חוסר אחריות בעולם התוכנה

חודש אוגוסט 2003 נרשם בהיסטוריה כחודש, שבו נגרם הכי הרבה נזק לארגונים כתוצאה מווירוסים. שני וירוסים מסוג תולעת, SoBig-F ו-Blaster, תקפו בחודש ההוא מיליוני מחשבים ברחבי העולם. חברת mi2g הבריטית, העוסקת בהערכת סיכונים, טענה אז, כי הנזקים שנגרמו לארגונים ולחברות באותו חודש נאמדו ביותר מ-30 מיליארד דולר. בסוף אותה שנה העריכה חברת אבטחת המידע טרנד-מיקרו, כי בשנת 2003 כולה נגרמו לארגונים ברחבי העולם נזקים בהיקף של 55 מיליארד דולר בגין חורי אבטחה שדרכם השתחלו וירוסים ותולעים והשביתו את מערכות המחשב.

ומי ישלם את המחיר?

באמריקה, כמו באמריקה, כאשר נגרם נזק – מישהו חוטף תביעה משפטית. אבל לא כך בעולם התוכנה. קשה להאמין, אולם חברות תוכנה, שרשלנותן הובילה לנזקים בהיקף של מיליארדי דולרים, לא שילמו פרוטה בגין אותם נזקים. גם מפתחי התוכנות, ששחררו לאוויר העולם קוד בלתי מאובטח ופרוץ לכל, הולכים הביתה מבלי שהם נותנים את הדין. יש מי שרוצה לשנות את המצב הזה.

לפני כעשרה ימים דיבר האוורד שמידט, מי שהיה יועץ הבית הלבן לאבטחת מידע, בכנס בלונדון, והכריז שהגיע הזמן לראות במפתחים אחראים אישית לתוכנות שהם כותבים. המשמעות: אם נגרם לך נזק כתוצאה משימוש בתוכנה, ניתן יהיה לתבוע את המפתח שכתב אותה. בתגובה אמר נציג התאחדות המחשבים הבריטית, שבה חברים מומחי טכנולוגיה רבים, לרשת Cnet, כי שמידט טועה בכך שהוא מבקש לראות במפתחים אחראיים לבעיות בתוכנה. מי שאחראי, הסבירו בהתאחדות, הן חברות התוכנה. "זו האחריות של החברות שמעסיקות את המפתחים, להבטיח שהתוכנות נבדקות", אמר הנציג. אוקיי, אז מי בעצם אחראי על התוכנה שלנו?

התוכנה אף פעם לא שלנו

תוכנת מחשב היא אחד היצורים המשפטיים המשונים בעולם. תסריט מספר 1: נכנסתם לחנות מחשבים, הבטתם על המדף והחלטתם לרכוש דגם מסוים של מחשב נייד מתוצרת HP. כעבור חודש קראתם בעיתון, שהסוללה של המחשב הנייד מתחממת יתר על המידה. HP מודיעה שתחליף לכם את הסוללה ללא תשלום (מקרה אמיתי כזה התרחש, אגב, בשבוע שעבר). הגיוני, נכון? משהו התקלקל בציוד של החברה ולכן היא לוקחת עליו אחריות; היא עומדת מאחוריו.

הנה תסריט מספר 2: נכנסתם לחנות מחשבים, הבטתם על המדף והחלטתם לרכוש את "אופיס" של מיקרוסופט. כעבור חודש המחשב שלכם קרס לאחר שווירוס תולעת חדר דרך חור אבטחה בתוכנת "אאוטלוק" (שהיא חלק מ"אופיס"). מיקרוסופט מוציאה טלאי אבטחה – אבל לכם כבר נגרם נזק. אתם מעוניינים לתבוע את מיקרוסופט. אתם לא יכולים. הסיבות לכך רבות. ראשית, מוזר ככל שזה יישמע, כאשר קונים תוכנה לא קונים את התוכנה; קונים רישיון לשימוש בה. התוכנה היא אף פעם לא שלנו – היא של החברה שפיתחה אותה. אנחנו בסך הכל רכשנו את הזכות להשתמש בה.

