特朗普政府周三(11月15日)發佈了一項新規,其涉及是否要披露網絡安全漏洞,還是將其保密。此舉是為了給長期披著神秘外衣的一個程序賦予更多透明度。
人們常常對美國政府提出一個批評:它對網絡漏洞進行保密,給網絡安全帶來危險。
修改之後的規定發佈在白宮網站上。白宮網絡安全協調員喬伊斯(Rob Joyce)說,新規定是為了揭示各聯邦機構權衡保密成本的過程。
喬伊斯在華盛頓的阿斯彭研究所講話中說,美國的這套規定是世界上最複雜的,跟大多數其它國家不一樣。
他說,中共、俄羅斯、北韓、伊朗這些政府不會提醒私人公司,他們的技術中可能存在甚麼漏洞。
在奧巴馬總統時期,美國政府建立了一個跨機構的審查程序,以確定如何處理情報機構,比如NSA(國家安全局)發現的網絡漏洞。
這個過程旨在平衡執法機構和美國情報機構之間的需求。情報機構喜歡入侵公司的電腦系統,以警告製造商在罪犯和其他黑客入侵之前修補漏洞。
特朗普政府的新規定解釋了漏洞審查過程,以及哪些機構參與這個過程。這些機構包括情報機構和一些文職部門,比如商務部、財政部、能源部和國務院。
國家安全局被列為這個跨機構小組的「執行秘書」,其任務是協調爭議。如果分歧不能調和,這個小組將就是否披露某個漏洞進行投票表決。
新規定也要求跨機構小組發佈年度報告,其中部份內容將公開。報告將列出發現漏洞的數量、保密的數量和披露的數量。
新規定說,有關某個漏洞是否保密的決定,每年都將重新考慮。
前奧巴馬政府網絡官員、網絡安全政策和法律聯盟協調員舒瓦茨(Ari Scwhartz)說,新規定的發佈是一個重大改善。
喬伊斯周三說,逾90%的漏洞最終都被披露。但是批評者說,漏洞分享得太慢,而且大多數嚴重漏洞常常被保密。
今年早先,「想哭」勒索軟件襲擊全球150個國家,導致醫院的電腦系統癱瘓、工廠營運混亂。這造成人們對政府保密網絡漏洞做法的批評聲浪增大。
此次攻擊得逞是因為微軟視窗軟件裏的一個漏洞。國家安全局利用這個漏洞製作它自己的黑客工具,但是這個工具不幸落入神秘組織「影子經紀人」的手中,並被公佈到網上。
疑似北韓黑客發現了這個視窗漏洞,將其改造之後,發動了「想哭」攻擊。
------------------
💎成為會員 📧訂閱電子報
https://hk.epochtimes.com/subscribe
🔔下載大紀元App 接收即時新聞通知
🍎iOS:https://bit.ly/epochhkios
🤖Android:https://bit.ly/epochhkand