在6年前的达沃斯世界经济论坛(WEF)上,我第一次真正为信贷泡沫感到担心。在那时,也就是2007年1月,复杂信贷领域已明显出现问题,并且问题日趋严重。不过,同样很明显的是,当时公共和私人领域普遍否认这一点。
出现这种情况的部分原因在于“代理困境”(agency dilemma)。如经济学家们所说:尽管人们对复杂信贷有许多担忧,但没有任何企业或政府官员愿意声张,担心这样做会让自己蒙羞,或制造恐慌。因此,我当时很难举出具体的名字或数字来阐述我的担忧。达沃斯论坛的与会者只是在会后的私下场合悄声谈论这个问题。
在上周的2013年世界经济论坛上,当年的情境再次出现。不过,这一次令我不安的不是金融领域的问题,而是网络安全问题。最明显的是,在今年的达沃斯论坛上,许多企业高管在与我聊天时都表示,自己的企业遭到了大量网络攻击。有些攻击来自青少年黑客,或来自想利用安全漏洞盗窃金钱或机密信息的投机者,但安全专家表示,许多攻击的性质似乎更加恶劣,可能导致企业系统或关键基础设施瘫痪。
然而,如2007年一样,“代理困境”再次出现。近几个月以来,已有一些企业如汇丰(HSBC)、富国银行(Wells Fargo)、洛克希德(Lockheed)在无法隐瞒的情况下被迫承认受到了网络攻击。但这不过是冰山一角,如今绝大多数企业都害怕公开谈论这个问题,因为担心自己的声誉受损,或担心引发恐慌。
这意味着,外人很难确切了解网络攻击的整体规模。
投资者想要了解一家企业的受攻击情况就更难了。今年的达沃斯论坛安排了网络安全问题的专题辩论会,但几乎没有企业CEO参加,由此可见企业有多么不愿意公开讨论这个问题。我们也很难找到一份详细探讨这个问题的企业年报。
尽管如此,从达沃斯的私下谈话来看,形势相当严峻。比如说,一家大型咨询集团的负责人表示,他们的一些跨国企业客户“每天大约受到1.5万次攻击”。一家大型跨国银行的首席执行官表示,该行每天被攻击的次数是这个水平的“10倍”。公用事业企业(比如电网)被攻击的频率与跨国公司也差不多。如今,就连医院也是网络攻击的目标。一家大型美国医院集团告诉我:“几周前,我们发现,我们最近受到了180次攻击——这完全出乎我们的意料。”或者,正如一家美国科技集团高管所指出的:“攻击活动呈几何级数增长。网络攻击酿成重大事故是迟早的事。”
有解决办法吗?因为担忧“代理困境”问题,澳大利亚等一些国家已经采取措施,强迫企业共同采取行动。澳大利亚政府要求本国的企业在网络防护方面投入资源,并分享有关网络攻击的数据。英国也打算采取同样的做法。
然而,这种做法要在美国实施比较困难,因为在美国,政府担当主导者的争议比较大。近几个月以来,美国前国防部长利昂•帕内塔(Leon Panetta)试图敦促相关方面采取行动。他在几个月前声称,一场网络攻击可能造成比9/11事件更严重的后果,并警告称,“尽管企业的网络防护意识正在增强,但事实上,在即便是基本网络安全方面有所投入的企业也非常少”。
然而,许多美国CEO不喜欢国防部对自己发号施令。一些人坚称,自己的企业在网络防护方面已经投入很多,政府的威吓是没有必要的。一家美国银行的CEO表示:“是的,我们受到了大量攻击,但关键是,这些攻击都被我们击退了。”
或许事实的确如此。但关键问题是:即便有一些企业在这方面已经做得很好,但其他企业做得还不太好;如果不展开更加公开的辩论,我们很难促使企业董事会采取行动。如果不加大这方面的信息披露,投资者也很难估计这些风险并把它们反映到价格上。因此,股东早就应该要求企业提供更多相关信息,这是最起码的。企业应该提供的信息不仅包括网络攻击的规模,还包括企业为击退攻击采取了何种措施。
如果企业拒绝回答这些问题,那么股东(或政府)应该要求他们说明理由。毕竟,如果说2007的事件带给了我们什么教训,那就是:面对风险保持一种令人尴尬的沉默,并不总能让问题自动走开,特别是当消费者(和投资者)以及受攻击企业的利益可能受到损害时。
