第四章 网络安全漏洞治理

勒索病毒（WannaCry Ransomware）攻击事件爆发于2017年5月中旬。恰好一个月之后，便是第五届UN GGE最后一场谈判。对于这次攻击事件，许多国家认为要从源头和扩散两个角度看问题，认为根源在于美国政府开发、储存漏洞，认为美国政府不负责任，严重失职，未能做到防止扩散和泄露。

毕竟，2015年UN GGE共识报告明确表示，各国政府应该采取措施，禁止有害ICT工具与技术的扩散，禁止使用有害的隐藏功能，美国的这种行为至少违背了两条规则，甚至七国集团自己的宣言也要求各国及时披露和修复漏洞。但是，这些规则当前还处于脆弱的状态，尚不具备任何法律约束力。

英国牛津大学互联网研究所（OII）研究员塔迪鸥（Mariarosaria Taddeo）对美国没有因此遭受任何制裁感到惊讶。“有趣的是，美国既是七国集团宣言的签署国，也是2015年UN GGE报告的起草国，当美国违反了这些原则的时候，居然没有受到任何制裁，这表明当下试图阻止网络冲突升级的政治策略存在的主要问题：缺乏约束力和强制力。”^[1]

美国很多保守派智库专家认为，美国安全部门开发、储存漏洞是履行政府职能，是再正常不过的行为。不这样做，反而是政府的渎职。美国认为问题在于那些扩散漏洞的人不负责任，并且责怪运营商、用户的安全意识淡薄。各国解读勒索病毒攻击事件的视角差别巨大，说明各国对于网络武器的看法存在本质差异，这给第五届UN GGE最后一场谈判蒙上了阴影。