" 大量資金 " 不翼而飛、736 名郵局分局長被起訴、900 多起訴訟案展開、現如今隻有 30 人同意及全面和解 ...... 誰能想到,導緻這場混亂的根源是一款軟件帶來的 Bug。
這兩天,英國很多科技網站的頭版頭條都挂着一則有關 " 郵局 Horizon" 的醜聞。
事件起因于一位名爲 Gwyneth Hughes 編劇花了三年時間制作了四集劇情片——《貝茨先生大戰郵局》,該短劇改編自真實事件,講述的是英國郵政局公司在過去 20 年中錯誤地指控郵局分局局長盜竊、欺詐和做假賬的故事。
雖然自節目播出以來,已有 50 名新的潛在受害者聯系了律師,其中 5 人希望對定罪提出上訴,但和短劇中那些含冤頂罪的郵局分支機構負責人最終得到平反的結局有所不一樣,現如今,這一案件在追查近 20 年後,一切仍未結束。
01 一個由軟件問題引發的冤案
事情最早要追溯到 1994 年,在互聯網浪潮風起之際,英國郵局公司爲了能更好地管理旗下多個分支機構,希望用磁卡系統取代原本的紙質系統。因爲彼時郵局公司的很多分支機構都是由特許經營合作夥伴運營的,并非郵局公司派遣員工直管。現在來看,有些像承包關系。
那時,一家名叫 ICL Pathway Limited 的軟件公司中标了,它的母公司是 International Computers Limited(ICL),該公司在 1998 年被日本 IT 巨頭富士通收購。
這家軟件公司起初研發了一個刷卡系統 Horizon V1,旨在實現郵局分支機構的養老金和福利與社會保障部的養老金和福利的一體化。該系統于 1996 年啓動,最終于 1999 年 5 月被取消,并被社會保障部否決。該系統花費了納稅人大約 7 億英鎊。
然而,失敗之後,政府繼續采購,改變了有關郵局公司的計劃。政府開始将該系統作爲一種爲其所有分支機構提供電子會計、交易和庫存盤點的手段。
不過,那時的他們對 Horizon 系統的有效性仍然存在疑問,正如外媒報道的董事會在當年 9 月份的會議記錄中寫道," 對軟件的可靠性仍然存在嚴重懷疑 ",但似乎被忽視了。
從 1999 年開始,郵局公司用上富士通開發的 Horizon V2 系統,郵局分支機構的負責人們接受了 Horizon V2 的培訓。
放眼 1999 年,Horizon 是歐洲最大的非軍事 IT 項目,所以也備受關注。
令人沒想到的是,就在用上這款系統不久後,一些郵局分支的賬目出現了差錯,導緻了一系列的财務問題,包括錯誤的欠款、多付和缺失的資金,有時候資金缺口甚至達到了數萬英鎊。
在那個互聯網系統初步普及的時代,很多人沒有遇到這樣的事情,郵局分支機構負責人也無法解釋這種情況。
于是,郵局公司認爲是這些分支機構的負責人 " 貪 " 了。而根據當時雙方簽訂的合同來看,這些負責分支機構的負責人除非能自證清白,否則需要對經濟損失直接負責。
迫于無奈,一些負責人拿出自己的腰包去填補賬面上的空白,也有人通過抵押自己的房屋來彌補。
根據 Horizon 提供的信息,1999 年至 2015 年間,擁有私人調查和起訴權、無需警察參與的郵局公司起訴了至少 700 名郵政副局長,罪名包括盜竊、虛假做賬等犯罪行爲。
最終,數百名郵政副局長入獄,也有些人随着這一事件的曝光被他人排斥,無家可歸,甚至還有一些人在定罪被推翻之前死亡。
這些年間,很多人并不是沒有發現問題,據外媒後來報道,早在 2000 年,就有人向郵局的高級經理表示,計算機技術人員對該系統擁有操作權,甚至他們可以更改郵局負責人的數據。
随後,有一家安永會計師事務所(Ernst and Young)發送給郵局公司的審計報告中稱,其 " 再次發現了 Horizon 系統中的漏洞 ",即某些 IT 員工對分支機構負責人的 Horizon 賬戶具有 " 不受限制的訪問 " 權限,可能導緻處理未授權或錯誤的交易。
不過,這些類似的反饋并沒有得到重視,甚至被 " 壓了下來 "。
02 外媒披露,真相逐漸浮出水面
後來,更多的工作人員和負責人陷入與郵局公司持續的官司鬥争中,也有人開始尋求媒體的幫助與曝光,其紛紛表示,Horizon 的确是存在問題的。
随着媒體的傳播,越來越多的分支機構負責人發現自己絕非個例,于是共同組建了一個郵政副局長正義聯盟(JFSA),開啓了反擊。
議員 James Arbuthnot 也開始介入調查,面對外部的壓力,郵局公司被迫認真對待這些問題。2012 年,爲了滿足政界人士的要求,郵局公司啓動了一項外部審查和調解計劃,以調查分支機構負責人指控的問題。
