日前,国务院常务会议确定,严惩违法犯罪行为,严肃追究法律责任,依法没收长春长生公司所有违法所得并处最高罚款,同时对负有监管责任的地方政府和主管部门相关责任人严厉追责。

不过,仅在一月之前,针对长生生物共计不到350万的罚款却引发了舆论的非议。原因很简单:长生生物承担的责任与它获取的利益反差太大。

责任与利益的不对等

2015年至2017年间,长生生物营收分别为7.96亿元、10.18亿元、15.53亿元,同比增幅分别达到27.77%27.96%52.6%,毛利率在今年一季度甚至高达90%以上。

简言之,长生生物获得了数十亿元的利益,只承担了300万的责任。财报显示,2017年长生生物的研发投入仅1.22亿元,销售费用却高达5.83亿元,其中4.4亿元为推广服务费。这4.4亿元推广服务费花哪去了,你懂的。

抽象一下整个过程:长生生物在获得疫苗销售的权利后,从老百姓手中获取巨额利润,但并没有把免疫能力赋予给接种人群,出事之后也没有受到相应的惩罚。

网络安全责任的传递链条

如果有人跟我说“嘿,哥们儿,这些钱是你的了!”或者“老大,我们都听你的”,我肯定乐于接受。但是,如果有人跟我说“出事你负责”,搁谁都得犯嘀咕吧?。

显然,权力、利益的传递是非常容易的事情,责任的传递却相对困难。人性趋利避害,放之四海而皆准。在互联网安全领域,信息数据庞杂,要把逻辑捋明白,把责任说清楚,更是一件不容易的事。

“但是,ISC2018想通过第二届中国网络安全产业担当与发展高峰论坛,把网络安全责任的担当与传递给说明白。”论坛主席、永信至诚高级副总裁潘柱廷介绍说。所以,360企业安全集团、启明星辰、亚信安全这一批老牌网络安全企业,和青藤云安全、指掌易这一批创新企业还有BAT等互联网公司聚在了一起,想把责任安排地明明白白。

责任到底是什么?潘柱廷认为,责任就是帮助你应该帮助的人或组织,解决应该解决的问题。

这里尝试用关系图来表示网络安全2C2B模式责任传递链条。2C个人安全的责任关系相对简单。消费者下载安全软件后,便将保护自己设备安全的责任传递给了供应商。这个过程中,从应用的下载、安全、使用到效果评估消费者一个人就搞定了,责任关系相对简单。

2B模式与2C模式不同,从整体上来看,消费者需要为供应商提供的硬件、软件及配套服务买单,并将责任和利益传递给供应商。同时,B类消费者需要接受等保、《网络安全法》等来自监管部门的责任。

企业级市场的责任分离

但是2B2C最大的不同在于组织的复杂程度(小微企业在很大程度上和个人很类似,因为老板可以直接做所有决策)。潘柱廷表示,企业级市场普遍存在着责任分离这样一个现象。

就甲方来说,一次交易涉及到的环节就包括需求、预算、招标、评标、实际用户甚至是反腐审计等,涉及责任传递关系也十分复杂。比如,某银行IT部门想要购买若干个防火墙,用于加强网络安全建设,于是要公司提出一笔预算。如果预算通过,则需求部门就将责任传递到了负责预算的部门,反之则没传递出去。

乙方也是一样。假设在招投标过程中,销售或者售前过分夸大了自身产品的能力,从而夺标成功。但是,研发团队不能实现怎么办?实施不成功怎么办?售后没法提供相应的保障又该怎么办?公司在接受足够的利益之后,没办法担当对应的责任。

横向与纵向的责任传递关系

这还是比较简单的情况。

实际而言,一个甲方可能同时对应着多个乙方,并且在甲方和乙方之间还可能存在着相当长的供应链。如下图所示:

假设乙方3反病毒网关杀掉了乙方4DLP进程,这个责任该怎么算?(这种情况也常见于2C领域,比如一个公司的杀毒软件杀掉了另外一个杀毒软件。)已方3的反病毒网关和乙方2IPS的反病毒模块,在功能上可能存在着很大的相似性,这两者之间的责任关系又该如何说明白?

纵向关系就相对比较容易理解,但是关系同样复杂。乙方的反病毒产品最终在甲方爸爸那里投入使用,可能会涉及到上游的硬件企业、下游的代理商和集成商,代理商甚至还有一级、二级等。最终,这可能是一条很长的供应链,责任如何能顺利地在这样一条长的供应链上,传递下去?

责任担当的推与揽

当然,不管责任关系如何复杂,最终都要落到行动上。话说回来,行动也无非就两种选择,一种是推、一种是揽。潘柱廷认为,不能单纯判断推或者揽孰好孰坏,要具体问题,具体分析。

这里假设一个场景:甲方爸爸同时采购了公司A的反病毒网关和公司BIPS(内置反病毒模块),某天,甲方爸爸受到了病毒攻击。如果公司A和公司B同时声称这不关自己产品的事情(即推脱责任);如果公司A和公司B同时将责任揽过来,声称可以为甲方爸爸提供第一时间的售后以及其他相关配套服务。

显然,无论哪种情况对于责任的传递都不太好。

潘柱廷认为,凡事有度,责任推过了就会引发责任关系断裂,责任揽过了就会出现责任关系冲突。所以,这个场景还应该存在第三种结果,甲方爸爸、公司A和公司B三家达成了某种协议,共同把病毒攻击这件事情的责任承担起来。

在每一笔交易达成的过程里,供应商通过产品+服务的形式将能力赋予给客户,客户通过利益的传递,将责任传递给供应商,最终能力、利益以及责任的传递应该处于对等的状态,能力越大,责任越大,同时获得的利益也应该越多。

在网络安全圈,“赚着卖鸡蛋的钱,操着卖导弹的心”,不应该成为常态,也没法长久。责权利对等,才是根本的解决之道。

据悉,2018ISC互联网安全大会(原中国互联网安全大会),将于2018年9月4日-6日在北京国家会议中心举办。大会已经成功举办5届,是亚太地区规格最高、规模最大、最具影响力的国际级安全盛会。

附:中国网络安全产业担当与发展高峰论坛议程。

 

声明:本文来自安全内参,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如需转载,请联系原作者获取授权。