我们可以来计算这些“安全建议”,为这个世界带来了多少的成本。
假设有某一个安全上的威胁,每年有1%的计算机用户会因为这个威胁而受害,一旦成为受害者,使用者必须花上10个小时的时间,来清除这个威胁造成的损害。为了避免大家变成这个威胁的受害者,A公司发明了一种“安全建议”,当使用者面临该威胁之风险时,会跳出来“提醒”使用者要三思。请问,A公司的“安全建议”,每天要花使用者多少时间成本,才是经济学上理性的建议呢?
答案是:使用者每天花必须小于 10 x 1% / 365 小时,也就是 0.986 秒,才是一个经济学上理性的建议。
读者,请你回想一下,在你每天使用计算机的过程中,你花在处理各个安全建议的时间,每个建议是否超过 0.986 秒?
遵守这种安全建议,真的是理性的吗?
安全建议理应是要保护数字世界免于威胁的,怎么反而比这些威胁还要大?
给信息安全社群的反思
当信息安全社区的人士看到计算机用户对于各种安全建议视若无睹,想都不想就按OK,莫不自以为是地摇头叹息曰:使用者真是无可救药。如今这篇研究论文,正给了信息安全社区一个反省的机会。事实上,用户比所谓的信息安全专家们,还要来得更为理性。使用者之所以不理会这些安全建议,正是因为这些安全建议,没有做好风险的评估,不说明白威胁的发生机率,不说明白威胁发生后的伤害大小,没有办法协助使用者做好损益分析,莫怪使用者不懂,这是使用者对这些不理性安全建议的抗议。
身为信息安全社区的一员,这对我自己也是当头棒喝,我的意思决不是叫使用者们无需理会安全建议,而是要提醒信息安全社群,我们真的做的还不够好,我们的建议既不够有效、也没能好好地降低顾客的损失。既然口口声声说要保护这数字世界的安全,我们的思考模式不应是挂念着哪个威胁没拦到该怎么办, 而应该要时时刻刻以使用者的时间与成本为念。否则,自以为是保国安民的建议,失去了使用者为中心的体认,反倒成为劳民伤财的坏话。