網路安全集體行動與關鍵基礎設施保護

執行摘要

根據 Cybersecurity Ventures 的數據，全球網路犯罪成本預計到2025年將達到每年10.5兆美元——超過除美國和中國以外所有國家的 GDP。儘管威脅水準迅速升級，網路安全投資仍然存在系統性不足。World Economic Forum 的《2025年全球網路安全展望》報告指出，90%的網路安全領導者認為當前的網路風險生態系統「顯著不平等」，中小企業、發展中經濟體和關鍵基礎設施營運商相對於其防禦能力承擔了不成比例的風險。

本工作論文從集體行動理論和公共財經濟學的角度分析網路安全。我們認為，網路安全具有公共財的特徵，並帶有顯著的正外部性：一個組織的安全投資通過減少威脅行為者可用的攻擊面，使所有互聯實體受益。然而，由於這些收益是非排他的（所有連接的實體都受益）和非競爭的（一個組織的安全不會減損另一個組織的安全），經典的搭便車問題導致了系統性的投資不足。此外，數位基礎設施的互聯性質意味著整體系統安全通常由最弱環節——連接網路中安全性最低的組件——決定，形成一種「最弱環節」公共財賽局，其中強力安全投資的激勵被進一步削弱。

我們估計全球網路安全投資缺口——實際支出與社會最優水準之間的差距——約為每年1,500億至2,000億美元。彌合這一缺口需要將網路安全外部性內部化、解決最弱環節問題、並在本質上無國界的威脅環境中促進國際合作的制度機制。

網路安全作為公共財：經濟學框架

由 Samuelson（1954）正式化並由 Olson（1965）在其集體行動分析中擴展的公共財經濟理論，為理解網路安全投資不足提供了基礎框架。當一種財貨具有非排他性（個人無法被阻止從中受益）和非競爭性（一個人的消費不會減少其對他人的可用性）時，它就是「公共的」。純粹的網路安全——免受網路威脅的狀態——在互聯網路中同時具備這兩種屬性。

考慮一個由 N 家企業組成的供應鏈網路。當企業 A 投資於網路安全時，它降低了 A 透過共享網路連接、軟體依賴或數據交換成為攻擊企業 B、C 和 D 的途徑的概率。安全收益流向所有連接的企業，而不論它們自身的投資如何。這種正外部性意味著網路安全投資的私人回報（對企業 A 的收益）低於社會回報（對所有連接企業的收益），導致企業 A 的投資低於社會最優水準。

投資不足問題在數量上是顯著的。IBM 的《2025年數據洩露成本報告》估計數據洩露的平均成本為488萬美元，供應鏈攻擊的成本比平均水準高出14%。然而，洩露成本的相當大一部分由被洩露組織以外的各方承擔：數據被洩露的客戶、業務運營被中斷的商業夥伴，以及因信任降低而受影響的更廣泛數位生態系統。Anderson 和 Moore（2006）估計這些外部成本佔洩露總影響的40-60%——這些成本是被洩露組織在其安全投資決策中未內部化的。

最弱環節問題：系統安全及其決定因素

網路安全在一個關鍵方面與許多公共財不同：互聯系統的安全通常不是由平均或總體安全投資決定的，而是由最低值——最弱環節——決定的。Hirshleifer（1983）將此定性為「最弱環節」公共財賽局，其中所有參與者的收益由最低貢獻決定。

最弱環節動態在網路安全中普遍存在。2020年的 SolarWinds 攻擊利用了一個被入侵的軟體更新機制，滲透了超過18,000個組織，包括美國聯邦機構和《財富》500強企業。2021年的 Colonial Pipeline 勒索軟體攻擊擾亂了美國東海岸的燃料供應，利用的是一個被盜的 VPN 憑證。2023年的 MOVEit 漏洞通過一個檔案傳輸應用程式影響了超過2,600個組織。在每個案例中，整個系統的安全都由其最薄弱的環節決定。

最弱環節賽局產生了獨特的均衡特性。與「最佳射擊」公共財（只有最高貢獻者重要）不同，最弱環節賽局具有多個 Nash 均衡——任何對稱的貢獻水準都是均衡。然而，風險厭惡和對他人貢獻水準的不確定性傾向於將均衡推向較低的貢獻水準：如果任何參與者可能貢獻較少，那麼投資更多的回報就會降低。這種「協調失敗」在網路安全中因難以觀察他人實際的安全態勢——嚴重的資訊不對稱——而加劇。

國際層面：網路風險作為跨國挑戰

網路威脅的無國界性質為集體行動問題增添了地緣政治維度。網路威脅行為者——國家支持的團體、犯罪企業和駭客激進主義者——跨越司法管轄區運作，利用網路空間的全球性質與執法和監管權力的領土性質之間的差距。ENISA 的《2025年威脅態勢》報告指出，國家支持的行為者約佔重大網路事件的25%，犯罪勒索軟體團體進一步佔約35%。

網路安全的國際合作面臨的額外挑戰是，一些國家同時尋求保護自身基礎設施，同時發展進攻性網路能力——這種雙重用途的動態使合作框架變得複雜。聯合國政府專家組（GGE）和網路安全開放式工作組（OEWG）已建立了網路空間負責任國家行為規範，但這些規範缺乏執行機制。《布達佩斯網路犯罪公約》雖然為國際執法合作提供了框架，但僅有68個國家批准，並面臨主要網路強國參與不足的批評。

