SolarWinds攻擊促使公司披露黑客事件 - 彭博社

攝影師：克里斯·拉特克利夫/彭博社嗨，我是彭博社的網絡安全團隊成員Alyza。在疑似俄羅斯黑客侵入美國政府和私營部門的計算機網絡後，要求美國公司在網絡安全方面更加透明的呼聲日益高漲。

我們仍然不清楚這次攻擊的範圍，這次攻擊通過德克薩斯州公司SolarWinds Corp.的軟件，向其多達18,000名客户的更新中注入了惡意代碼。但目前仍在調查有多少家公司成為黑客後續攻擊的目標。白宮表示已確定有九個聯邦機構和大約100傢俬營公司可能受到影響，儘管這一數字可能隨着調查的進行而增加。我們不清楚攻擊的全部範圍的一個原因是目前沒有聯邦數據泄露通知法。

上週我報道了兩場國會聽證會，重點關注了這次網絡攻擊，而這樣一項法律的必要性是兩黨議員和出席聽證會的技術高管們的共同主題。他們呼籲制定聯邦要求公司通知政府重大數據泄露的法律。

他們的理由之一是，疑似俄羅斯黑客是在網絡安全公司FireEye Inc.發現自己遭受攻擊並在12月自願披露事件後才被發現的。如果沒有數據泄露，黑客可能仍然在政府和私營部門的計算機網絡中潛伏而不被察覺。

這是一個示例，證明了長期爭論的觀點，即私營部門的數據泄露披露對美國國家安全至關重要。

除了關於公司是否應該被要求向政府披露網絡攻擊的辯論外，還有越來越多的呼籲要求上市公司向投資者更加坦誠地披露他們所面臨的網絡安全風險。

網絡風險分析公司 SecurityScorecard 在週二早上發佈了一份 報告，評估公司是否聽從美國證券交易委員會的呼籲，分享可能影響股價或公司聲譽和價值的網絡風險信息。

報告發現：“太多時候，與網絡有關的披露語言都是模板化的，無法幫助投資者評估公司的網絡風險概況或管理這些風險的方式。獲得投資者信心將取決於公司是否願意超越識別系統性網絡風險，闡明他們正在使用哪些經過驗證的策略和工具來管理這些風險。”

該報告發布超過一年後，網絡太陽系委員會——國會成立的一個跨黨派團體，旨在為美國製定預防未來網絡攻擊的建議——推動增加公司在網絡安全方面的責任。該委員會建議明確規定上市公司應該跟蹤的安全指標，並要求他們保存他們的網絡風險評估記錄。

在上週的參議院情報委員會聽證會上，主席馬克·沃納問科技高管們：“為什麼我們不應該建立強制性的報告系統，即使這些報告系統需要一些責任保護，以便我們更好地瞭解和更好地處理未來的攻擊呢？”

高管們對這個想法持開放態度。微軟公司總裁布拉德·史密斯表示，要求私營部門公司披露數據泄露將是向前邁出的關鍵一步：“我認為這是我們保護國家的唯一途徑，”他説。“我認為這是我們保護世界的唯一途徑。” —艾麗莎·塞貝尼厄斯

如果你只讀一篇文章

亞馬遜在亞拉巴馬州貝瑟默的工人正在投票是否加入工會。根據對那裏的16名工人的採訪，倉庫裏的反工會情緒至少和支持工會的熱情一樣高。

以下是全球科技新聞中你需要了解的內容

Zoom股價飆升在週一的盤後交易中，因公司預測的年度收入超過了分析師的預期。

馬雲的螞蟻集團員工曾以為他們將獲得一筆重要的IPO紅利。現在，他們卻擁有無法出售的股份。

美國政府要求谷歌提供關於其搜索引擎運作方式的詳細信息，作為一項反壟斷案件的一部分。