從5月12日開始,“勒索病毒”在全球各國爆發,受病毒影響的不僅有千千萬萬個人用戶,更有學校、醫院等重要的社會機構,帶來了嚴重的社會後果。在英國,為5000萬人提供服務的國家醫療服務體系(National Health Service)遭受重創,大量醫院電腦系統癱瘓,救護車無法派遣,診斷設備無法使用,手術被迫推遲。由此造成的不僅是財産損失,更有性命之憂。
需要為這些後果負直接責任的當然是勒索病毒的製作者,但是我們也需要關注兩個重要的組織在這次病毒爆發中的角色。
一個組織是美國國家安全局(NSA)。實際上,此款勒索病毒利用的系統漏洞,正是NSA發現的。利用這些漏洞,NSA可以開展入侵攻擊,打擊美國政府的敵人。然而,NSA開發的入侵工具Eternal Blue被盜,以此為基礎,駭客開發出了此次為害全世界的勒索病毒。
對於NSA扮演的角色,微軟總裁兼首席法務官Brad Smith發表聲明説:“此次網路攻擊事件再一次説明,為什麼政府機構蒐集、貯備安全漏洞是一個巨大問題,這一風險在2017年以後便逐漸顯露……一次又一次,來自政府機構掌握的漏洞攻擊被洩露到公眾領域,製造了大規模的危害。這種危害堪比美國軍隊的‘戰斧導彈’被盜。”
然而,當微軟批評NSA的時候,也有很多人指出:微軟公司自身也應為此次病毒爆發負責——這家公司也正是我們在觀察此次事件時需要關注的第二個重要組織。
實際上,在NSA發現自己開發的入侵工具被盜之後,它便向包括微軟、思科在內的科技公司提出了預警,提醒他們開發安全補丁。微軟也確實開發了補丁,然而,這款補丁並不向使用舊款作業系統Windows XP的用戶免費提供——除非他們購買了昂貴的客戶支援服務。
這也正是英國醫療服務體系“中招”的原因——很多醫院使用的依然是Windows XP系統,因為作業系統的升級給整個醫院系統帶來的不穩定性太大了;而它們又往往沒有足夠的資金可以購買客戶服務。因此,這些醫院沒能做好防護準備,在病毒面前沒有任何招架之力。
這就為科技公司,尤其是開發作業系統的科技公司提出了一個問題:對於付費購買了舊款作業系統的用戶,公司是否可以就這樣撒手不管了?雖然微軟的作業系統已經更新換代了很多次,但Windows XP依然在世界很多國家被廣泛使用。微軟是否對這些用戶的安全依然負有責任?
哥倫比亞大學第一修正案研究所(Knight First Amendment Institute)的法律專家Alex Abdo打了個比方:當汽車被發現存在設計缺陷時,製造商需要實施召回,即便這是所謂“老款汽車”。那麼,當軟體中被發現存在嚴重漏洞時,科技公司是否需要被要求強制提供補丁和升級服務呢?
在美國現行的法律框架下,微軟是沒有責任的——實際上,根據美國法律,自從作業系統被用戶購買之後的第一天起,微軟就不需要為任何後果承擔責任了。也就是説,此次勒索病毒爆發,微軟並不會有法律上的風險。
但是,微軟作為一家商業公司所遭受的品牌傷害是實際可見的。這款勒索病毒並未影響蘋果作業系統的用戶,受傷的只是微軟用戶,這樣的對比會進一步加深人們對微軟作業系統“不可靠”、“不安全”的印象。而微軟“拋棄”Windows XP用戶的行為,也引發了輿論的廣泛批評。
病毒爆發後,微軟“破例”為所有Windows XP用戶提供了免費的安全補丁。但很多人認為,這不應該是“破例”行為。北卡羅來納大學學者Zeynep Tufekci就在《紐約時報》撰文指出:作業系統對於微軟而言是一項帶來鉅額利潤的業務,微軟理應將其中一部分利潤用於保護用戶的安全,尤其是醫院、學校這樣事關社會運轉的關鍵機構。為所有用戶提供安全補丁,應該是微軟的責任。
Zeynep Tufekci還警告説:下一步,受到威脅的將不僅僅是電腦作業系統而已,還包括我們生活中的一切智慧設備。在這個“物聯網”時代,我們身邊的許多事物都在智慧化,而這些設備的安全性是很成問題的,生産廠商也往往不能提供足夠的安全保護。很有可能,各類智慧設備上的病毒爆發將成為今後的常態,而科技公司在其中將同時面臨著社會責任和品牌形象、商業利益的考驗。
(作者為傳播學博士候選人)
[責任編輯:郭曉康]
京ICP證130248號京公網安備110102003391