后记 2 —— 云与安全

我经常在想，为什么 HashiCorp 没有诞生在中国，或者反过来说，为什么中国没有诞生 HashiCorp 这样的公司？就拿 Vault 这样的工具来说，其理念在国内仍然很少有人实践，这是为什么？

和大多数人一样，在很多平台注册账号时我也要填写个人联系方式，包括姓名、手机号等等。我在填写姓名时时常会设法将平台名编码进姓名里，比如肯德基，就叫“X肯生”，麦当劳？“X麦生”；美团？“X美生”......

最后结果就是，我有时会在某些社工数据中查到自己的数据，通过这些数据中的姓名，我就能大致了解到数据泄漏的源头是哪里。

结论就是许多我们日常信任的品牌都存在过数据泄漏问题。这是为什么？为什么用户的隐私数据没有做好加密？为什么内部数据访问权限没有经过严格控制？为什么不花时间去学习并使用类似 Vault 这样健壮且成熟的安全工具？

原因是，在中国信息安全出问题的成本其实很低，以至于企业并没有什么动力去做好这件事。欧美在信息安全和隐私保护方面都有严格的立法，一旦发生数据泄漏，伴随着大额罚单的往往还有各种行政乃至刑事处罚。在我国目前这方面终于在立法方面有所进展，但目前看力度仍显不足。

兜售“大数据”概念的人往往喜欢说：“数据是新的石油”。我们甚至发明了“数据挖掘”这样的名词来形容对数据的分析。但是我们对真正的各种煤矿、油田等进行严格的安全生产立法的同时，对数据生产安全的处罚力度却显得非常稀松。假如某地发生矿难，数百人伤亡，那么不但企业负责人要负刑事责任，当地主政的一把手仕途可能也会受到严重影响。如果一家企业发生了严重的隐私泄漏事件，我们可能会看到具体涉事的底层员工被开除，发动攻击的黑客被抓捕，企业缴纳罚款，但我们似乎从来没有见到过有企业高管因玩忽职守而负刑事责任的。

在企业跑马圈地野蛮生长的时候，信息安全看起来似乎没有那么重要，安全人员和运维看起来就是可有可无的角色，企业管理层可以用各种手段减少团队在信息安全方面的投入。但如果我们严格立法并且严格执法，像管理煤矿那样管理信息安全，规定企业高管要对大规模隐私泄漏负刑事责任的话，我想中国企业才能正确评估信息安全、软件工程和自动化的真正价值，以及他们当下野蛮生长的真实成本。

多一些玩忽职守蒙眼狂奔的 CXO 唱铁窗泪，大众的隐私安全就多一份保障，中国的信息技术产业的发展也就更加健康一点。