作爲這項工作的一部分,郵局公司指定并向法務會計公司 Second Sight 支付了調查案件的費用。
沒想到的是,Second Sight 公司很快就發現,郵局分支機構負責人并不是小偷和詐騙犯,而是辛勤工作的人們,他們正在與一個計算機系統和一個關心計算機系統聲譽而忽視他們的組織作鬥争。
2013 年,Second Sight 編制了一份臨時報告,揭示了該系統存在的嚴重問題。
2015 年 3 月,在其完整調查報告發表前夕,Second Sight 的工作被停止,調解計劃結束。彼時外媒稱,很明顯,該調查機構正在靠近真相,最終報告發現,郵局公司對分支機構工作人員的起訴确實可能存在誤判。
随着調解計劃的失敗,JFSA 宣布準備一場集體訴訟 ( GLO ) ,通過該訴訟,數百名受害者将起訴郵局公司,要求賠償容易出錯的 Horizon 系統給他們造成的損害,該組織仍然在使用該系統。
此前郵局公司出面否認了系統有問題,并表示 " 過去三年公司進行了詳盡的調查,但沒有發現任何證據表明 Horizon 系統存在系統性問題。"
2017 年 1 月,高等法院同意處理此案,GLO 獲得了批準。
2019 年 12 月,經過兩次審判——第一次審查郵局和分支機構負責人之間的合同,第二次重點關注 Horizon 系統——郵局做出了讓步,并與分支機構負責人達成和解。
彼時這個案件中 555 名索賠人獲得了 5800 萬英鎊的賠償,但扣除成本後,他們隻剩下 1100 萬英鎊。但這個訴訟獲勝,證明他們對 Horizon 系統的看法是正确的——它包含可能導緻會計缺陷的錯誤、錯誤和缺陷。
2020 年 12 月,南華克皇家法院撤銷了對首批六名分支機構負責人基于 Horizon 證據的定罪。
次年 4 月,上訴法院推翻了對另外 39 名工作人員的錯誤定罪。
法官不僅裁定這些起訴是錯誤的,而且是對正義的侮辱。現在已經推翻了大約 93 項與 Horizon 有關的定罪,預計還會有更多的定罪被推翻。
彼時,時任英國首相 Boris Johnson 對此也發表了自己觀點,他稱法院最初的定罪是 " 令人震驚的不公正。"
時下,外媒最新報道,當地警方首次證實,郵局公司正在因爲 Horizon 醜聞期間犯下的 " 潛在欺詐罪 " 而接受刑事調查。
事實上,在 93 項被推翻的定罪中,隻有 30 人同意「全面、最終和解」。據郵局公司透露,迄今爲止,已支付超過 3240 萬英鎊的賠償。
事後,也有技術人員本着嚴謹的态度,結合相關的法律調查文件,探讨 Horizon 和相關系統中可能存在的技術故障。
來自倫敦大學學院信息安全研究小組 Bentham ’ s Gaze 在查看了法院判決文書(https://www.benthamsgaze.org/wp-content/uploads/2021/07/Bates-and-Ors-v-the-Post-Office-Ltd-2019-EWHC-3408-QB.pdf)之後,考慮到 Horizon 執行的大量事務(每天數百萬)、不可避免的硬件和通信故障以及系統之間複雜的交互,發現不少錯誤會很常見,也會導緻系統帶來缺陷,譬如:
事務處理中原子性失敗導緻重複傳輸。在法院此前判決書中顯示,有位 Godeseth 先生發現,2010 年 3 月 2 日,一名經理人試圖将 4,000 英鎊從一個單獨的庫存單位轉入共享的主庫存單位,但系統崩潰了。這名經理人随後收到 2 x 4,000 英鎊的收據。這兩張收據的編号相同。當經理人進行現金申報時,雖然主要庫存單位(4000 英鎊被轉入其中)" 沒有問題 ",但從其中提取現金的單位 " 少了 4000 英鎊 "。
一緻性失效導緻系統間失去同步。事務處理中需要保留不變量的一緻性。這些不變因素之一是 Horizon(維護郵局櫃台)與會計系統(跟蹤資金)同步,但是在判決書中,有櫃台系統與後端會計系統失去同步的示例。
隔離失敗導緻報告中缺少交易。隔離性要求并發發生的事務不應互相幹擾,但是判決中生成報告的過程與發生的另一個事務之間的隔離失敗。
持久性失敗導緻交易從 Horizon 中消失。通常的實現方式是,系統檢測到在交易完全記錄之前發生的故障,并通過完成交易記錄過程從故障中恢複。判決書中讨論了一種情況,即在連接的銀行系統中已經提交了一筆交易,但卻從 Horizon 系統中消失了。
日志複制失敗。Horizon 的早期版本通過維護系統間複制的消息日志來跟蹤所發生的事情,以确保分行的所有計算機與郵局的後端系統保持一緻的狀态。判決書的技術附錄中讨論了一個複制失敗的案例。