網路空間中攻防之間的不對稱進一步加劇了集體行動問題。World Economic Forum 估計，全球網路安全支出與網路犯罪損失的比率約為1:6——防禦者每花1美元，就會造成約6美元的損害。這種不對稱意味著，即使大幅增加防禦投資，如果沒有解決攻防平衡的補充措施（包括國際規範、威懾機制和犯罪基礎設施的瓦解），也可能不夠充分。

市場失靈與制度回應

除公共財問題外，還有幾種市場失靈導致了網路安全投資不足：

資訊不對稱：組織無法準確評估其供應商、合作夥伴和服務提供商的網路安全態勢。這阻止了市場機制獎勵良好的安全實踐或懲罰不良實踐。理論上可以為安全定價並提供激勵的網路保險市場仍然不成熟：Swiss Re 估計，全球網路損失中只有5-10%投保，保險公司因資訊不對稱而面臨嚴重的逆向選擇和道德風險問題。

不安全的負外部性：被入侵的系統通過參與殭屍網路、中繼垃圾郵件、數據洩露連鎖反應和供應鏈攻擊傳播，對他人造成成本。這些負外部性未在市場交易中定價，導致社會上過度的風險承擔。

漏洞披露中的協調失敗：新發現漏洞的社會最優策略——立即披露以啟用修補——與漏洞發現者的私人激勵（他們可能從利用或出售中獲利）以及受影響供應商的激勵（他們傾向於延遲披露以管理聲譽影響）相衝突。

應對這些市場失靈的制度回應正在出現，但仍然不足。強制性洩露通知法（目前已在超過100個司法管轄區頒布）通過強制披露安全失敗來解決資訊不對稱問題。特定部門的網路安全法規——歐盟的 NIS2 指令、美國的《關鍵基礎設施網路事件報告法》（CIRCIA）以及類似框架——為關鍵基礎設施營運商建立了最低安全標準。然而，這些法規在司法管轄區間是碎片化的，造成了合規複雜性和覆蓋漏洞。

政策建議：集體網路安全機制

基於公共財理論、最弱環節賽局分析和國際合作理論，我們提出五種互補的政策機制：

1. 網路安全責任改革。目前的法律框架通常不會追究軟體供應商和服務提供商對其產品安全漏洞的責任。引入分級責任——與已知未修補漏洞的嚴重性成正比——將使不安全軟體的外部性內部化。歐盟的《網路韌性法案》（2024）通過建立具有數位元素產品的安全要求，在這方面邁出了初步步驟。

2. 國際網路能力建設基金。一個多邊基金，以全球對抗愛滋病、結核病和瘧疾基金為範本，為發展中經濟體和小型企業的網路安全能力建設提供技術援助和融資。這直接通過提高安全底線來解決最弱環節問題。我們估計每年100億至150億美元的能力建設投入可以減少500億至750億美元的全球網路損失——4至5倍的投資回報率。

3. 關鍵基礎設施的強制性網路安全標準。跨司法管轄區為關鍵基礎設施營運商制定統一的、具有約束力的網路安全標準，以 NIST 網路安全框架、IEC 62443 和 ISO 27001 為基礎。合規評估的跨境互認將在維持安全基線的同時減少監管碎片化。

4. 威脅情報共享平台。政府推動的跨部門和跨境威脅情報共享平台，克服資訊共享中的集體行動問題。現有的倡議——美國 CISA 的聯合網路防禦協作組、歐盟的 CSIRT 網路以及五眼聯盟的網路合作——展示了其價值，但需要擴大以包括更多司法管轄區和私營部門參與者。

5. 網路保險市場發展。支持網路保險市場成熟的監管框架——包括標準化風險評估方法、精算數據共享以及災難性網路事件的政府擔保機制——將利用市場機制激勵安全投資，同時為剩餘風險提供財務韌性。

對 GDEF 科技與轉型工作小組的啟示

網路安全是數位經濟的基礎推動力——也是潛在的破壞力。本文所指出的集體行動挑戰需要與全球網路威脅規模相匹配的多邊制度解決方案。GDEF 的科技與轉型工作小組將在本文提出的機制基礎上，制定全球網路安全合作框架，於2026年年度峰會上發表。

參考文獻與來源

1. World Economic Forum, Global Cybersecurity Outlook 2025. WEF Centre for Cybersecurity. weforum.org/publications
2. IBM Security, Cost of a Data Breach Report 2025. ibm.com/reports/data-breach
3. ENISA, Threat Landscape 2025. European Union Agency for Cybersecurity. enisa.europa.eu
4. Cybersecurity Ventures, 2025 Official Cybercrime Report. cybersecurityventures.com
5. Samuelson, P.A. (1954). "The Pure Theory of Public Expenditure." Review of Economics and Statistics, 36(4), 387–389. doi.org/10.2307/1925895
6. Olson, M. (1965). The Logic of Collective Action: Public Goods and the Theory of Groups. Harvard University Press.
7. Anderson, R. and Moore, T. (2006). "The Economics of Information Security." Science, 314(5799), 610–613. doi.org/10.1126/science.1130992
8. Hirshleifer, J. (1983). "From Weakest-Link to Best-Shot: The Voluntary Provision of Public Goods." Public Choice, 41(3), 371–386. doi.org/10.1007/BF00141070
9. European Parliament, NIS2 Directive (EU) 2022/2555. eur-lex.europa.eu
10. Swiss Re Institute, Cyber Insurance: Growth and Challenges. Sigma Report, 2025. swissre.com/institute