美國官員稱科技公司必須打造安全產品 - 《華爾街日報》

James Rundle

2022-10-28

作者：詹姆斯·朗德爾2022年10月27日下午4:07（美國東部時間）|WSJ專業版2021年的國家網絡總監克里斯·英格利斯。圖片來源：L Nolly/Zuma Press白宮向軟件製造商和服務提供商傳達了一個強烈的信息：網絡安全也是你們的問題。

美國高級網絡官員在週四的一次活動中表示，技術提供商而不僅僅是購買者，必須承擔起確保其產品免受網絡攻擊的責任。

國家網絡總監克里斯·英格利斯表示，他傾向於採用“最輕的觸感”來定義基本的安全要素，並且用户必須承擔部分責任，確保他們安全地使用軟件或服務。但他表示，最終，安全責任必須共同承擔。

“我想大家都同意，供應鏈末端的用户不能成為第一道和最後一道防線。我們必須沿着供應鏈推卸一些責任，”他在由政策智庫戰略與國際研究中心主辦的一次活動中説道。

英格利斯先生表示，過去如12月披露的開源軟件Log4j漏洞等網絡安全衝擊表明，僅僅對事件做出反應並不理想。“如果我們每次都這樣出色地應對，我們只會輸得更慢。”

相反，英格利斯先生表示，技術必須從設計上就確保安全，這樣即使發生像Log4j漏洞這樣的情況，也能在最早可能的時候發現並控制。該漏洞的發現引發了安全團隊在聖誕節前夕的緊急行動，以識別和修補包含該代碼的應用程序，同時網絡官員發出嚴厲警告，稱該問題極為嚴重。

自拜登政府上任以來，白宮一直推動聯邦機構加強多方面的安全措施。這包括建立所謂的軟件物料清單，這些清單列明瞭應用程序中使用的組件，可在漏洞出現時縮短響應時間。政府現在正將注意力轉向私營部門某些領域的網絡安全標準。

網絡安全與新興技術副國家安全顧問安妮·紐伯格，攝於三月。圖片來源：帕特里克·塞曼斯基/美聯社網絡安全標籤計劃，仿效聯邦能源之星計劃（該計劃認證建築和設備的能源效率），將迫使生產聯網消費產品和商業產品的公司達到最低安全標準，白宮網絡安全與新興技術副國家安全顧問安妮·紐伯格表示。

她表示，最終，這一努力將提升金融服務、能源、航空和其他關鍵基礎設施領域的網絡風險管理和韌性。她與英格利斯先生在同一小組討論中發言。

紐伯格女士將該計劃的潛在影響比作餐廳開始在櫥窗中展示衞生部門評級的做法。

“這為消費者提供了一種非常快速的決定方式：我要去哪家餐廳？當然不會是評級為‘C’的那家。我們正試圖為你的智能電視做同樣的事情，”她説。

紐伯格女士表示，科技供應商必須從最初設計階段就提供本質安全的產品，且不應讓買家承擔額外成本。她強調，保障產品安全的責任不能僅由用户承擔。

她以雲計算為例，指出該領域的安全責任應在供應商和客户之間更合理地分配。

傳統上，大型雲服務商通常採用責任共擔模式——他們負責確保技術安全，但用户需對自己上傳至雲端的數據及安全配置負責。她認為這種責任劃分需要重新評估。

“作為技術提供商，你有責任為產品提供基礎安全保障。“她説道。

聯繫作者詹姆斯·朗德爾：[email protected]

推薦閲讀