在調(diào)查發(fā)現(xiàn) SolarWinds 黑客攻擊事件對美國企業(yè)和聯(lián)邦政府有著極其深遠(yuǎn)的影響之后，微軟和 FireEye 高管于本周二聯(lián)合敦促國會采取行動，以制定強(qiáng)制性的安全報告披露規(guī)則。微軟總裁 Brad Smith 在提交給參議院情報委員會的文書中表示：“我們需要讓私營機(jī)構(gòu)承擔(dān)明確、一致的披露義務(wù)，否則企業(yè)會在遭受黑客入侵時紛紛保持沉默”。

顯然，作為 SolarWinds 入侵事件的余波，安全行業(yè)對當(dāng)下的糟糕狀況感到十分無奈，因而 Brad Smith 認(rèn)為大家是時候做出集體的轉(zhuǎn)變。

我們需要用明確、一致性的義務(wù)，來代替這種可怕的沉默。只有這樣，私營組織才會在遭受到重大事件影響時及時披露信息。

曾因參與早期調(diào)查而受到贊譽(yù)的 FireEye 首席執(zhí)行官 Kevin Mandia 補(bǔ)充道：

企業(yè)應(yīng)該有一種方法來披露可能對國家安全造成重大影響的安全公告，而不必?fù)?dān)心因此而受到法律的制裁。

與此同時，美國政府應(yīng)考慮制定一個聯(lián)邦層面的披露方案。除了分享威脅情報，還應(yīng)通報與黑客攻擊 / 入侵事件相關(guān)的細(xì)節(jié)。

FireEye 指出，去年 12 月，擁有復(fù)雜背景的黑客組織成功利用了 SolarWinds 的軟件漏洞，滲透了多達(dá) 1.8 萬名客戶的內(nèi)部網(wǎng)絡(luò)，其中就包括 FireEye 和微軟。

某位白宮官員在上周表示，在長達(dá)數(shù)月的行動期間，其已證實有 9 個聯(lián)邦機(jī)構(gòu)和 100 家私營實體受到了 SolarWinds 黑客事件的影響，且情報官員直指攻擊者與俄方有關(guān)。

Kevin Mandia 和 Brad Smith 指出：“遺憾的是，按照現(xiàn)行的法律，相關(guān)企業(yè)并不需要主動公開披露黑客攻擊事件”。

“雖然法律上沒有提出舉報和披露的義務(wù)，但我們認(rèn)為這么做仍然很有必要。

除了保障每位客戶的權(quán)益，還有助于維護(hù)聯(lián)邦政府的安全。

如果沒有這方面的信息披露與共享，那我們就無法確保這個國家的安全?！?/p>

據(jù)悉，雖然目前全美多州已明確規(guī)定要以某種形式披露安全公告，但在經(jīng)歷了多年的拉扯之后，聯(lián)邦政府仍未能將此事擺上重要的日程。

參議院情報委員會主席 Mark Warner 周二表示：“我們可能等到有意披露的機(jī)構(gòu)，但也可能對黑客攻擊事件毫不知情。就算其它大型企業(yè)也可能成為受害者，但就是沒人選擇挺身而出”。

基于此，Mark Warner 認(rèn)為越來越有必要制定一套強(qiáng)制性的安全公告和信息共享披露制度，并且建議在聯(lián)邦層級上做出相應(yīng)的努力。

（消息及封面來源：cnBeta）

[超站]友情鏈接：

四季很好，只要有你，文娛排行榜：https://www.yaopaiming.com/
關(guān)注數(shù)據(jù)與安全，洞悉企業(yè)級服務(wù)市場：https://www.ijiandao.com/