「增长 without security is reckless。」尼日利亚科技创业者阿萨朱·彼得(Asaaju Peter)用这句话,把本国科技圈一块遮羞布扯了下来。
这位数字媒体出版人盯上了一个被刻意忽略的问题:大量尼日利亚科技公司正在"裸奔"——没有基础网络安全框架,却手握千万用户的敏感数据。他的警告直指一个悖论:国家数字经济越扩张,普通用户的风险越高。
正方:为什么"先增长、后安全"成了潜规则
彼得描述的图景并不复杂。尼日利亚科技公司正在经历一轮快速扩张:金融科技平台、电商、健康科技、数字媒体, collectively 掌握着数千万公民的个人信息。公司忙着获客、迭代产品、处理交易,安全架构却被排在优先级末尾。
这种选择有其现实逻辑。2023年《尼日利亚数据保护法》虽已生效,国家信息技术发展署也发布了网络安全合规指南,但执行层面参差不齐。中小型科技公司尤其典型——没有专职安全人员,没有成文的数据保护政策,没有定期安全审计。
资源约束是明面上的理由。安全投入看不见即时回报,而增长指标(用户数、交易额、融资额)才是生存线。在竞争激烈的创业生态里,"先跑起来"似乎比"先锁好门"更合理。
更深一层,数据泄露的代价往往外化。彼得指出, negligence 的后果很少由公司承担,而是转嫁给普通用户——他们的姓名、电话、银行信息、个人记录流入黑市,却可能根本不知道自己已被 breach。这种风险不对称,让"轻安全"策略有了持续存在的土壤。
反方:安全投入真的是"成本黑洞"吗
彼得的反驳很直接:这种账算错了。
他给出的第一条论据是攻击面的现实。全球范围内,人为失误仍是网络攻击成功的主因——弱密码、钓鱼中招、数据操作习惯差。这些问题不需要天价预算,需要的是系统性的员工培训和流程设计。把安全完全等同于"买贵设备",本身就是认知偷懒。
第二条论据关乎信任资产的贬值。尼日利亚数字经济的根基是用户对平台的信任。每一次未公开的数据泄露(彼得提到"许多案例并未对外披露"),都是在透支行业整体的信用额度。当用户开始怀疑"我的数据是否安全",增长曲线的陡峭程度必然受限。
第三条论据指向监管风险的累积。2023年数据保护法已经落地,执法力度的不一致不等于永久豁免。合规成本会随时间递增,而突击整改的代价远高于渐进投入。拖延策略本质是赌"出事前我能长大到不在乎",但数据泄露的时间窗口并不由公司控制。
彼得开出的药方也很具体:基础安全审计、员工培训、数据加密、最小权限原则、经过测试的应急响应计划。没有一项需要颠覆性技术,全是"该做而未做"的基本功。
我的判断:这不是技术问题,是责任分配问题
彼得的喊话之所以值得注意,在于他戳破了一个行业幻觉:把"增长优先"包装成战略理性,实则是在逃避责任归属的清晰化。
尼日利亚的案例有特殊性,但逻辑并不罕见。新兴市场科技公司的典型困境是——用户数据价值被充分挖掘,数据保护成本却未被充分定价。当泄露后果由个体用户承担,公司自然缺乏投入动力。这种外部性需要监管介入来内部化,但监管本身存在时滞和能力缺口。
彼得的干预时机很关键。他不是在数据保护法通过时发言,而是在执行真空期持续发声。这意味着他盯上的不是"有没有规则",而是"规则会不会被认真对待"。他的身份也有意味:既是创业者又是数字媒体出版人,兼具内部人视角和公共表达渠道。
值得追问的是,为什么这类警告往往由个体发出,而非行业协会或投资机构。尼日利亚科技生态的治理结构,似乎尚未形成将"安全"纳入估值模型的集体机制。当尽职调查清单里缺少"过去12个月是否发生过未披露的数据泄露",资本本身就在默许风险转移。
彼得的五步建议(审计、培训、加密、权限管理、应急响应)之所以显得"基础",恰恰说明问题的荒谬程度——不是不知道怎么做,是不愿意现在做。这种拖延的底气,来自风险承担者与决策者的分离。
一个冷观察:彼得用"reckless"形容增长 without security,这个词在英语里同时有"鲁莽"和"不计后果"两层含义。在尼日利亚科技圈的语境下,两层都成立——既是对用户的不负责任,也是对自身长期价值的计算失误。毕竟,当数据泄露最终触发监管重锤或用户集体诉讼,"我们当时太忙了"不会成为有效辩护。
增长与安全从来不是零和。真正的零和博弈发生在"现在省钱"与"未来买单"之间——而彼得的警告是,后者的时间表可能比想象中更近。
热门跟贴