勒索病毒？微軟和NSA都甩鍋給受害企業

北京時間5月16日上午消息，法律專家認為，由於未能及時更新微軟Windows系統而在上週末遭到WannaCry病毒攻擊的企業，可能因為自身的網路安全問題遭到起訴，但微軟本身卻會因為未雨綢繆的授權協議而免遭起訴。

自上週五以來，這種名為WannaCry的蠕蟲病毒已經影響了世界各地的20多萬台Windows電腦，導致許多工廠、聯邦快遞以及英國的國民醫療保險機構等眾多組織無法正常運轉。這種駭客工具可以在電腦之間秘密傳播，通過加密資料的方式導致電腦無法使用，攻擊者向受害者索要300美元的贖金才肯為其恢復資料。

微軟表示，受到這種勒索軟體影響的電腦要麼沒有及時安裝補丁，要麼使用了已經不再獲得微軟支援的Windows XP系統。

“使用不再獲得微軟支持的過時Windows會引發很多問題。”Edelson PC數位隱私法律專家克裡斯多夫·多爾（Christopher Dore）說，“繼續使用這種系統可以說是怠忽職守。”

Ballard Spahr資料隱私律師愛德華·麥克安德魯（Edward McAndrew）表示，如果因為遭到攻擊而無法提供服務，企業可能就會面臨訴訟。“勒索軟體攻擊會引發一系列的責任。”他說，“包括對個人、消費者和病人的責任。”

WannaCry利用了Windows 7和Windows XP等舊版Windows中的一個漏洞。微軟今年3月發佈了安全更新，避免Windows 7遭到WannaCry和其他惡意軟體的破壞。上週末，該公司又打破常規，針對已經在2014年就不再支持的Windows XP發佈了類似的補丁。

多爾表示，如果某家企業公開宣揚自己的網路安全能力，但卻因為沒有安裝微軟的軟體更新或者使用了舊版Windows而遭遇故障，便有可能面臨訴訟。他的律師事務所在2012年的資料洩密之後曾經起訴LinkedIn，聲稱人們之所以購買付費帳號，是因為該公司錯誤地宣稱他們擁有頂級網路安全措施。LinkedIn在2014年以125萬美元和解這起官司。

但Fox Rothschild資料安全律師斯科特·沃尼克（Scott Vernick）表示，他對WannaCry可能引發大量消費者訴訟的說法持懷疑態度。他指出，沒有跡象顯示網路攻擊引發廣泛的個人資料洩密。

“目前還不清楚消費者的利益是否受到了損害。”他說。

沃尼克表示，未能更新軟體的公司將面臨美國聯邦貿易委員會的審查，他們之前曾經起訴過在資料隱私措施上存在誤導行為的企業。

授權協議限制責任

法律專家表示，微軟本身卻不太可能因為WannaCry而遭到起訴。

美國西南法學院教授邁克爾·斯科特（Michael Scott）表示，微軟出售軟體時已經在授權協定中提前約定，該公司不承擔任何安全性漏洞的責任。他表示，法院一致支援這些協議。

哥倫比亞大大學騎士第一修正研究所法務專員亞曆克斯·阿布多（Alex Abdo）表示，微軟和其他軟體公司已經從戰略上和解了相應的訴訟，使得法院不會削弱他們的授權協議效力。

儘管外界認為，美國國家安全局（NSA）被盜的駭客工具是WannaCry的開發基礎，但該機構也擁有很強的保護措施，不必因為安全性漏洞擔負責任。NSA尚未對此置評。

哈佛法學院互聯網法律專家喬納森·齊特蘭（Jonathan Zittrain）表示，法院經常駁回針對該機構發起的訴訟，理由是擔心因此洩露最高機密。

此外，NSA還有可能聲稱其享受主權豁免權，因為政府不應該因為履行公職而受到起訴。

“我估計NSA不必擔負任何責任。”多爾說。