риски по всем участникам этого рынка - точно так же, как в наркобизнесе. Разделение труда приводит к повышению устойчивости всей системы. Для наркомафии арест одного наркокурьера - все равно что слону дробинка. Так и арест одного разработчика трояна не затронет 'клиентов' его сервиса, и через какое-то время аналогичный сервис появится в другом месте и с участием других людей.
Мир информационный безопасности подвергался государственному регулированию с самых первых дней своего существования, хотя поначалу это регулирование не имело ничего общего с вопросами честной конкуренции. Первые действия касались нераспространения: государство использовало экспортные лицензии и контроль над финансированием исследований, чтобы ограничить доступ к криптографии на как можно более долгий срок. Этот процесс прекратился лишь к началу нынешнего века.
Ландфехр (Landwehr) описывает попытки правительства США разобраться с проблемой 'лимонного рынка' в мире компьютерной безопасности, начатые в середине 1980-х. Во-первых, речь идет об исправлении схемы государственного тестирования и сертификации ПО (о так называемой 'Оранжевой Книге', 'Orange Book'), но это исправление лишь породило новые проблемы. Желание менеджеров упростить процесс сертификации самого свежего софта привело к тому, что производителям было достаточно показать, что процесс начат, хотя зачастую он так никогда и не заканчивался. Также возникали проблемы взаимодействия с системами союзников - Англии, Германии и пр.
Регулирование значительно улучшилось, когда неудачи рыночного механизма в индустрии информационной безопасности стали ясны. Евросоюз принял документ 'Network Security Policy', который установил общеевропейский ответ на атаки на информационные системы. Это послужило началом применения экономических мер при планировании государственного управления. Другой пример: комментарии правительства Германии по поводу инициативы Trusted Computing. Они сильно повлияли на Trusted Computing Group, заставив ее согласиться с принципами членства, исключающими дискриминацию небольших предприятий. Недавно Еврокомиссия высказывала свои соображения об экономических последствиях механизмов безопасности Windows Vista.
Еще один важный вопрос, поднятый патриархом экономического анализа информационной безопасности Россом Андерсоном (Ross Anderson): кто отвечает за безопасность? Очевидно, что ответственность за безопасность должна возлагаться на того, кто имеет возможность ее обеспечивать. Однако в условиях, когда компьютер домохозяйки может использоваться для атаки на сайт Microsoft, а неграмотно настроенный SMTP-сервер - поставить под удар всю сеть, в которой он находится, это далеко не тривиальная проблема. Сколько вы готовы заплатить за то, чтобы обеспечить безопасность Microsoft? Думаю, немного. И уж конечно, вы практически ничем не рискуете, отказываясь от добровольной помощи редмондскому гиганту - Microsoft вряд ли будет судиться с вами в случае участия вашего компьютера в DDoS-атаке (как мы уже видели, бороться с отдельными участниками распределенной угрозы никто не будет, кроме разве что RIAA и MPAA, но этот клинический случай мы не рассматриваем).
В экономике такая ситуация известна под названием 'трагедия ресурсов общего пользования'
