勒索病毒在全球各国爆发 微软应不应该对此负责?
从5月12日开始,“勒索病毒”在全球各国爆发,受病毒影响的不仅有千千万万个人用户,更有学校、医院等重要的社会机构,带来了严重的社会后果。
在英国,为5000万人提供服务的国家医疗服务体系(NationalHealthService)遭受重创,大量医院电脑系统瘫痪,救护车无法派遣,诊断设备无法使用,手术被迫推迟。由此造成的不仅是财产损失,更有性命之忧。
需要为这些后果负直接责任的当然是勒索病毒的制作者,但是我们也需要关注两个重要的组织在这次病毒爆发中的角色。
一个组织是美国国家安全局(NSA)。实际上,此款勒索病毒利用的系统漏洞,正是NSA发现的。利用这些漏洞,NSA可以开展入侵攻击,打击美国政府的敌人。然而,NSA开发的入侵工具EternalBlue被盗,以此为基础,黑客开发出了此次为害全世界的勒索病毒。
对于NSA扮演的角色,微软总裁兼首席法务官BradSmith发表声明说:“此次网络攻击事件再一次说明,为什么政府机构搜集、贮备安全漏洞是一个巨大问题,这一风险在2017年以后便逐渐显露……一次又一次,来自政府机构掌握的漏洞攻击被泄露到公众领域,制造了大规模的危害。这种危害堪比美国军队的战斧导弹被盗。”
然而,当微软批评NSA的时候,也有很多人指出:微软公司自身也应为此次病毒爆发负责——这家公司也正是我们在观察此次事件时需要关注的第二个重要组织。
实际上,在NSA发现自己开发的入侵工具被盗之后,它便向包括微软、思科在内的科技公司提出了预警,提醒他们开发安全补丁。微软也确实开发了补丁,然而,这款补丁并不向使用旧款操作系统WindowsXP的用户免费提供——除非他们购买了昂贵的客户支持服务。
这也正是英国医疗服务体系“中招”的原因——很多医院使用的依然是WindowsXP系统,因为操作系统的升级给整个医院系统带来的不稳定性太大了;而它们又往往没有足够的资金可以购买客户服务。因此,这些医院没能做好防护准备,在病毒面前没有任何招架之力。
这就为科技公司,尤其是开发操作系统的科技公司提出了一个问题:对于付费购买了旧款操作系统的用户,公司是否可以就这样撒手不管了?虽然微软的操作系统已经更新换代了很多次,但WindowsXP依然在世界很多国家被广泛使用。微软是否对这些用户的安全依然负有责任?
哥伦比亚大学第一修正案研究所(KnightFirstAmendmentInstitute)的法律专家AlexAbdo打了个比方:当汽车被发现存在设计缺陷时,制造商需要实施召回,即便这是所谓“老款汽车”。那么,当软件中被发现存在严重漏洞时,科技公司是否需要被要求强制提供补丁和升级服务呢?
在美国现行的法律框架下,微软是没有责任的——实际上,根据美国法律,自从操作系统被用户购买之后的第一天起,微软就不需要为任何后果承担责任了。也就是说,此次勒索病毒爆发,微软并不会有法律上的风险。
但是,微软作为一家商业公司所遭受的品牌伤害是实际可见的。这款勒索病毒并未影响苹果操作系统的用户,受伤的只是微软用户,这样的对比会进一步加深人们对微软操作系统“不可靠”、“不安全”的印象。而微软“抛弃”WindowsXP用户的行为,也引发了舆论的广泛批评。
病毒爆发后,微软“破例”为所有WindowsXP用户提供了免费的安全补丁。但很多人认为,这不应该是“破例”行为。北卡罗来纳大学学者ZeynepTufekci就在《纽约时报》撰文指出:操作系统对于微软而言是一项带来巨额利润的业务,微软理应将其中一部分利润用于保护用户的安全,尤其是医院、学校这样事关社会运转的关键机构。为所有用户提供安全补丁,应该是微软的责任。
ZeynepTufekci还警告说:下一步,受到威胁的将不仅仅是电脑操作系统而已,还包括我们生活中的一切智能设备。在这个“物联网”时代,我们身边的许多事物都在智能化,而这些设备的安全性是很成问题的,生产厂商也往往不能提供足够的安全保护。
很有可能,各类智能设备上的病毒爆发将成为今后的常态,而科技公司在其中将同时面临着社会责任和品牌形象、商业利益的考验。