程序員需要對(duì)黑客攻擊事件負(fù)責(zé)嗎？

近日，美國(guó)計(jì)算機(jī)協(xié)會(huì)的六月刊（COMMUNICATIONS OF THE ACM）收錄了一篇名為《軟件行業(yè)仍然是問(wèn)題所在》的文章。

此文作者Poul-Henning Kamp是一位丹麥的計(jì)算機(jī)軟件開(kāi)發(fā)人員，也是FreeBSD、Varnish等開(kāi)源項(xiàng)目的核心開(kāi)發(fā)人員之一。針對(duì)去年大量美國(guó)公司遭遇黑客攻擊事件，他認(rèn)為“IT從業(yè)者必須受到嚴(yán)格的法律監(jiān)管，并且工程師需要對(duì)黑客攻擊事件負(fù)責(zé)”。此觀點(diǎn)一出，立即引起了網(wǎng)友們的熱烈討論。

產(chǎn)品遭遇黑客攻擊，軟件供應(yīng)商應(yīng)對(duì)此負(fù)責(zé)

在文章中，Kamp提到了美國(guó)燃油、燃?xì)夤艿肋\(yùn)營(yíng)商Colonial Pipeline遭黑客攻擊的著名事件。Colonial Pipeline去年5月遭到勒索軟件DarkSide攻擊，黑客滲透進(jìn)其網(wǎng)絡(luò)、加密了系統(tǒng)軟件，還竊走近100GB的資料文件。由于Colonial Pipeline負(fù)責(zé)美國(guó)東海岸多達(dá)45%的燃料供應(yīng)，所以燃油網(wǎng)絡(luò)的癱瘓讓公路運(yùn)輸大亂，甚至讓美國(guó)一度宣布進(jìn)入國(guó)家緊急狀態(tài)。據(jù)報(bào)道，Colonial Pipeline最終向黑客支付了近500萬(wàn)美元的贖金。

圖源：CSDN付費(fèi)下載自視覺(jué)中國(guó)

而就在此事發(fā)生后不久，一家安全咨詢(xún)公司在7月份稱(chēng)，大約有200多家美國(guó)企業(yè)受到了勒索軟件的攻擊，這里面還包括很多零售連鎖店。因?yàn)楹诳驮谝恍┖芏嗳硕紱](méi)聽(tīng)說(shuō)過(guò)的小眾第三方軟件產(chǎn)品中發(fā)現(xiàn)了漏洞，這次攻擊也導(dǎo)致這些企業(yè)的IT系統(tǒng)網(wǎng)絡(luò)癱瘓。

對(duì)于這200多家企業(yè)的遭遇，Kamp認(rèn)為這完全重現(xiàn)了杰拉爾德·溫伯格名言的含義，即“啄木鳥(niǎo)不是在鏟平個(gè)別的、特別糟糕的建筑，它是在鏟平文明，因?yàn)樗械慕ㄖ己茉愀狻！?/span>

與此相反，這200多家受影響企業(yè)的律師發(fā)現(xiàn)，第三方軟件供應(yīng)商的全部責(zé)任在于如果他們覺(jué)得一個(gè)方案不行，那他們只會(huì)提供一個(gè)新的來(lái)代替。

因此，Kamp提出了“軟件行業(yè)迫切需要真正的軟件產(chǎn)品責(zé)任”的觀點(diǎn)。

那IT行業(yè)的軟件供應(yīng)商該如何承擔(dān)軟件產(chǎn)品責(zé)任呢？Kamp認(rèn)為這一“重?fù)?dān)”就落到了IT工程師的身上。

IT工程師的從業(yè)資格應(yīng)受到法律監(jiān)管

Kamp提到，在丹麥，有129個(gè)工作崗位受到法律監(jiān)管。政府列出了充分而明顯的理由，將任何不符合條件卻從事相關(guān)職業(yè)的行為都定義為非法，甚至包括安裝馬桶或天然氣爐等職業(yè)。至于國(guó)家連誰(shuí)經(jīng)營(yíng)寵物店、誰(shuí)制作動(dòng)物標(biāo)本都管，這在了解相關(guān)法律后也可以理解，因?yàn)樵趧?dòng)物福利和瀕危物種保護(hù)方面有很多不為人知的極端案例。