הנה סיבה נוספת. בעת התקנת התוכנה מוצגים תנאי הרישיון. זהו המסך שמציג מאות שורות המפרטות את התנאים לשימוש בתוכנה. רק מעטים מתעכבים על מסך זה ליותר מ-3 שניות; רוב המשתמשים מסמנים את תיבת "אני מסכים" ולוחצים על Next. מי שמחליט בכל זאת לקרוא את תנאי הרישיון מגלה, כי חברות התוכנה מסירות מעליהן כל אחריות. כך לדוגמה, בחלק מהרישיונות נכתב, שכאשר המשתמש מתקין את התוכנה הוא מאשר שקיבל אותה "כמו שהיא, עם כל הפגמים שלה".

נוסף על כך, מקבל המשתמש שמפתחי התוכנה וחברת התוכנה אינם אחראים לשום נזק, ישיר או עקיף, מקרי או שאינו מקרי כתוצאה מהשימוש בתוכנה או כתוצאה מחוסר היכולת להשתמש בה. יש רישיונות שאפילו לוקחים בחשבון נזק גופני בגין בעיה בתוכנה (נגיד, דפקתם את הראש בקיר מרוב עצבים). גם במקרה זה, מדגיש הרישיון, אנחנו לא אחראים. נשמע דרקוני ומרגיז? אין בעיה, הקליקו על "לא מסכים" במסך תנאי הרישיון. ומה אז? התוכנה לא תותקן.

כמו כן, כדי להבין איך זה שחברות התוכנה לא אחראיות על שום דבר, יש לקחת בחשבון את ההיסטוריה של תעשיית התוכנה. בראשית ימיה, התוכנה היתה הרכיב הכי פחות משמעותי בעולם המחשבים. הרכיב החשוב מכולם היתה החומרה. אם היתה תקלה כלשהי זו בדרך-כלל היתה אשמת החומרה. התוכנה נכתבה למטרות בסיסיות בלבד, על-ידי מתנדבים וכעבודה צדדית. כאשר הגיעו התאגידים הגדולים לתחום, הם "רכבו" על ההיסטוריה והמשיכו את המסורת של התנערות מאחריות.

35 אחוז האשימו את מיקרוסופט

האם מדובר במצב הגיוני? מדוע שתוכנה תהיה שונה מכל מוצר אחר בעולם? כיוון שתוכנת מחשב היא אכן מוצר השונה מרוב המוצרים בעולם. רוב תוכנות המחשב אינן פועלות בסביבה סטרילית; הן פועלות לצד תוכנות נוספות. כך, לדוגמה, ברוב המוחלט של המקרים, בעת התקנת מערכת ההפעלה "חלונות" על מחשב חדש היא עובדת ללא כל תקלה (טוב, חוץ מ"חלונות ME"). הבעיות מתחילות כשמתקינים על גביה תוכנות נוספות.

תוכנות אלו מותירות עקבות גם כאשר מסירים אותן, ולעתים יוצרות התנגשויות בזיכרון המחשב. אז מי אשם? האם זו אשמתה של מיקרוסופט או של החברה שפיתחה את התוכנה שהותירה את העקבות? ואולי זו בכלל יצרנית שבבי הזיכרון, שלא עשתה עבודה מספיק טובה? דוגמה למבוכה בחיפוש אחר האחראי ניתן היה לראות לפני חודשיים. אז התפרץ ברחבי העולם וירוס Zotob, ופגע במחשבים עליהם הותקנה מערכת ההפעלה "חלונות 2000". מיקרוסופט הציעה קובץ טלאי, שמתקן את הבעיה דרכה חדר הווירוס למערכת ההפעלה.

סקר שבוצע מספר ימים לאחר מכן מצא, ש-45 אחוז מהנשאלים טענו, כי כותבי הווירוסים הם האחראים לנזק שנגרם להם. 20 אחוז מהנשאלים ענו שמנהלי מערכות המידע בארגון שלהם, שלא התקינו את קובץ הטלאי, הם האחראים למחדל. מה שהפתיע במיוחד את הסוקרים היתה העובדה, ש-35 אחוז מהנשאלים סברו שמיקרוסופט היא האשמה בבעיה.

