起在一个安全的平台上，就一起安全。

对于所有在追求安全的用户来说，其中有一个要点是看那些提供安全的平台，谁在未来最快地能够收集、召集到最多的用户，不仅要在乎谁厉害，而更重要的是，大家都觉得谁厉害。

厉害？

个。

今天在选择数字安全平台的时候有几个评判的标准：

一是是否具有有创新优势，能不能代表新的理念和范式；

二是是否有经济上的优势，也就是能不能够替用户提供完整的、可靠的，而且是可支付的、付得起的安全解决方案；

还有是否具有平台优势，不仅仅要看平台是不是漂亮、是不是强，更要看周围的人是否都认可他，都愿意登录。大家都愿意登录的时候有一个肯定的好处，一旦出了问题都不用操心，会有很多人一起操心这个问题，可以很快地得到解决，这就是网络效应。

安全服务是信息服务的一种，因此也具有很强的网络效应。安全服务性能的改善，其成本是由参与者共同分担的，用户越多，分摊的成本就越低，而系统或者平台的安全性能的提升也越快。

转移安全风险，专注自我专业

第四个原则，也是我想跟大家分享的最后一点，就是转移安全风险，专注自我的专业。

我们今天讲安全问题、风险问题，在经济学里面有两个词跟风险有关，一个是“风险”，另外一个是“不确定性”，稍微有一点不同。

所谓风险，是指我们自己知道我们不知道的东西。一个骰子抛上去掉下来有6个面，哪面朝上不知道，但是我们知道我们不知道，知道有1/6的可能是哪面。所以我们知道我们不知道，这叫风险，风险是可以计算的，因为总的样本你知道，总的可能性你知道。

可思议的，200年前的人根本不可能想象有这样的可能。

不论是风险还是不确定性，都是不可能完全消除的，都在，永远在。

确定性是一种服务，这就是保险公司提供的服务，给一笔小小的保险费，给完以后无论掉到哪里你的收入都不变。如果你掉到好的，你没事。这笔保险金还能拿到手吗？拿不到了。如果你掉到很糟的境地，没事它就会帮你补救回来。这就是买保险的状态。

所以今天，我们大多数的企业、每个个人其实也是这样。不买保险才是真正的冒险，买保险买了一个确定性。做生意的人为什么要买外汇对冲？因为他知道买外汇也能赚，不想在外汇波动的问题上去受损，或者得益都不想，把风险转嫁卖出去给别人，专注自己的业务。越成熟的行业、越理性的企业，越会追求用一定的成本投入将风险交换为确定性，从而把精力集中在自己擅长的专业上。

今天我想跟大家分享的四个关于网络安全的基本经济规律和行动策略：

一是对安全的投入本身就像我们发明了空调、暖气、汽车、交通工具一样，解决我们现有的作为起点本来就存在条件的贡献，安全本身就是一种收益。

二是成本公式怎么界定、区分责任，成本越低责任越大，要看看自己是不是有本事、是不是能做一些事情来避免意外和安全问题。如果是的话，迟早这个责任会落到你头上。

三是选择最大的平台，充分利用最好的网络效益。

四是要去买保险，购买确定性，从而把我们的精力集中在自己专长的业务上。

这是我想要跟大家分享的四点，谢谢大家。

文：杨子

校对：张莹莹

长江日报出品

【来源：长江日报】