值得注意的是，這份名單上沒(méi)有任何與IT相關(guān)的工作，就好像與IT架構(gòu)、計(jì)算機(jī)、計(jì)算機(jī)網(wǎng)絡(luò)、計(jì)算機(jī)安全或者計(jì)算機(jī)系統(tǒng)中隱私保護(hù)的工作都不存在。這也導(dǎo)致那些在法律上被禁止從事其他行業(yè)的人（無(wú)論是因?yàn)槟芰Σ蛔氵€是欺詐，還是兩者都有），都能完全自由地進(jìn)入IT行業(yè)，甚至負(fù)責(zé)IT系統(tǒng)的架構(gòu)或控制美國(guó)東海岸近一半燃料的網(wǎng)絡(luò)安全系統(tǒng)。

圖源：CSDN付費(fèi)下載自視覺(jué)中國(guó)

Kamp稱(chēng)，清單上的崗位有兩個(gè)最主要的要求：一是要展示教育證明，證明自身能力；二是要出示責(zé)任保險(xiǎn)。第一個(gè)要求在IT行業(yè)經(jīng)常會(huì)被提及，很多公司會(huì)讓求職者參加考試來(lái)檢測(cè)其是否具備證書(shū)上的能力。但第二個(gè)問(wèn)題在IT行業(yè)中卻從未被問(wèn)及。

對(duì)于煤氣、水、電或建筑穩(wěn)定性等行業(yè)，法規(guī)并不關(guān)心一家公司是有幾百年的歷史還是剛剛成立，因?yàn)橐?guī)則總是相同的：東西要管用，只有獲得許可的人才能從業(yè)，因?yàn)樗麄冎涝撊绾稳プ觯绻麄儾蛔袷匾?guī)則，那他們就會(huì)被起訴。

所以，就像幾乎所有其他工程行業(yè)一樣，IT工程師是時(shí)候該承擔(dān)職業(yè)責(zé)任了，比如電力、飛機(jī)、火車(chē)、電梯和建筑等行業(yè)對(duì)工程師職業(yè)責(zé)任的規(guī)定。對(duì)于這一觀點(diǎn)，敏銳的讀者很可能會(huì)驚呼：“這將是我們所知的IT業(yè)的終結(jié)！”而Kamp表示，這一觀點(diǎn)正是他經(jīng)過(guò)深思熟慮才提出的。

IT工程師是否應(yīng)對(duì)勒索軟件攻擊負(fù)責(zé)？

雖然Kamp在去年就發(fā)布了這篇文章，內(nèi)容也是基于當(dāng)時(shí)大量公司遭到黑客攻擊的事件所進(jìn)行的分析。但隨著ACM將這篇文章收錄進(jìn)檔案，人們?cè)凇癐T工程師是否應(yīng)對(duì)勒索軟件攻擊負(fù)責(zé)”的問(wèn)題上進(jìn)行了激烈討論。

有網(wǎng)友認(rèn)為，IT工程師理應(yīng)承擔(dān)起相應(yīng)的責(zé)任：

網(wǎng)友@david：“如果你的代碼被破壞了，你就要對(duì)此負(fù)責(zé)。任何行業(yè)的人都不能把事情搞砸了卻不承擔(dān)任何后果?！?/span>

網(wǎng)友@AcidFnTonic：“極端責(zé)任本身就是一種預(yù)防形式?！?/span>

還有網(wǎng)友認(rèn)為，IT工程師往往不是能做決定的人，所以讓他們負(fù)責(zé)并不合理：

網(wǎng)友@ctilsie242：“很多公司的管理層最多只是口頭上說(shuō)說(shuō)安全，實(shí)際上，他們甚至?xí)f(shuō)‘安全沒(méi)有投資回報(bào)率’。所以，最后出現(xiàn)勒索軟件事件時(shí)，往往還是IT工程師背黑鍋。”

網(wǎng)友@lchijo：“關(guān)鍵是要讓IT工程師成為決定者，當(dāng)你發(fā)現(xiàn)做錯(cuò)事可能導(dǎo)致高昂的保險(xiǎn)費(fèi)，或者因?yàn)槁殬I(yè)不端行為失去從業(yè)資格甚至面臨起訴。這時(shí)你就有更多的權(quán)利對(duì)錯(cuò)誤決策說(shuō)‘不’?！?/span>

最后，你認(rèn)為IT工程師的從業(yè)資格應(yīng)受到法律監(jiān)管嗎？當(dāng)產(chǎn)品受到勒索軟件攻擊時(shí)，IT工程師需要負(fù)責(zé)嗎？

參考鏈接：

• https://cacm.acm.org/magazines/2022/6/261171-the-software-industry-is-still-the-problem/fulltext

• https://news.ycombinator.com/item?id=31558890

• https://it.slashdot.org/story/22/05/29/1716231/should-it-professionals-be-liable-for-ransomware-attack