“FINTECH - Reshaping the Future of Finance Services”

260 261 以英國航空公司的訂票網站遭黑客入侵為例，該公司廿多萬名透過信用 卡付款的客戶個人資料外洩，遭黑客盜取。網絡漏洞的缺口，便在於收 取信用卡的服務系統，其網頁出現了安全紕漏，以致在讀取信用卡付帳 的過程中，為黑客所截取。這是「第三方」風險的紕漏。可以說，企業 與企業之間、企業與用戶之間，甚至用戶與用戶之間，大家互相勾連， 這種千絲萬縷的網絡關係，使網絡保安無可避免帶有相互依賴的「集體 性」，很難單靠一方獨力完成。因而，我們也可以從責任分布的角度， 去檢視網絡安全問題，令網絡安全得到更全面、更現實的「整體性」維 護。 事不關己己不勞心之害 對於網絡安全，一般人很自然把保安視為網絡保安供應服務商的責任； 甚至用戶也很自然地認為，這是企業的責任，它們有責任去設置一切保 安設施，與自己無關。但是，除了第三方風險外，大家其實必須考慮到 用戶與用戶之間互動的風險因素。事實上，用戶是網絡保安工作成果裡 一個重要部分，是牽涉其中的「持份人」，在安全的維護上也有一定責 任。 看深一層，在學術研究上我們認識到，若干工作的結果，往往需要由勞 資雙方共同付出，攜手完成。在觀察和分析這種相互作用的行為，學者 提出一個「雙重道德風險」(Double Moral Hazard) 概念。須要說明一 下，在信息經濟學裡，當市場參與者之間存在信息不對稱情況下，便會 出現一種所謂的「道德風險」(Moral Hazard)。簡言之，市場參與者的 經濟行為，在最大限度增進自身的效用時，卻忽略了對他人的影響。譬 如，保險公司無法確知汽車保險購買者在買入保險後的行為，駕駛者購 買了保險，基於車輛的損失由保險公司負擔，因而駕駛者便減少在駕駛 時對路面交通安全的注意程度，從而使行車風險提高，增加保險公司低 估風險的可能損失。 在「雙重道德風險」的視角下，假如某一項工作需要勞資雙方共同付出 努力或投入，大家合力完成，雙方因對方也要付出，結果便減少了自身 投入或付出的部分，導致整體結果未如理想。 「雙重道德風險」陷阱 事實上，在網絡保安方面，很多事故的肇因，往往就是因為大家墮入了 這個「雙重道德風險」陷阱之中。很顯然，用戶是牽涉保安工作結果的 一份子，於是企業難免認為，用戶會為保安出一分力，自己也會作出一 些保護措施，譬如保護好自己的密碼；與此同時，用戶則認為，企業會 做好防範網絡攻擊的措施和裝置，自己毋須多此一舉，結果，雙方都減 少了對保安的警惕性和付出，為網絡攻擊者帶來侵入的黃金機會。 可以說，資訊保安要獲得良好成效，取決於企業和用戶兩者的付出和投 入，而無法由單方獨力有效完成。目前，資訊保安事故頻仍，往往是因 為忽視了用戶投入或付出的部分，這一點很值得清楚指出來。換言之， 社會需要重新檢視一下用戶在網絡保安上所扮演的角色和責任。 目前，大部分企業的網絡安全裝置都有防火牆、抵禦木馬程式的防毒軟 件裝置，即使如此，假如用戶方隨意把自己的密碼與人分享、或與其他 網絡保安與個人私隱保障