能确保證據的可靠性。Horizon 産生的證據有時是起訴分支機構工作人員的唯一依據,因此證據必須可靠。這意味着,我們可以确信某項行動是何時發生的,發生了什麽,是誰做的。我們還希望确保隻有最低數量的人員被授予系統權限,以允許進行敏感更改。評估結果表明,Horizon 未能滿足這些要求中的任何一項。
以上法律判決文書中展示的示例無疑證明早期的 Horizon 還是存在巨大的風險的。
04 上雲難?郵局公司還在使用 Horizon
然而,讓人更有些無奈的是,郵局公司還在使用 Horizon 系統。
郵局公司表示:" 自 1999 年推出以來,Horizon 已經出現了多個版本,而從 2017 年推出的當前版本的系統在集體訴訟中被發現相對于同類系統而言更爲穩健。但我們對此并不自滿,并将繼續與郵政局長一起努力做出改進。"
彼時郵局也曾計劃未來不再使用 Horizon 系統,但是似乎一直不太順利。
2021 年 4 月,郵局公司和富士通簽訂了 4250 萬英鎊的 Horizon 延期合同,這份合同在原有的基礎上進行了修改。該文件指出,郵局公司現有的 Horizon 系統是一個 " 高度複雜的遺留平台,由過時版本的軟件語言編寫 ",具有 " 不靈活的單體架構,使技術變革變得困難 "。
但至于爲什麽續簽,其也給出了理由:由于特定的互操作性要求以及現有基礎設施、管理業務模式和操作程序的高度複雜性,出于經濟和技術原因,在 Horizon 協議到期之前,不能由原承包商以外的承包商提供這些服務。更換承包商将導緻實施以及運營和維護方面出現不成比例的技術困難。此外,更換原來的承包商将導緻許多沉沒成本,包括運行成本的增加、雙重運行成本以及兩年服務期限的額外過渡成本。
話雖如此,但是就在 2022 年,郵局公司又突然在官網上發布了一則《Moving to the cloud》的通知,表示「如今,一切似乎都在 " 雲端 "。我們也熱衷于充分利用雲所能提供的功能」。并透露,Horizon 系統目前托管在貝爾法斯特的兩個固定位置數據中心。此類數據中心很快就會被雲技術所取代。
" 我們需要與時俱進,确保我們不僅能夠最好地支持當前的需求,而且還能滿足未來的需求。這一變化将減少我們對遺留數據中心的依賴。固定站點的大部分 IT 基礎設施也已接近報廢。同時宣布,新的郵局雲平台将由 AWS 提供",郵局公司在公告中寫道," 一旦測試成功完成,我們計劃在今年晚些(2022)時候開始遷移分行櫃台使用的應用程序。"
就在衆人期待着全面上雲的時候,本來與富士通之間于 2023 年 3 月 31 日到期的合同,又在 2023 年 4 月續簽上了,價值 1600 萬英鎊。郵局公司對此的解釋是," 将服務轉移到新雲提供商的計劃爲 POL [ 郵局有限公司 ] 在經濟和技術上帶來了無法克服的基本技術挑戰。"
2023 年 11 月,郵局公司又與富士通公司續簽了一份價值 3600 萬英鎊的合同,新的資金用于 " 适當的更新和改進計劃 ",因爲該公司 " 決定重新轉向富士通提供的 Horizon 數據中心,直到成功将服務從 Horizon 中轉移出來,并且進入其替代品 NBIT(新分支 IT)。由于數據中心能力的保留,有必要進行數據中心強化工程,以提供穩定性、避免過時并确保業務連續性。"
而據外媒 The Stack 透露,郵局公司在反複上雲與棄雲的過程中,2023 年 81% 的重組成本被浪費了,随着其不得不 " 停止部分将現有軟件轉移到雲基礎設施的轉型計劃 ",也因此在 2023 年損失了 3100 萬英鎊(約 2.8 億元)。
對複雜的遺留系統進行現代化改造是一項充滿挑戰的工作,但這樣反複橫跳的操作,也讓不少技術人質疑,在很多傳統企業成功進行數字化改革的今天,上雲有那麽難嗎?究竟是不好上雲,還是不想上雲,也許隻有他們自己知道了。
但是通過這一事件,外媒 The Stack 暗示道,「如果有合适的合作夥伴,快速完成複雜的現代化工作确實是可以實現的。以美國陸軍爲例,2021 年,美國陸軍在 24 小時内将其後勤現代化計劃(LMP)從内部服務器遷移到超級分銷商環境。LMP 由全球 50 個地點的 23000 多人使用,是陸軍供應鏈(世界上最大的供應鏈之一)的基礎,托管有關設備準備、資産管理等方面的數據。該系統每天管理 700 萬筆交易,并與 80 多個國防部系統集成。當然,這次遷移需要精确的軍事規劃,但是 ......24 小時,夥計們。也許郵局公司可以打個電話問問,他們是如何做到的。」