בגלל אחריות ייעלמו תוכנות החינם

פרשן רשת בי-בי-סי, ביל תומפסון, פירסם לאחר מכן כתבה בה טען שהגיע הזמן שחברות התוכנה ייקחו אחריות על הפשלות שלהן, בדיוק כפי שחברות החומרה לוקחות אחריות על תקלות בייצור. המהומה לא איחרה לבוא. בדיון רוגש שהתפתח באתר Slashdot נכתב, כי הטיעונים שהעלה תומפסון הם חלק ממגמה של התבכיינות וחיפוש מרושע אחר גוף שאפשר להוציא ממנו כסף.

"קח את 'חלונות' לדוגמה", כתב אחד המגיבים באתר. "נניח שהפסדת 500 אלף דולר ביום אחד בגלל תקלה בתוכנת השרת, כתוצאה ממתקפת מניעת שירות. האם מיקרוסופט אחראית? ואולי אתה אחראי, כיוון שידעת ש'חלונות' היא תוכנה פגיעה ולכן היית צריך להשתמש בתוכנה שמגינה על השרת שלך מפני מתקפות שכאלו? אני חושב שהתשובה השנייה היא הנכונה". "אני", הוסיף המגיב, "לא מסוג האנשים שמחפשים את מי לתבוע כאשר הם מחליקים על הקרח ושוברים את הצוואר".

אחרים טענו, כי אם יחילו אחריות גורפת על כל חברות התוכנה ייעלמו מהשוק החברות המפתחות "חַפשות" (תוכנות חינם, Freeware ( ומי שיינזק מכך יהיו המשתמשים עצמם. אבל היו שסברו גם אחרת. חלק מהמגיבים טען, שגם אם המשתמש הממוצע מוכן לשאת בעלויות ולרכוש תוכנה יקרה יותר של חברה שמבטיחה לקחת אחריות על תקלות בתוכנה, הוא לא יוכל. מדוע? כי אין חברות כאלו (לפחות לא כאלו המספקות פיתרון למשתמש הקצה הממוצע).

ניתן לעשות יותר

אז האם המשתמשים מגזימים? נכון, אף אחד לא הבטיח להם תוכנה ללא בעיות. אבל יש לזכור, שההתוכנות שבהן מדובר הולכות ותופסות תפקיד קריטי בחיינו. דוגמה טובה לכך היא בעיית הווירוסים. עד לראשית שנות ה-90' נחשבו הווירוסים לתופעה זניחה, שקל היה להתמודד איתה. חלק ניכר מהם לא גרם לנזק ממשי והתמודדות איתם היתה פשוטה יחסית: לבדוק כל תקליטון (מישהו עוד זוכר מהם תקליטונים?) לפני שמעתיקים אותו לדיסק הקשיח.

כיום בנוי העולם המערבי על תשתיות דיגיטליות, שפגיעה בהן עשויה להשבית את פעילותן של חברות חשמל, חברות תעופה, בנקים וגופי מסחר, שלא לדבר על מדינות שלמות. אבל למרות שהצורך בגוף שלוקח אחריות הולך וגדל, התפיסה לפיה "לא ניתן לכתוב קוד בטוח ב-100" עדיין שולטת בעולם התוכנה.

יועץ הבית-הלבן לשעבר, שמידט, טוען, שגם אם זה נכון – ניתן לעשות יותר. "באופן מסורתי, רוב הקורסים באוניברסיטאות התמקדו בדרכים לכתוב תוכנה ידידותית, שניתן לנהל אותה בקלות ושניתן לשדרג אותה אך לא באבטחת מידע. רק כעת זה משתנה", ציין. המסקנה, אם כן, היא, שבשלב זה ובעתיד הנראה לעין התקנת התוכנה היא על אחריות המשתמשים. התוכנה נתקעה ובאותה הזדמנות גרמה נזק לעסק? הווירוס חדר דרך חור אבטחה במערכת ההפעלה, ובאותה ההזדמנות מחק את העבודה שעליה עמלתם במשך שבוע לבית-הספר? בעיה שלכם.