程序員需要對黑客攻擊事件負責嗎?
近日,美國計算機協會的六月刊(COMMUNICATIONS OF THE ACM)收錄了一篇名為《軟件行業仍然是問題所在》的文章。
此文作者Poul-Henning Kamp是一位丹麥的計算機軟件開發人員,也是FreeBSD、Varnish等開源項目的核心開發人員之一。針對去年大量美國公司遭遇黑客攻擊事件,他認為“IT從業者必須受到嚴格的法律監管,并且工程師需要對黑客攻擊事件負責”。此觀點一出,立即引起了網友們的熱烈討論。
產品遭遇黑客攻擊,軟件供應商應對此負責
在文章中,Kamp提到了美國燃油、燃氣管道運營商Colonial Pipeline遭黑客攻擊的著名事件。Colonial Pipeline去年5月遭到勒索軟件DarkSide攻擊,黑客滲透進其網絡、加密了系統軟件,還竊走近100GB的資料文件。由于Colonial Pipeline負責美國東海岸多達45%的燃料供應,所以燃油網絡的癱瘓讓公路運輸大亂,甚至讓美國一度宣布進入國家緊急狀態。據報道,Colonial Pipeline最終向黑客支付了近500萬美元的贖金。
而就在此事發生后不久,一家安全咨詢公司在7月份稱,大約有200多家美國企業受到了勒索軟件的攻擊,這里面還包括很多零售連鎖店。因為黑客在一些很多人都沒聽說過的小眾第三方軟件產品中發現了漏洞,這次攻擊也導致這些企業的IT系統網絡癱瘓。
對于這200多家企業的遭遇,Kamp認為這完全重現了杰拉爾德·溫伯格名言的含義,即“啄木鳥不是在鏟平個別的、特別糟糕的建筑,它是在鏟平文明,因為所有的建筑都很糟糕。”
與此相反,這200多家受影響企業的律師發現,第三方軟件供應商的全部責任在于如果他們覺得一個方案不行,那他們只會提供一個新的來代替。
因此,Kamp提出了“軟件行業迫切需要真正的軟件產品責任”的觀點。
那IT行業的軟件供應商該如何承擔軟件產品責任呢?Kamp認為這一“重擔”就落到了IT工程師的身上。
IT工程師的從業資格應受到法律監管
Kamp提到,在丹麥,有129個工作崗位受到法律監管。政府列出了充分而明顯的理由,將任何不符合條件卻從事相關職業的行為都定義為非法,甚至包括安裝馬桶或天然氣爐等職業。至于國家連誰經營寵物店、誰制作動物標本都管,這在了解相關法律后也可以理解,因為在動物福利和瀕危物種保護方面有很多不為人知的極端案例。
值得注意的是,這份名單上沒有任何與IT相關的工作,就好像與IT架構、計算機、計算機網絡、計算機安全或者計算機系統中隱私保護的工作都不存在。這也導致那些在法律上被禁止從事其他行業的人(無論是因為能力不足還是欺詐,還是兩者都有),都能完全自由地進入IT行業,甚至負責IT系統的架構或控制美國東海岸近一半燃料的網絡安全系統。
Kamp稱,清單上的崗位有兩個最主要的要求:一是要展示教育證明,證明自身能力;二是要出示責任保險。第一個要求在IT行業經常會被提及,很多公司會讓求職者參加考試來檢測其是否具備證書上的能力。但第二個問題在IT行業中卻從未被問及。
對于煤氣、水、電或建筑穩定性等行業,法規并不關心一家公司是有幾百年的歷史還是剛剛成立,因為規則總是相同的:東西要管用,只有獲得許可的人才能從業,因為他們知道該如何去做,如果他們不遵守規則,那他們就會被起訴。
所以,就像幾乎所有其他工程行業一樣,IT工程師是時候該承擔職業責任了,比如電力、飛機、火車、電梯和建筑等行業對工程師職業責任的規定。對于這一觀點,敏銳的讀者很可能會驚呼:“這將是我們所知的IT業的終結!”而Kamp表示,這一觀點正是他經過深思熟慮才提出的。
IT工程師是否應對勒索軟件攻擊負責?
雖然Kamp在去年就發布了這篇文章,內容也是基于當時大量公司遭到黑客攻擊的事件所進行的分析。但隨著ACM將這篇文章收錄進檔案,人們在“IT工程師是否應對勒索軟件攻擊負責”的問題上進行了激烈討論。
有網友認為,IT工程師理應承擔起相應的責任:
網友@david:“如果你的代碼被破壞了,你就要對此負責。任何行業的人都不能把事情搞砸了卻不承擔任何后果。”
網友@AcidFnTonic:“極端責任本身就是一種預防形式。”
還有網友認為,IT工程師往往不是能做決定的人,所以讓他們負責并不合理:
網友@ctilsie242:“很多公司的管理層最多只是口頭上說說安全,實際上,他們甚至會說‘安全沒有投資回報率’。所以,最后出現勒索軟件事件時,往往還是IT工程師背黑鍋。”
網友@lchijo:“關鍵是要讓IT工程師成為決定者,當你發現做錯事可能導致高昂的保險費,或者因為職業不端行為失去從業資格甚至面臨起訴。這時你就有更多的權利對錯誤決策說‘不’。”
最后,你認為IT工程師的從業資格應受到法律監管嗎?當產品受到勒索軟件攻擊時,IT工程師需要負責嗎?
