美國如何利用税收政策提升網絡安全——《華爾街日報》

插圖：基爾斯滕·埃森普雷斯沙克爾福德博士是印第安納大學凱利商學院商法與倫理學教授，同時擔任奧斯特羅姆研討會和應用網絡安全研究中心的執行主任。

本傑明·富蘭克林有句名言感嘆，在這個世界上，除了死亡和税收，沒有什麼是確定的。到了2023年，我們還可以為21世紀的生活加上第三個確定性：網絡攻擊。

Check Point研究機構最近的報告顯示，2022年全球數據泄露事件增加了38%。根據IBM發佈的2022年調查報告，每次數據泄露的平均成本去年創下歷史新高，達到435萬美元，超過80%的受訪組織表示他們不止一次遭遇過數據泄露。

儘管聯邦和州政府實施了一些值得稱讚的改革，包括通過強制性的勒索軟件報告制度，但顯然美國的網絡和關鍵基礎設施仍然遠未安全。

或許是時候迴歸富蘭克林先生的格言，考慮税收激勵與懲罰措施在推動網絡安全投資方面所能發揮的作用了。

我與賈寧·希勒教授、凱瑟琳·基斯卡-舒爾茨教授合著的新研究提出了具體實施方案。我們建議設立三級聯邦網絡安全投資税收抵免（FCIT），鼓勵企業採納網絡安全與基礎設施安全局（CISA）等機構認定的、保衞國家關鍵基礎設施所必需的網絡安全措施。

第一級税收抵免（FCIT-Core）將推動企業落實基礎網絡安全防護。這些措施相當於網絡安全的盡職調查基本功，例如多因素認證技術。企業（尤其是中小企業）花費了太長時間才認識到這項基礎安全措施的重要性。若早期通過税收抵免政策推廣雙因素認證，本可阻止部分網絡攻擊，避免數百萬美元的數據泄露損失及身份盜竊受害者的連帶困擾。

但單一標準的抵免政策難以適配所有企業。例如，以提供安全防護為立身之本的網絡安全公司不應因實施基礎防護獲得抵免，擁有龐大數字業務的多國企業同樣如此。對於這些企業及所在行業（滿足網絡安全標準是其商業責任的一部分），第二級税收抵免（FCIT-Advanced）將激勵其建立更高級的防護體系——比如採用零信任安全模型，該模型假定網絡已遭入侵，需對任何試圖接入的人員或設備進行持續多源驗證。

第三級信用等級稱為FCIT-Eco，旨在獎勵那些採取積極措施推動行業發展的企業，例如為小企業提供免費工具和網絡安全培訓。該信用將表彰那些認識到網絡安全共同責任的企業公民精神，特別是在醫療、能源和金融等關鍵基礎設施領域。通過這種方式，它類似於歐盟在推動行業創建數據治理行為準則方面的努力。

與此同時，税收政策也必須認識到，在網絡空間中沒有任何企業是孤島，一個參與者的弱點很容易對他人造成傷害。為此，我們建議政策制定者考慮對未能充分投資於網絡安全準備的公司徵收網絡不安全税。

僅靠結構化的税收政策並不能解決我們所有的網絡安全問題。而且我們的想法肯定也有缺點。確定哪些網絡安全措施能讓企業有資格獲得特定的FCIT信用，然後決定哪些機構應被分配這些職責，是具有挑戰性的。確定最佳的税收抵免和網絡不安全税率，以及相關的成本計算，需要進一步探索。還應考慮可以支持專門網絡安全税收政策的補充政策。

但提升美國的網絡安全需要政策制定者打破監管僵局，並利用量身定製的胡蘿蔔加大棒的税收方法來應對當前形勢。也許我們對死亡和税收無能為力。但讓我們在網絡安全方面盡力而為。

請寫信給沙克爾福德先生，郵箱：[email protected]。

刊登於2023年2月16日印刷版，標題為《利用税收加強網絡安全》。