谷歌的教训:创新必须伴随责任

谷歌和中国的纠纷带来的最重要的启示未必是互联网的审查问题,而是产品的安全和责任问题。外交关系委员会的学者罗勃•克内科和亚当•塞格尔指出,全球化模式下的产品创新跨越时空边界,在此模式下要保证安全与责任困难重重,这都集中体现在两种紧张关系上。把研发中心移到其他国家,靠近发展中的市场,会带来在网络上和现实中的额外风险。但尽可能快地把新技术引入市场的步伐和压力也给公司带来另一重的风险。隐私或安全在产品发展过程中往往都不是首要考虑。不可小觑网络风险:去年美国电网就被黑客攻击,而2007年巴西的大停电也是部分由黑客所致。克内科和塞格尔相信,把重点转向安全问题——无论是网络还是地理上的——将成为下一代产品创新的主要动力。公司在选择外包服务或兴建新的研发中心时,可能会更加强调所在国的风险问题。政府也可能对产品作出最严格的安全要求,把产品责任转向技术提供者。最终,放慢创新的脚步,让产品安全成为首要信条而不是功能强大的应用软件,可以保证更好的产品责任,防安全问题于未然。——耶鲁全球

谷歌的教训:创新必须伴随责任

企业和政府在采用新产品时将首先关注安全问题
罗勃•克内科,亚当•塞格尔 (Rob Knake, Adam Segal)
Monday, February 22, 2010

谷歌在北京:一个创新的地方是好的,但安全性可以更好地

纽约:谷歌和中国的纠纷正处在僵持状态,不知道下一步会是什么。但谷歌事件最重要的影响未必跟互联网审查有什么关系。它很有可能改变的是信息科技部门技术开发的速度和形式。谷歌这一搜索引擎巨人在中国被黑客攻击的消息,突显了在全球化模式下企业产品创新和安全之间的两种正在浮现的紧张关系,在这种情况下,企业应该暂停改变的步伐,更好地兼容安全与责任。
 
第一种紧张关系是在地理上的。在过去二十年中,跨国企业让产品创新全球化,在世界各角落设立研究中心,把分散在不同的市场中的研发、生产和供应连接在一起。大规模的信息交通技术网络让产品开发项目——无论是开发新软件还是设计下一代的微处理器——可以24小时不停地运作,从俄勒冈到印度,再到以色列和爱尔兰,又回到俄勒冈。由于互联网仍是这种全球合作的主要载体,在这条链上的每个环节都有可让罪犯和“爱国黑客”的可乘之机。“爱国黑客”是指那些在政府直接或间接的支持下,代表该政府盗取宝贵知识产权的个人或团体。安全公司“网络证人”指出,在过去18个月中,中国和东欧的黑客侵入了企业和政府机构里超过2500台电脑,目的在于盗取个人和企业数据。

 
而且,把生产和研发移到别的地方,而不止是通过网络把它们连结起来,可能对安全产生不利影响。地理仍是关键因素,因为在现实中那些分享部件的供应链可能会很脆弱,情报部门可能在生产环节在芯片和其它硬件中植入间谍装置。思科公司的路由器是互联网传输的关键部分,而其仿冒品在主要技术企业和国防部门分包商的网络中出现的事实,证明了供应链是如何地千疮百孔。

 
时间是造成紧张局面的另一源头。技术以前所未有的速度传播,新产品到市场的时间极大地缩短了。企业要保持竞争优势,就必须争分夺秒地进行创新,但关注速度是以责任、安全和保护措施为代价的。谷歌也许就是这一潮流最好的例子,工程师分成小队,以竞赛地速度开发Google Maps, Gmail,Picass和其它产品,推出试用版,然后在网上适用。有的产品行得通,有的不,但在开发新产品中安全和隐私往往不是优先考虑因素,而最近对于社交网络服务提供商Buzz的安全和隐私问题的呼声就是一例证。

 
问题并不只是出在谷歌身上。许多企业都以同样的方式行事,让快速的创新优先于安全。由于急着让带着新功能的新产品上市,瑕疵的数量也大大增加。许多瑕疵和漏洞都存在安全隐患,透过它们可以取得财产信息或改变运行。有人怀疑,黑客就是部分透过微软浏览器上的弱点来入侵谷歌的。当计算机不像今天这么重要,当操作水力发电项目、电厂及军事通讯仍有人手备份的时候,这不是太大的问题,但是现在信息科技必须跟其它形式的基础设施一样可靠。

 
在智能电网——也就是利用信息技术来检测和有效分配电力的网络——的情况下尤其如此。去年四月,《华尔街日报》报道,外国情报机构入侵美国电网,并留下恶意软件,目的在于通过遥控使电网瘫痪。2007年巴西大规模停电,其原因除了高压绝缘子的缺乏维护之外,也归咎于黑客。尽管人们越来越担心电网遭受网络攻击,但奥巴马政府仍然像信息技术企业拥抱技术发展一样,匆匆忙忙地奔向智能电网。十月,能源部宣布34亿美元的刺激方案,将在49个州推行100个智能电网项目。公用事业部同意增投额外的47亿。但国家标准化研究所还没完成《智能电网安全策略和要求》。安全和保障措施再一次落后于设计和实施。

 
希望这种趋势会改变。许多个月以来,谷歌拒绝把业界通行的加密做法作为Google Mail、Docs和Calendar的默许设置,因为加密会阻碍互联网上的信息流动,而且由于加密需要额外的数据解密,用户的电脑会因此而慢下来。当黑客在中国尝试入侵的消息公布后,谷歌改变了自己的做法,把加密保护设置为默许。

 
对IT行业来说,教训就是在下一代产品创新时,安全必须成为首要关注点。必须从设计开始就考虑安全问题,不要等到出事了才想起。一旦弱点暴露,亡羊补牢也于事无补,还意识不到这点的企业将要付出代价。

 
由于安全第一,关键系统就必须进一步的简练。系统越复杂,就越容易出问题。例如,控制水电网络的计算机系统应该不多不少,刚好足够应付需要。信息技术的提供者将要放弃那种万能系统的方法,要明确界定目标,针对这些有限的目标设计简单的系统。

 
政府在推动这种市场转向时也可助一臂之力。例如,华盛顿就可以发挥其作为用户的力量,坚持要求所有新产品要满足不断提高的安全和可靠性要求。此外,产品责任的标准也可以作出调整,让科技企业为产品问题负责。安全顾问布鲁斯•施奈德建议,把安全责任从消费者转移到生产者很可能会为责任保险创造一个次级市场,在提高安全实践的同时,避免烦琐的立法过程。

 
企业也可能需要重新考虑生产和研发的地点。把这两者一起放在企业所在国可以限制知识产权失窃和供应链受污染的风险。当靠近外国市场是关键的时候,跨国企业应当让政府知道,它们对研发地点的选址不仅是基于人才和基础设施的考虑,而且也斟酌过安全问题。由此,企业需要在海外设立研发中心时,将更谨慎地选择设立国。生产外包将继续,但必须更严密地监视从知识产权向产品的转化。
谷歌和中国政府的纠纷对信息科技企业的教训是:停下来,深呼吸。产品在哪里设计和生产仍然十分重要,匆忙奔向海外可能意味着宝贵的知识产权的流失。再者,速度领先将变得不那么重要。如果产品创新的脚步能慢一点,但安全一点,将对大家都有好处。
罗勃•克内科是外交关系委员会的国际事务研究员,亚当•塞格尔是该委员会的伊拉•A•利普曼高级研究员。
耶鲁大学全球化研究中心2010年