网络计划将软件制造商在黑客攻击中承担责任 - 彭博社
Katrina Manson, Courtney Rozen
摄影师:Hollie Adams/Bloomberg拜登政府计划在周四发布一项积极的新国家网络安全战略,旨在将被黑客攻击的责任从公司转移到软件制造商和设备制造商,这可能会与大型科技公司发生冲突。
提前与一组记者分享的这份35页战略指出,软件制造商必须“在未能履行他们对消费者、企业或关键基础设施提供者的责任时承担责任。”
文件中表示:“责任必须由最有能力采取行动以防止不良后果的利益相关者承担,而不是由往往承担不安全软件后果的最终用户或集成到商业产品中的开源组件的开发者承担责任。”
新战略承诺政府将与国会和私营部门合作“制定立法,规定软件产品和服务的责任。”
乔·拜登总统在一份声明中表示,这项战略“应对了一个系统性挑战,即太多的网络安全责任落在个人用户和小组织身上。”
Google一名高管表示,他的公司欢迎拜登政府的计划。Google Cloud的首席信息安全官Phil Venables表示,市场上有许多产品没有基本的保护措施。该战略可能迫使那些试图通过缺乏安全保护的廉价产品来挑战竞争对手的公司符合最低安全标准,这是一个重要的发展,Venables说。
美国高级官员公开抱怨,包括微软公司和Twitter公司在内的科技公司未能充分保护用户账户的安全。
Jen Easterly摄影师:Lauren Justice/Bloomberg网络安全与基础设施安全局局长詹·伊斯特利本周抨击了这些失败,包括有缺陷的代码和糟糕的做法,她表示这使用户容易受到黑客攻击。
尽管拜登政府在头两年未能推动立法限制包括Alphabet公司的谷歌,苹果公司,亚马逊公司和Meta平台公司在内的最大科技公司的权力,但这样一项雄心勃勃的努力仍在进行中。
白宫支持这些举措,尽管批评者称其未能对民主党参议院多数党领袖查克·舒默施加足够大的压力。舒默去年没有提出重大科技改革法案进行投票。
一位不愿透露姓名向记者简报的高级政府官员承认,将网络安全漏洞的责任转嫁给软件公司需要立法行动,并且是一个可能需要长达十年的长期过程。该官员补充说,政府不指望在未来一年内出台新法律。
下一次总统选举距离不到两年,这就引发了一个问题,即政府是否能够实现其新战略中最雄心勃勃的目标,保护美国人免受黑客的侵害。
一位高级官员后来告诉彭博新闻,政府将寻求利用两党支持加强网络安全的机会。然而,除了立法行动外,顾客也可以对软件和设备制造商提起民事诉讼,以期提高安全标准并塑造市场力量,这是政府支持的一种方法,该官员表示。
该官员表示,与软件行业合作而非对抗是有可能的。此外,政府希望其计划将迫使公司在保护其软件方面做得更好,以赢得竞争激烈的市场中的客户,该官员表示。
政府的战略还承诺对勒索软件采取更强硬的立场,即犯罪分子加密受害者的文件,直到支付勒索费为止。(许多攻击者现在也窃取文件,并威胁要将其公开发布,除非支付)。
为了更加积极地打击这些团伙,司法部去年通过制裁关闭了被勒索软件犯罪分子使用的加密交易所,而FBI今年早些时候则通过与德国和荷兰官员协调,夺取了Hive勒索软件团伙成员使用的服务器和网站的控制权,从而解散了该团伙。
阅读更多:俄罗斯的Viasat黑客事件暴露了卫星行业的安全漏洞
该战略还将寻求扩大关键基础设施部门的最低网络安全要求,而无需额外立法,这很可能是其最具实现可能性的目标之一。
Anne Neuberger摄影师:Leigh Vogel/UPI/Bloomberg负责网络和新兴技术的副国家安全顾问安妮·诺伯格告诉记者,政府认识到仅凭信息共享和与行业的合作是不足以克服对美国关键基础设施的风险的,现在政府需要“实施最低强制要求”。
她补充说,政府已经为管道和铁路制定了最低网络安全要求,并将宣布适用于其他行业的要求,尽管她没有说明是哪些行业。
诺伯格表示,美国政府可以利用采购来塑造市场。作为一个纽约人,她说她欣赏包括在入口门上的餐厅卫生评级,并且标记软件和设备同样可以让客户做出更安全的选择。
克里斯·英格利斯在担任拜登国家网络主任期间参与制定该战略,上个月在卸任时告诉彭博新闻,国会对该计划“有发言权”。
他说:“我们将继续与国会合作,确定他们想要做什么,他们愿意做什么,但我们也需要利用行政权力。”他说:“我认为将出现的监管框架必须受益于高度的磋商和最轻微的触及,并且必须有一定程度的协调,这样我们才不会实际上在一个或多个角落浪费时间。”