程序员需要对黑客攻击事件负责吗？

【CSDN 编者按】软件工程大师杰拉尔德·温伯格（Gerald Weinberg）说过：“如果建筑商按照程序员编写程序的方式建造建筑，那么第一只出现的啄木鸟（找Bug）就会摧毁整个文明。

整理 | 于轩      责编 | 张红月

出品 | CSDN（ID：CSDNnews）

近日，美国计算机协会的六月刊（COMMUNICATIONS OF THE ACM）收录了一篇名为《软件行业仍然是问题所在》的文章。

此文作者Poul-Henning Kamp是一位丹麦的计算机软件开发人员，也是FreeBSD、Varnish等开源项目的核心开发人员之一。针对去年大量美国公司遭遇黑客攻击事件，他认为“IT从业者必须受到严格的法律监管，并且工程师需要对黑客攻击事件负责”。此观点一出，立即引起了网友们的热烈讨论。

产品遭遇黑客攻击，软件供应商应对此负责

在文章中，Kamp提到了美国燃油、燃气管道运营商Colonial Pipeline遭黑客攻击的著名事件。Colonial Pipeline去年5月遭到勒索软件DarkSide攻击，黑客渗透进其网络、加密了系统软件，还窃走近100GB的资料文件。由于Colonial Pipeline负责美国东海岸多达45%的燃料供应，所以燃油网络的瘫痪让公路运输大乱，甚至让美国一度宣布进入国家紧急状态。据报道，Colonial Pipeline最终向黑客支付了近500万美元的赎金。

图源：CSDN付费下载自视觉中国

而就在此事发生后不久，一家安全咨询公司在7月份称，大约有200多家美国企业受到了勒索软件的攻击，这里面还包括很多零售连锁店。因为黑客在一些很多人都没听说过的小众第三方软件产品中发现了漏洞，这次攻击也导致这些企业的IT系统网络瘫痪。

对于这200多家企业的遭遇，Kamp认为这完全重现了杰拉尔德·温伯格名言的含义，即“啄木鸟不是在铲平个别的、特别糟糕的建筑，它是在铲平文明，因为所有的建筑都很糟糕。”

与此相反，这200多家受影响企业的律师发现，第三方软件供应商的全部责任在于如果他们觉得一个方案不行，那他们只会提供一个新的来代替。

因此，Kamp提出了“软件行业迫切需要真正的软件产品责任”的观点。

那IT行业的软件供应商该如何承担软件产品责任呢？Kamp认为这一“重担”就落到了IT工程师的身上。

IT工程师的从业资格应受到法律监管

Kamp提到，在丹麦，有129个工作岗位受到法律监管。政府列出了充分而明显的理由，将任何不符合条件却从事相关职业的行为都定义为非法，甚至包括安装马桶或天然气炉等职业。至于国家连谁经营宠物店、谁制作动物标本都管，这在了解相关法律后也可以理解，因为在动物福利和濒危物种保护方面有很多不为人知的极端案例。

值得注意的是，这份名单上没有任何与IT相关的工作，就好像与IT架构、计算机、计算机网络、计算机安全或者计算机系统中隐私保护的工作都不存在。这也导致那些在法律上被禁止从事其他行业的人（无论是因为能力不足还是欺诈，还是两者都有），都能完全自由地进入IT行业，甚至负责IT系统的架构或控制美国东海岸近一半燃料的网络安全系统。

图源：CSDN付费下载自视觉中国

Kamp称，清单上的岗位有两个最主要的要求：一是要展示教育证明，证明自身能力；二是要出示责任保险。第一个要求在IT行业经常会被提及，很多公司会让求职者参加考试来检测其是否具备证书上的能力。但第二个问题在IT行业中却从未被问及。

对于煤气、水、电或建筑稳定性等行业，法规并不关心一家公司是有几百年的历史还是刚刚成立，因为规则总是相同的：东西要管用，只有获得许可的人才能从业，因为他们知道该如何去做，如果他们不遵守规则，那他们就会被起诉。

所以，就像几乎所有其他工程行业一样，IT工程师是时候该承担职业责任了，比如电力、飞机、火车、电梯和建筑等行业对工程师职业责任的规定。对于这一观点，敏锐的读者很可能会惊呼：“这将是我们所知的IT业的终结！”而Kamp表示，这一观点正是他经过深思熟虑才提出的。

IT工程师是否应对勒索软件攻击负责？

虽然Kamp在去年就发布了这篇文章，内容也是基于当时大量公司遭到黑客攻击的事件所进行的分析。但随着ACM将这篇文章收录进档案，人们在“IT工程师是否应对勒索软件攻击负责”的问题上进行了激烈讨论。

有网友认为，IT工程师理应承担起相应的责任：

网友@david：“如果你的代码被破坏了，你就要对此负责。任何行业的人都不能把事情搞砸了却不承担任何后果。”

网友@AcidFnTonic：“极端责任本身就是一种预防形式。”

还有网友认为，IT工程师往往不是能做决定的人，所以让他们负责并不合理：

网友@ctilsie242：“很多公司的管理层最多只是口头上说说安全，实际上，他们甚至会说‘安全没有投资回报率’。所以，最后出现勒索软件事件时，往往还是IT工程师背黑锅。”

网友@lchijo：“关键是要让IT工程师成为决定者，当你发现做错事可能导致高昂的保险费，或者因为职业不端行为失去从业资格甚至面临起诉。这时你就有更多的权利对错误决策说‘不’。”

最后，你认为IT工程师的从业资格应受到法律监管吗？当产品受到勒索软件攻击时，IT工程师需要负责吗？

参考链接：

• https://cacm.acm.org/magazines/2022/6/261171-the-software-industry-is-still-the-problem/fulltext

• https://news.ycombinator.com/item?id=31558890

• https://it.slashdot.org/story/22/05/29/1716231/should-it-professionals-be-liable-for-ransomware-attack

原文始发于微信公众号（汇编语言）：程序员需要对黑客攻击事件负责吗？