導(dǎo)語(yǔ)：科技網(wǎng)站Ars Technica周末刊文稱，黑客組織LulzSec近期發(fā)動(dòng)了一系列攻擊，這表明軟件行業(yè)在信息安全方面的工作還有很多不足。分析認(rèn)為，追究相關(guān)企業(yè)的法律責(zé)任將有助于解決信息安全問(wèn)題。

以下為文章全文：

如果你開(kāi)發(fā)的軟件被黑客攻擊，那么你是否會(huì)是受害者？在軟件行業(yè)發(fā)展的早期，答案通常是否定的。軟件許可協(xié)議通常會(huì)撇清相關(guān)責(zé)任，而安全漏洞則被認(rèn)為是軟件的正常一部分。當(dāng)問(wèn)題被發(fā)現(xiàn)時(shí)，開(kāi)發(fā)者會(huì)盡快修復(fù)問(wèn)題，但他們通常并不會(huì)成為黑客攻擊造成損失的受害者。

然而這一情況正在迅速改變。近期，由于數(shù)百萬(wàn)用戶信息在黑客攻擊中被泄露，索尼遭遇了集體訴訟。本周，Dropbox也由于一次信息安全事故而被起訴。

責(zé)任認(rèn)定

目前尚無(wú)法判斷這類訴訟是否會(huì)越來(lái)越多，但這已經(jīng)成為一種趨勢(shì)。隨著在線服務(wù)對(duì)美國(guó)經(jīng)濟(jì)重要性的提升，運(yùn)營(yíng)這些在線服務(wù)的企業(yè)已經(jīng)發(fā)現(xiàn)，信息安全問(wèn)題對(duì)它們?cè)斐闪藢?shí)質(zhì)上的沖擊，影響了它們的利潤(rùn)。

美國(guó)聯(lián)邦貿(mào)易委員會(huì)(以下簡(jiǎn)稱“FTC”)也越來(lái)越關(guān)注計(jì)算機(jī)安全領(lǐng)域。6月中旬，F(xiàn)TC委員艾迪斯·拉米雷茲(Edith Ramirez)在美國(guó)國(guó)會(huì)的聽(tīng)證會(huì)上表示，F(xiàn)TC已經(jīng)要求企業(yè)加強(qiáng)網(wǎng)絡(luò)系統(tǒng)的安全性。FTC此前針對(duì)金融行業(yè)提出了特殊的規(guī)定，該委員會(huì)近期表示，有權(quán)監(jiān)管任何做出“錯(cuò)誤或誤導(dǎo)性數(shù)據(jù)安全承諾”，或是因沒(méi)有采取“合理安全措施”而給消費(fèi)者造成損失的公司。

拉米雷茲表示，在近期的兩起案件中，由于信息安全方面的漏洞導(dǎo)致黑客獲取了敏感的用戶數(shù)據(jù)，相關(guān)企業(yè)已經(jīng)與FTC達(dá)成了解決協(xié)議。根據(jù)協(xié)議，這些企業(yè)必須在未來(lái)20年中向FTC提交獨(dú)立的信息安全審計(jì)報(bào)告。

以往，軟件公司可以在事故發(fā)生后再修復(fù)漏洞，這種模式已成為歷史，但目前并不清楚將會(huì)出現(xiàn)什么樣的新模式。集體訴訟和FTC的新規(guī)定將迫使企業(yè)更認(rèn)真地對(duì)待信息安全問(wèn)題。此外，企業(yè)還可以采取其他一些措施，例如進(jìn)行信息安全審計(jì)，以及制定更好的數(shù)據(jù)保存規(guī)定等。合適的規(guī)定將鼓勵(lì)企業(yè)更認(rèn)真地應(yīng)對(duì)數(shù)據(jù)安全問(wèn)題，但過(guò)多的監(jiān)管將影響軟件開(kāi)發(fā)流程。

密歇根大學(xué)計(jì)算機(jī)科學(xué)教授亞歷克斯·哈爾德曼(Alex Halderman)認(rèn)為，讓消費(fèi)者來(lái)選擇信息安全措施不利于開(kāi)發(fā)出安全的軟件。大部分消費(fèi)者并不能判斷，企業(yè)在信息安全方面的承諾是否只是幌子。因此，往往只有事故發(fā)生后，信息安全漏洞才會(huì)曝光，而這時(shí)已為時(shí)過(guò)晚。

不過(guò)他也指出，政府部門對(duì)軟件安全性的直接監(jiān)管可能無(wú)法起到效果。類似FTC的美國(guó)聯(lián)邦機(jī)構(gòu)缺乏軟件方面的專業(yè)性，也沒(méi)有足夠的人手去徹底審計(jì)數(shù)千家公司開(kāi)發(fā)的軟件的安全性。哈爾德曼表示：“我們尚沒(méi)有被廣泛認(rèn)可的成熟模式。從外部來(lái)看，了解一個(gè)問(wèn)題，并確定該問(wèn)題發(fā)生的原因很難。”

此外，當(dāng)類似FTC的機(jī)構(gòu)發(fā)現(xiàn)軟件缺陷時(shí)，它們也無(wú)法確定問(wèn)題的嚴(yán)重性。私營(yíng)軟件公司有可能花費(fèi)很長(zhǎng)時(shí)間來(lái)解決一些細(xì)小的問(wèn)題，而更嚴(yán)重的問(wèn)題有可能被略過(guò)。

哈爾德曼表示，如果一家公司的企業(yè)文化能更認(rèn)真地對(duì)待信息安全問(wèn)題，那么通常能開(kāi)發(fā)出較安全的軟件。然而從一家公司的外部很難確定或衡量軟件的安全性。監(jiān)管部門可以要求企業(yè)提高軟件安全性，但除非企業(yè)管理層留意該問(wèn)題，否則這樣的要求也很難收效。

(責(zé)任編輯：admin)