網絡計劃將軟件製造商在黑客攻擊中承擔責任 - 彭博社
Katrina Manson, Courtney Rozen
攝影師:Hollie Adams/Bloomberg拜登政府計劃在週四發佈一項積極的新國家網絡安全戰略,旨在將被黑客攻擊的責任從公司轉移到軟件製造商和設備製造商,這可能會與大型科技公司發生衝突。
提前與一組記者分享的這份35頁戰略指出,軟件製造商必須“在未能履行他們對消費者、企業或關鍵基礎設施提供者的責任時承擔責任。”
文件中表示:“責任必須由最有能力採取行動以防止不良後果的利益相關者承擔,而不是由往往承擔不安全軟件後果的最終用户或集成到商業產品中的開源組件的開發者承擔責任。”
新戰略承諾政府將與國會和私營部門合作“制定立法,規定軟件產品和服務的責任。”
喬·拜登總統在一份聲明中表示,這項戰略“應對了一個系統性挑戰,即太多的網絡安全責任落在個人用户和小組織身上。”
Google一名高管表示,他的公司歡迎拜登政府的計劃。Google Cloud的首席信息安全官Phil Venables表示,市場上有許多產品沒有基本的保護措施。該戰略可能迫使那些試圖通過缺乏安全保護的廉價產品來挑戰競爭對手的公司符合最低安全標準,這是一個重要的發展,Venables説。
美國高級官員公開抱怨,包括微軟公司和Twitter公司在內的科技公司未能充分保護用户賬户的安全。
Jen Easterly攝影師:Lauren Justice/Bloomberg網絡安全與基礎設施安全局局長詹·伊斯特利本週抨擊了這些失敗,包括有缺陷的代碼和糟糕的做法,她表示這使用户容易受到黑客攻擊。
儘管拜登政府在頭兩年未能推動立法限制包括Alphabet公司的谷歌,蘋果公司,亞馬遜公司和Meta平台公司在內的最大科技公司的權力,但這樣一項雄心勃勃的努力仍在進行中。
白宮支持這些舉措,儘管批評者稱其未能對民主黨參議院多數黨領袖查克·舒默施加足夠大的壓力。舒默去年沒有提出重大科技改革法案進行投票。
一位不願透露姓名向記者簡報的高級政府官員承認,將網絡安全漏洞的責任轉嫁給軟件公司需要立法行動,並且是一個可能需要長達十年的長期過程。該官員補充説,政府不指望在未來一年內出台新法律。
下一次總統選舉距離不到兩年,這就引發了一個問題,即政府是否能夠實現其新戰略中最雄心勃勃的目標,保護美國人免受黑客的侵害。
一位高級官員後來告訴彭博新聞,政府將尋求利用兩黨支持加強網絡安全的機會。然而,除了立法行動外,顧客也可以對軟件和設備製造商提起民事訴訟,以期提高安全標準並塑造市場力量,這是政府支持的一種方法,該官員表示。
該官員表示,與軟件行業合作而非對抗是有可能的。此外,政府希望其計劃將迫使公司在保護其軟件方面做得更好,以贏得競爭激烈的市場中的客户,該官員表示。
政府的戰略還承諾對勒索軟件採取更強硬的立場,即犯罪分子加密受害者的文件,直到支付勒索費為止。(許多攻擊者現在也竊取文件,並威脅要將其公開發布,除非支付)。
為了更加積極地打擊這些團伙,司法部去年通過制裁關閉了被勒索軟件犯罪分子使用的加密交易所,而FBI今年早些時候則通過與德國和荷蘭官員協調,奪取了Hive勒索軟件團伙成員使用的服務器和網站的控制權,從而解散了該團伙。
閲讀更多:俄羅斯的Viasat黑客事件暴露了衞星行業的安全漏洞
該戰略還將尋求擴大關鍵基礎設施部門的最低網絡安全要求,而無需額外立法,這很可能是其最具實現可能性的目標之一。
Anne Neuberger攝影師:Leigh Vogel/UPI/Bloomberg負責網絡和新興技術的副國家安全顧問安妮·諾伯格告訴記者,政府認識到僅憑信息共享和與行業的合作是不足以克服對美國關鍵基礎設施的風險的,現在政府需要“實施最低強制要求”。
她補充説,政府已經為管道和鐵路制定了最低網絡安全要求,並將宣佈適用於其他行業的要求,儘管她沒有説明是哪些行業。
諾伯格表示,美國政府可以利用採購來塑造市場。作為一個紐約人,她説她欣賞包括在入口門上的餐廳衞生評級,並且標記軟件和設備同樣可以讓客户做出更安全的選擇。
克里斯·英格利斯在擔任拜登國家網絡主任期間參與制定該戰略,上個月在卸任時告訴彭博新聞,國會對該計劃“有發言權”。
他説:“我們將繼續與國會合作,確定他們想要做什麼,他們願意做什麼,但我們也需要利用行政權力。”他説:“我認為將出現的監管框架必須受益於高度的磋商和最輕微的觸及,並且必須有一定程度的協調,這樣我們才不會實際上在一個或多個角落浪費時間。”