ACM通信
部门
计算中的责任与责任
2017年,我写道:一个“所以,现在我们已经进入计算机时代70年了,在密码学领域获得了三次ACM图灵奖(但在网络安全领域没有)之后,我们似乎仍然不知道如何构建安全的信息系统。”今天我会写什么?显然,我会写:“75年”,但我不会改变句子其余部分的一个词。事实上,有人可能会说网络安全威胁增加了,因为关键基础设施现在很容易受到网络攻击。事实上,在2021年5月,美国石油管道系统Colonial pipeline遭到勒索软件攻击,迫使其停止所有管道操作,以遏制攻击。
网络安全方面进展缓慢,导致许多人得出结论,这个问题不仅仅是由于缺乏技术解决方案,而是反映了市场失灵,这让那些可能能够修复严重安全漏洞的人打消了这么做的动力。正如我所说的b在2020年,计算领域倾向于以牺牲弹性为代价关注效率。安全通常以性能为代价,而市场参与者似乎不愿意支付这种代价。
为了讨论市场失效问题以及如何解决它,计算社区联盟在今年8月组织了一个关于提高硬件安全性机制设计的愿景研讨会。c开场发言由专门研究国家安全法的律师保罗·罗森茨威格(Paul Rosenzweig)发表。他认为,技术发展最终是建立在人类行为的基础上的。所以,良好的网络安全的关键是激励人类。因此,答案在于网络安全的经济学,这在很大程度上是一个具有大量外部性的私人领域,价格无法涵盖所有成本。
其中一个明显的外部性是计算市场缺乏问责制。每当我们使用一个计算系统时,我们必须同意一份几乎总是包含“在适用法律不禁止的情况下,XXX在任何情况下都不对人身伤害或任何附带的、特殊的、间接的或后果性的损害承担责任”的点击许可。由于计算很少被“适用法律”所涵盖,因此计算不被严格责任的标准规则所涵盖,严格责任不依赖于实际疏忽或伤害意图。正如哲学家海伦·尼森鲍姆在1996年的一篇文章中所指出的,d虽然计算供应商对其产品的可靠性和安全性负有责任,但缺乏责任会导致问责制的缺失。早在25年前,她就警告我们,计算机化社会的问责制正在逐渐削弱。本世纪“快进快退”文化的发展表明,她的警告是正确的。
科技行业对此类抱怨的典型回应是挥舞“同意”的旗帜。他们说:“你点击了许可证,就接受了条款。”“那么,你在抱怨什么呢?”但这种争论是在转移注意力!如果合同双方的议价能力不成比例,议价能力较弱的一方无法就合同条款的变更进行谈判,用法律术语来说,这就是所谓的“附约合同”。当法院认定某些条款特别违反公平竞争标准时,就会从此类合同中删除某些条款,或将其完全作废,这种做法由来已久。在我看来,这种普遍存在的免责条款在计算机技术还很年轻、所有的计算系统都可以被视为实验性的时候可能是合适的,但在今天应该被认为是对公平竞争标准的特别过分的。
我不清楚为什么法律体系还没有解决计算市场中这一突出的外部性。既然没有,就应该通过法律法规来解决这个问题。法律对供应商施加严格责任的传统由来已久。正如尼森鲍姆所指出的,大约4000年前,《汉谟拉比法典》(Hammurabi Code)规定:“如果一个建筑商为一个人建造了一所房子,但他的工作不可靠,而他所建造的房子倒塌了,导致房主死亡,该建筑商应被处以死刑。”
科技行业一向反对监管。“监管扼杀创新”,这是他们的副歌。但创新不是目的,创新是手段。汉谟拉比宣称其目的是“促进人类的福祉”。如果我们想要解决网络安全问题,我们应该从欢迎责任进入计算开始。
脚注
一个。//www.eqigeno.com/magazines/2017/5/216316-cyber-insecurity-and-cyber-libertarianism/fulltext
b。//www.eqigeno.com/magazines/2020/5/244316-efficiency-vs-resilience/fulltext
c。https://cra.org/ccc/events/mechanism-design-for-improving-hardware-security/
d。https://nissenbaum.tech.cornell.edu/papers/accountability.pdf
数字图书馆是由计算机协会出版的。版权所有©2022 ACM, Inc.
没有找到条目