微软与FireEye敦促国会制定强制性的安全报告披露规则
在调查发现 SolarWinds 黑客攻击事件对美国企业和联邦政府有着极其深远的影响之后,微软和 FireEye 高管于本周二联合敦促国会采取行动,以制定强制性的安全报告披露规则。微软总裁 Brad Smith 在提交给参议院情报委员会的文书中表示:“我们需要让私营机构承担明确、一致的披露义务,否则企业会在遭受黑客入侵时纷纷保持沉默”。
黑客攻击时间线(图自:SolarWinds)
显然,作为 SolarWinds 入侵事件的余波,安全行业对当下的糟糕状况感到十分无奈,因而 Brad Smith 认为大家是时候做出集体的转变。
我们需要用明确、一致性的义务,来代替这种可怕的沉默。只有这样,私营组织才会在遭受到重大事件影响时及时披露信息。
曾因参与早期调查而受到赞誉的 FireEye 首席执行官 Kevin Mandia 补充道:
企业应该有一种方法来披露可能对国家安全造成重大影响的安全公告,而不必担心因此而受到法律的制裁。
与此同时,美国政府应考虑制定一个联邦层面的披露方案。除了分享威胁情报,还应通报与黑客攻击 / 入侵事件相关的细节。
FireEye 指出,去年 12 月,拥有复杂背景的黑客组织成功利用了 SolarWinds 的软件漏洞,渗透了多达 1.8 万名客户的内部网络,其中就包括 FireEye 和微软。
某位白宫官员在上周表示,在长达数月的行动期间,其已证实有 9 个联邦机构和 100 家私营实体受到了 SolarWinds 黑客事件的影响,且情报官员直指攻击者与俄方有关。
(图 via SeekingAlpha)
Kevin Mandia 和 Brad Smith 指出:“遗憾的是,按照现行的法律,相关企业并不需要主动公开披露黑客攻击事件”。
虽然法律上没有提出举报和披露的义务,但我们认为这么做仍然很有必要。
除了保障每位客户的权益,还有助于维护联邦政府的安全。
如果没有这方面的信息披露与共享,那我们就无法确保这个国家的安全。
据悉,虽然目前全美多州已明确规定要以某种形式披露安全公告,但在经历了多年的拉扯之后,联邦政府仍未能将此事摆上重要的日程。
参议院情报委员会主席 Mark Warner 周二表示:“我们可能等到有意披露的机构,但也可能对黑客攻击事件毫不知情。就算其它大型企业也可能成为受害者,但就是没人选择挺身而出”。
基于此,Mark Warner 认为越来越有必要制定一套强制性的安全公告和信息共享披露制度,并且建议在联邦层级上做出相应的努力。