如果軟件公司要對漏洞負責，具體會如何運作？——《華爾街日報》

軟件公司可能很快將被要求採取"合理"預防措施來保障產品安全。然而，這一要求的實際含義仍懸而未決。圖片來源：Getty Images/iStockphoto斯科特·沙克爾福德是印第安納大學凱萊商學院商法與倫理學教授，同時擔任奧斯特羅姆研討會和應用網絡安全研究中心的執行主任。

美國正在就軟件開發商是否應對導致數據泄露的缺陷代碼承擔更多責任展開辯論。今年早些時候，拜登政府發佈了國家網絡安全戰略，呼籲國會對因產品漏洞造成數據損失和危害的軟件公司追究責任。

即便你認同市場對將存在漏洞的產品或服務引入數字生態系統的公司懲罰不足，這仍留下一個難題：責任應以何種形式體現？

根據拜登政府概述的方案，軟件公司應採取"合理預防措施確保軟件安全"，若"未能履行對消費者、企業或關鍵基礎設施提供商應盡的注意義務"，則需承擔責任。

首先，如何定義“合理”？

政府建議美國製定一個不斷發展的安全港框架，如果軟件公司投資於“當前安全的軟件開發最佳實踐”，如NIST安全軟件開發框架，其責任將受到限制。

這種方法可以借鑑越來越多州的努力。例如，在俄亥俄州、康涅狄格州和猶他州，受保護的公司如果能夠證明他們投資於公認的網絡安全標準和框架之一，那麼在數據泄露後，他們的責任將最小化。這些實驗的經驗可以用來幫助制定一個專注於軟件公司的聯邦安全港製度。

在最近的一篇文章中，我和我的合著者反對在所有行業和部門採用單一的、普遍的合理注意標準，因為這種方法會將本地面包店與美國銀行的標準相提並論，儘管這些企業面臨的威脅環境和應對資源大不相同。相反，我們支持一種滑動比例的方法，對在高風險場景中運營的軟件公司和某些關鍵基礎設施提供商提出更嚴格的要求。

另一個選擇是效仿歐洲的做法，將產品責任法擴展到涵蓋軟件漏洞。不過這種方法也有缺點：科技公司會出於自身利益，只發布最安全的代碼。但沒有代碼是100%安全的。這種做法可能會減緩創新速度，並可能成為自由和開源軟件的喪鐘。

那麼，軟件補丁可用但最終用户未部署的情況又該如何處理？重要的是要記住，許多數據泄露是數據處理者的過錯，而非開發者的責任。在許多情況下，問題並不一定是產品設計，而是使用產品的組織缺乏有效的治理和監督。很多時候，組織仍然忽視了基本措施，比如指定網絡安全負責人和更新事件響應計劃。

這就是為什麼拜登政府呼籲與國會合作，為關鍵基礎設施提供商“定義最低預期的網絡安全實踐或成果”，可能比定義軟件公司的責任更為重要。應對這一挑戰的一種方法可能是創建美國版的澳大利亞“Essential 8”，這是一份旨在保護企業免受網絡攻擊的緩解策略清單。清單包括限制關鍵系統的管理權限和啓用多因素認證等策略。

沒有任何單一的清單或框架能夠保護高風險組織免受其面臨的各種網絡威脅。但是，將責任強加於開發者以修復漏洞代碼，並明確所有關鍵基礎設施運營商的網絡安全操作要求，將大有幫助。

請致信斯科特·沙克爾福德，郵箱：[email protected]。